ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Записи из логов!


  • To: nginx-ru@xxxxxxxxx
  • Subject: Re: Записи из логов!
  • From: Sergey Shepelev <temotor@xxxxxxxxx>
  • Date: Wed, 2 Mar 2011 14:08:04 +0300
  • Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:in-reply-to:references:date :message-id:subject:from:to:cc:content-type :content-transfer-encoding; bh=pcbA8s1pZQSHaxlunSrdnUJvSOXbVDxJwHj1bSsbHtc=; b=qFZV62tzWty3/uaRDBhbYsQu05XgB5HF5MR5pZU/jiadtOigoCM9Ge/qSzykguvPqM dqRVz1QV8fwhQiMK0KkfD2tXgJX7hv4C3mHoAdhvaB5ykMqAn+pM4cGHyGOTMaSJodqf ZZHXTeTazKgVk8YxXTVuBwOWuTd9rKyuqmib8=
  • Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :cc:content-type:content-transfer-encoding; b=XS0Yr38GcPY/UsLrCRA++wGl+ceRDdUSXvHPtrd9hg2Mne/8CCH3xeEPQEhG8yBuvM g6NNOS+L6yDnrdBJyRKsqz/T3GkMd5Todaf5ONrDrPD0ibDoV3UqFP04t/CUhg5kPh0C bDjLg1kVv1y3Y2nEaUsouy5WFo5qPcYu9lBZo=
  • In-reply-to: <ae111c1d5af3555ff7e5e2b2d0047ab5.NginxMailingListRussian@xxxxxxxxxxxxxxx>
  • References: <ae111c1d5af3555ff7e5e2b2d0047ab5.NginxMailingListRussian@xxxxxxxxxxxxxxx>

2011/3/2 Craken <nginx-forum@xxxxxxxx>:
> Приветствую Вас товарищи!
> Ситуация следующая: есть сервер, на
> котором расположена Пользовательская
> страница (Интернет провайдер)!
> Соответственно на обработку
> соединений поставили nginx!
> Все работает отлично, и нареканий пока
> нету (тьфу-тьфу)!
> Но вот случайно зашел в файл логов и
> увидел вот такую картину (причем таких
> записей валом):
>
> 192.168.61.186 - - [16/Feb/2011:10:52:39 +0200]
> "N?;9▒Y<▒G▒\x1D▒?6GK^▒▒nQ▒\x5C▒z▒f▒3▒N\x08▒▒@z\x17F▒%▒"
> 400 172 "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:52:39 +0200]
> "▒▒9e3▒▒▒*?▒▒▒\x0F?T▒▒/▒▒▒lW▒\x04▒#▒&▒/<▒s▒*▒i"
> 400 172 "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:52:39 +0200]
> "▒\x1A▒\x17y▒D\x1E" 400 172 "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:52:42 +0200]
> "v▒I▒$\x1Cs*q\x07$7▒▒2▒z▒.▒\x01%TW" 400 172 "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:52:44 +0200]
> "E@▒\x01Ac▒▒/▒▒N▒▒[^ C\x05▒m▒p>▒?▒?" 400 172 "-"
> "-"
> 192.168.61.186 - - [16/Feb/2011:10:52:50 +0200] "L!▒n▒▒ga" 400 172
> "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:53:03 +0200] "▒F▒+▒?▒\x1C7"
> 400 172 "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:53:03 +0200]
> "s▒▒▒3\x1C▒7=l▒▒S▒B▒r▒▒▒W▒X▒\x0B:▒▒▒\x14▒\x01▒Z▒6▒▒(v\x04▒▒\x19\x03▒▒l,h▒\x07fJI\x0E\x00▒\x18▒m`k\x1C\x127/▒▒f▒"
> 400 1
> 72 "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:53:03 +0200]
> "▒▒>▒▒}▒▒▒▒(-▒▒▒▒M\x1C▒~b,▒▒▒O▒lO▒▒\x10?▒"
> 400 172 "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:53:05 +0200] "LQ?▒▒l▒7
> ▒▒FT??@▒▒;▒▒6?242▒" 400 172 "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:53:07 +0200]
> "▒#9▒%/▒%,V▒<▒0[?▒▒▒!~VD\x05" 400 172 "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:53:13 +0200]
> "▒▒?▒▒nCTL▒5▒▒\x11▒\x11g\x11▒;E▒'\x17Z\x16▒\x1AU0▒\x15!J▒"
> 400 172 "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:53:23 +0200] "▒l▒
> ERI▒1\x5C&▒h\x15@▒?▒▒8▒▒?▒/\x1C@\x0E\x04▒eT\x02▒▒!\x0FD▒?-q▒▒6▒N}▒▒"
> 400 172 "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:53:26 +0200]
> "e▒I▒▒c▒D▒\x07PAp▒?▒M▒\x176'~\x10}<X" 400 172 "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:53:37 +0200]
> "ru▒▒▒=\x14▒n\x06)▒▒▒▒▒\x1D71▒\x0C▒_I▒▒j:.▒▒▒▒▒=p4P`+▒▒\x00▒Md▒▒\x0E▒;J4▒\x0B▒d\x13f?▒V"
> 400 172 "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:53:46 +0200]
> "▒▒w?▒TLl\x13▒\x18%▒▒\x07▒▒F▒\x17▒M▒I$.Q" 400 172
> "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:53:49 +0200]
> "▒▒▒▒\x03▒▒3▒" 400 172 "-" "-"
>
>
>
> Подскажите пожалуйста, что это за
> страшные запросы, и как с таким
> бороться?
> Спасибо!
>

Это либо head -n1 /dev/urandom | nc ваш-адрес 80
либо целенаправленное fuzzy testing
либо неумелое прощупывание на CVE-2009-2629.

Бороться с чем? С записями в логе? Например, grep-ом.
С запросами? Например, файрволом дропать пакеты от 192.168.61.186.

Самое главное - зачем с этим бороться? Вы подняли публично доступный
сервис, вам приходят запросы, сервер корректно отвечает. Всё в
порядке.
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.