Re: Записи из логов!

Sergey Shepelev temotor на gmail.com
Ср Мар 2 14:08:04 MSK 2011 

2011/3/2 Craken <nginx-forum at nginx.us>:
> Приветствую Вас товарищи!
> Ситуация следующая: есть сервер, на
> котором расположена Пользовательская
> страница (Интернет провайдер)!
> Соответственно на обработку
> соединений поставили nginx!
> Все работает отлично, и нареканий пока
> нету (тьфу-тьфу)!
> Но вот случайно зашел в файл логов и
> увидел вот такую картину (причем таких
> записей валом):
>
> 192.168.61.186 - - [16/Feb/2011:10:52:39 +0200]
> "NԀ;9▒Y<▒G▒\x1D▒Ą6GK^▒▒nQ▒\x5C▒z▒f▒3▒N\x08▒▒@z\x17F▒%▒"
> 400 172 "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:52:39 +0200]
> "▒▒9e3▒▒▒*ԛ▒▒▒\x0F⿸T▒▒/▒▒▒lW▒\x04▒#▒&▒/<▒s▒*▒i"
> 400 172 "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:52:39 +0200]
> "▒\x1A▒\x17y▒D\x1E" 400 172 "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:52:42 +0200]
> "v▒I▒$\x1Cs*q\x07$7▒▒2▒z▒.▒\x01%TW" 400 172 "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:52:44 +0200]
> "E@▒\x01Ac▒▒/▒▒N▒▒[^ C\x05▒m▒p>▒ѭ▒ݒ" 400 172 "-"
> "-"
> 192.168.61.186 - - [16/Feb/2011:10:52:50 +0200] "L!▒n▒▒ga" 400 172
> "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:53:03 +0200] "▒F▒+▒Ӿ▒\x1C7"
> 400 172 "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:53:03 +0200]
> "s▒▒▒3\x1C▒7=l▒▒S▒B▒r▒▒▒W▒X▒\x0B:▒▒▒\x14▒\x01▒Z▒6▒▒(v\x04▒▒\x19\x03▒▒l,h▒\x07fJI\x0E\x00▒\x18▒m`k\x1C\x127/▒▒f▒"
> 400 1
> 72 "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:53:03 +0200]
> "▒▒>▒▒}▒▒▒▒(-▒▒▒▒M\x1C▒~b,▒▒▒O▒lO▒▒\x10̀▒"
> 400 172 "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:53:05 +0200] "LQĿ▒▒l▒7
> ▒▒FT؞Ň@▒▒;▒▒6κ242▒" 400 172 "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:53:07 +0200]
> "▒#9▒%/▒%,V▒<▒0[˧▒▒▒!~VD\x05" 400 172 "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:53:13 +0200]
> "▒▒�▒▒nCTL▒5▒▒\x11▒\x11g\x11▒;E▒'\x17Z\x16▒\x1AU0▒\x15!J▒"
> 400 172 "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:53:23 +0200] "▒l▒
> ERI▒1\x5C&▒h\x15@▒Ü▒▒8▒▒Ӳ▒/\x1C@\x0E\x04▒eT\x02▒▒!\x0FD▒ߥ-q▒▒6▒N}▒▒"
> 400 172 "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:53:26 +0200]
> "e▒I▒▒c▒D▒\x07PAp▒ً▒M▒\x176'~\x10}<X" 400 172 "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:53:37 +0200]
> "ru▒▒▒=\x14▒n\x06)▒▒▒▒▒\x1D71▒\x0C▒_I▒▒j:.▒▒▒▒▒=p4P`+▒▒\x00▒Md▒▒\x0E▒;J4▒\x0B▒d\x13fڙ▒V"
> 400 172 "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:53:46 +0200]
> "▒▒w٩▒TLl\x13▒\x18%▒▒\x07▒▒F▒\x17▒M▒I$.Q" 400 172
> "-" "-"
> 192.168.61.186 - - [16/Feb/2011:10:53:49 +0200]
> "▒▒▒▒\x03▒▒3▒" 400 172 "-" "-"
>
>
>
> Подскажите пожалуйста, что это за
> страшные запросы, и как с таким
> бороться?
> Спасибо!
>

Это либо head -n1 /dev/urandom | nc ваш-адрес 80
либо целенаправленное fuzzy testing
либо неумелое прощупывание на CVE-2009-2629.

Бороться с чем? С записями в логе? Например, grep-ом.
С запросами? Например, файрволом дропать пакеты от 192.168.61.186.

Самое главное - зачем с этим бороться? Вы подняли публично доступный
сервис, вам приходят запросы, сервер корректно отвечает. Всё в
порядке.

Подробная информация о списке рассылки nginx-ru