Re: вопрос про heartbleed

[Vladislav Shabanov]

Существует ли простой способ сделать (на уровне конфигов, разумеется, программировать это
скорее всего никому не захочется) логирование холостых обращений (сокет открыли, но ничего 
не GET/POST/…) ?

И, кстати, вопрос тем, кто nginX отлаживает: а много таких холостых обращений «по жизни»?

09 апр. 2014 г., в 15:47, Maxim Dounin <mdounin at mdounin.ru> написал(а):

> Hello!
> 
> On Wed, Apr 09, 2014 at 01:41:06PM +0400, Vladislav Shabanov wrote:
> 
>> Добрый день!
>> 
>> В чём суть уязвимости и как исправлять все, думаю, уже в курсе.
>> А вот вопрос, который после исправления было бы интересно поизучать:
>> 
>> В типовых настройках конфигов при таких вот битых обращениях ни одной строчки в лог 
>> не пишется. Что нужно сделать, чтобы в логах nginX были видны такие обращения? 
>> Вариант «включить уровень логов DEBUG и в нём утонуть» не нравится.
>> 
>> У кого какие мысли?
> 
> Максимум, что можно сделать со стороны nginx'а - это логгировать 
> сам факт соединения (и он таки логгируется на уровне info).
> 
> Следует однако понимать, что отличить соединение, в котором 
> уязвимость эксплуатируется, от обычного соединения с обычным 
> запросом при правильном подходе к вопросу эксплуатации данной 
> уязвимости - не представляется возможным вообще никак.  Разве что 
> запрошенный через heartbeat кускок данных будет достаточно 
> большим, чтобы вызвать segmentation fault в OpenSSL.
> 
> -- 
> Maxim Dounin
> http://nginx.org/
> 
> _______________________________________________
> nginx-ru mailing list
> nginx-ru at nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru