komischer URL
Frank Loeffler
knarf.loeffler at freenet.de
Son Jun 23 19:06:55 CEST 2002
Hi,
folgendes las ich in meiner apache-access.log (alles eine Zeile im Log):
207.33.111.34 - - [03/Jun/2002:15:55:07 +0200] "HEAD%00
/%20HTTP/1.0%0D%0A%0D%0AAccept%3A%20tgpapvcxycjqmlkb/../
../index.html%3frzuqjxedqp=/../yhrmsvaopvohbgihlajszqqfh
zdqoniakweirxanpxkjbbypvidfqqrloeynyyqwnrivrvgmqntedvdhk
.
.
.
viele wirre Buchstaben (etwa 20 Zeilen in der Formatierung)
.
.
.
hrmkjngxuxoprtcxfozjinehthhlmzynkztimpbvxnkgmvefjtvyczhh
nnthiflogorzjsbpzbrloywcjampoc/.././%4d%59%4c%4f%47%2e
%50%48%54%4d%4c HTTP/1.0" 501 1911
Das ganze kam innerhalb von 15 Sekunden 20 Mal, jeweils mit
verschiedenen Buchstabenfolgen, teilweise auch mit GET statt HEAD am Anfang.
Da der Apache noch Version 1.3.24-3 ist (Debian Woody), ist er im Moment
sowieso von der Welt abgeschnitten, trotzdem wuerde mich interessieren,
was das war.
Eine Suche sowohl bei Google als auch Apache-Security-Seiten brachte
nichts, bei google war das wohl auch fast klar, wenn man sich die
staendig wechselnden Buchstaben ansieht und es muss ja auch kein
Apacheproblem sein, mit Windowsexploits wird der Server ja auch staentig
belaestigt. Manuell wird das keiner eingegeben haben in der Zeit, laut
log kam alles von immer der gleichen IP.
Hat jemand vielleicht sowas schongesehen und weiss Bescheid?
Vielen Dank, Frank
--
tlug Mailingliste
Archiv: http://www.tlug.de/archiv/
http://schwarz.thueday.de/mailman/listinfo/tlug_allgemein