komischer URL

Frank Loeffler knarf.loeffler at freenet.de
Son Jun 23 19:06:55 CEST 2002


Hi,

folgendes las ich in meiner apache-access.log (alles eine Zeile im Log):

207.33.111.34 - - [03/Jun/2002:15:55:07 +0200] "HEAD%00 
/%20HTTP/1.0%0D%0A%0D%0AAccept%3A%20tgpapvcxycjqmlkb/../
../index.html%3frzuqjxedqp=/../yhrmsvaopvohbgihlajszqqfh
zdqoniakweirxanpxkjbbypvidfqqrloeynyyqwnrivrvgmqntedvdhk
.
.
.
viele wirre Buchstaben (etwa 20 Zeilen in der Formatierung)
.
.
.
hrmkjngxuxoprtcxfozjinehthhlmzynkztimpbvxnkgmvefjtvyczhh
nnthiflogorzjsbpzbrloywcjampoc/.././%4d%59%4c%4f%47%2e
%50%48%54%4d%4c HTTP/1.0" 501 1911

Das ganze kam innerhalb von 15 Sekunden 20 Mal, jeweils mit 
verschiedenen Buchstabenfolgen, teilweise auch mit GET statt HEAD am Anfang.

Da der Apache noch Version 1.3.24-3 ist (Debian Woody), ist er im Moment 
sowieso von der Welt abgeschnitten, trotzdem wuerde mich interessieren, 
was das war.

Eine Suche sowohl bei Google als auch Apache-Security-Seiten brachte 
nichts, bei google war das wohl auch fast klar, wenn man sich die 
staendig wechselnden Buchstaben ansieht und es muss ja auch kein 
Apacheproblem sein, mit Windowsexploits wird der Server ja auch staentig 
belaestigt. Manuell wird das keiner eingegeben haben in der Zeit, laut 
log kam alles von immer der gleichen IP.

Hat jemand vielleicht sowas schongesehen und weiss Bescheid?

Vielen Dank, Frank


-- 
tlug Mailingliste
Archiv: http://www.tlug.de/archiv/
http://schwarz.thueday.de/mailman/listinfo/tlug_allgemein