我刚刚看到这个出现在我们的服务器日志中......
/P/2112/FBA73F59E6F7E78CCFF29DD8BDF46ECCAE5B73145E023BFB207C971E835645245C62CA0296DA6CDA4E62613A9C10C0DADBA941D2AD68005E57EFDC84A8ECD0ADC37C0214AD76755E48D6D1BAABF
这种情况会持续一段时间。事实上,这种情况发生的概率还不到 10%,而且还有很多类似的情况。
由于我们的服务器上没有名为“/P/”的文件夹,我怀疑存在某些黑客攻击行为。
有人认出这个吗?
顺便说一句,我当时查看日志的原因是我们的服务器刚刚崩溃,我不禁想知道这是否有关。
服务器是 Apache/2.0.54 (Unix) PHP/4.4.2 mod_ssl/2.0.54 OpenSSL/0.9.7a JRun/4.0
答案1
看起来像是缓冲区溢出 shellcode 攻击。我预计 URL 至少有 4096 个字符长。HTTP RFC 未指定最大 URL 长度,尽管大多数主要服务器都有隐含限制,因此攻击者可能试图引起缓冲区溢出。
我会确保您已经阅读了当前 Web 服务器的发行说明,并检查是否存在未解决的安全问题。
答案2
源 IP 是什么?可能是某种 DoS 攻击或缓冲区溢出尝试。你能发布整行吗?