有问题的行是
124.178.138.134 - - [03/Sep/2010:00:05:35 +1000] "\x1e\xaa\xb7P\xcfL\x1eeV*" 200 1617 "-" "-"
203.29.140.81 - - [03/Sep/2010:00:14:58 +1000] "5A\xe8o8*\x1bWxg\x84L\xa2\x04\x13}y\xbc\xd8\xf7" 200 1617 "-" "-"
120.16.62.30 - - [03/Sep/2010:00:21:01 +1000] "\x8b\x9d\x1b\xe4\x8b\x12\x82P\xd83&\x98\\\x89\xc2\x149`9\xac\xd1\xa4!" 200 1617 "-" "-"
86.57.229.206 - - [03/Sep/2010:02:05:53 +1000] "\xaeA\x94\xbd\x95H" 200 1617 "-" "-"
我假设\x1e我经常看到的 etcGET / HTTP/1.1是转义字符代码。200 1617匹配它周围的行,据我所知,1617 是主页的大小。对此事有什么想法吗?这是在 FreeBSD 8.0 GENERIC 上安装 apache 2.2 时的情况。
编辑:刚刚又被击中了。
121.209.160.33 - - [03/Sep/2010:18:08:33 +1000] "\rz\x85\x0e\xbc\xc2U\xeb/9\x12\x8a-\x8d\x1df\xf8\x11\x8c\xc0\x1b,r" 400 226 "-" "-"
答案1
一般来说,这些很可能是针对 IIS 服务器的攻击(特别是这个可能是针对 WebDav 漏洞的攻击)。
如果我理解正确的话,通常一开始就足以溢出缓冲区,其余的是 shellcode,用于打开对系统的访问。像 Snort 这样的入侵检测系统可以检测到这些尝试,并在到达 Web 服务器之前拒绝提交。
至于 Apache,只要您确保保持更新,通常就会很安全。如果您密切关注访问日志,您会看到大量来自各地的机器人随机尝试感染其他服务器并进一步传播。
答案2
有人试图从您的网络服务器获取具有这些名称的文档。蠕虫和脚本小子通常会尝试各种漏洞,这些漏洞通常与此类似,试图利用某些网络服务器某些版本中的错误。200
是结果代码(成功),1617 是所提供文档的大小。