我们公司的网站刚刚上线,最先access.log 中的条目看起来像是一个尝试性的漏洞 :) 知道它可能是哪一个吗?
以下是相关行:
79.168.7.121 - - [28/Jan/2011:13:19:25 +0100] "Z\xc0\xf5\x95\xb8Un\xff\x9ecA\xd1\xc2/\xfc\x94n\x8epeM\xdc\x18#\xb3\xc8\xa5\xbe)\xbci\xe2\xf5\x02,\x97\xc0\x96\x9e\xa9\xf8;i\x1a\x86\x01" 200 4855 "-" "-"
答案1
我并不是想否定你的问题的有效性,但过了某个点,追踪这种日志流量就会变得非常耗时。脚本小子、自动漏洞探测机器人、设计不良的网络蜘蛛——它们都会在某个时候访问你的网络服务器,它们都会在你的访问日志中留下奇怪的条目。你需要考虑并制定一个日志分析策略来揭露的是,当与这些奇怪的行相关联时,授予对特权资源的访问权限时;你应该将日志分析的重点放在查找意外的特权访问上,而不是意外的请求。考虑如何将你的网络服务器访问日志与你的网络应用程序日志联系起来,以更好地了解什么是真正的意外访问。我知道这是非常普遍的建议,但我希望它能有所帮助。
答案2
IP 地址来自葡萄牙里斯本(任何 GeoIP 服务都可以告诉您)。“\x”转义符是为了指定 Unicode 代码点而进行的转义符,因此它们应该解析为或多或少有意义的内容。
但看起来请求产生了 HTTP 200?
答案3
可能是缓冲区溢出漏洞。