在 Apache 博客中发现名为 @^Y@.@{phqsp~{2'/2|pq{jvk@-1('@lvo)&1--1.(/1)'@./* 的特殊用户

在 Apache 博客中发现名为 @^Y@.@{phqsp~{2'/2|pq{jvk@-1('@lvo)&1--1.(/1)'@./* 的特殊用户

在检查一些客户的日志文件时,我发现这是经过身份验证的用户的用户名。我们有一个.htusers用于基本 Web 身份验证的文件,我在服务器日志中找到了所有其他用户.htusers,但没有找到该@^Y@.@{phqsp~{2'/2|pq{jvk@-1('@lvo)&1--1.(/1)'@./*用户。

服务器版本是 2.2.22,运行于 64b Opensuse 12

第一个问题:该用户是否能够接收受文件保护的内容.htusers

下一个:有谁有关于这次入侵企图的更多信息吗?我在 Google 上除了来自世界各地的大量访问日志外什么也没找到。

编辑:仅添加日志条目:

x.y.z.x - @^Y@.@{phqsp~{2'/2|pq{jvk@-1('@lvo)&1--1.(/1)'@./* [06/Jan/2013:16:53:16 +0000] "GET xxxxxxxxxxxxxxx HTTP/1.1" 200 676 "xxxxxxxxxxxxxxx" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"

x.y.z.x - @^Y@.@{phqsp~{2'/2|pq{jvk@-1('@lvo)&1--1.(/1)'@./* [06/Jan/2013:16:53:16 +0000] "GET xxxxxxxxxxxxxxx HTTP/1.1" 200 523 "xxxxxxxxxxxxxxx" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"

x.y.z.x - @^Y@&@{phqsp~{2'/2|pq{jvk@-1('@lvo)&1--1.(/1)'@./* [06/Jan/2013:16:57:47 +0000] "GET xxxxxxxxxxxxxxx HTTP/1.1" 200 11 "xxxxxxxxxxxxxxx" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"

答案1

我认为如果 xxxxxx 发出的资源位于受保护区域,那么就有坏消息了。日志中的 http 状态代码 200 表示您的服务器已顺利将资源发送给客户端 xyzx。如果 basic-auth 以任何方式失败,则会返回 401(禁止)。

旁边的数字200告诉您答案中发送了多少字节。检查 xxxxxx 后面的资源大小是否实际为 676、523 和 11 字节,以获得另一个提示,即数据是否已成功访问。

更新/解决方案:

正如评论中所说,所提到的访问是针对未受保护区域中的资源,因此导致 http 状态代码 200(OK)。日志中显示未知用户名这一令人困惑的事实是由于可以在 http 请求中设置“Authorization”标头,而不管服务器是否请求授权,也不管服务器上是否知道用户名。因此,显然这是某些网络爬虫或机器人默认设置 auth 标头所为。也许是无辜的,也许不是,但显然并不像乍一看日志文件中那样有害。

相关内容