httplog + php vertoont verdachte meldingen - Linux en overige clients

donderdag 2 december 2004 15:44

Acties:

Buk en suck

Topicstarter

Ik gebruik apache 2.046 + PHP 5.02 en ik krijg regelmatig vreemde meldingen in de log.
Bijv. deze

code:

62.178.148.200 - - [22/Nov/2004:15:24:45 +0200] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\
x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb
1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\
xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\
x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb
1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\
xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\
x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb
1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\
xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\
x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb
1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\
xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\
x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb
1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\
xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\
x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb
1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\
xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\
x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb
1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\
xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\........ etcetera, aan het einde        

x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x9
0\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\
x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x9
0\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\
x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x9
0\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\
x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" 414 333

Ik krijg ze voornamelijk van chello gebruikers uit Oostenrijk. (zelfde segment)

Dit is al meer dan 20 keer gedaan binnen 24 uur van verschillende hosts.

Ik heb al met google gezocht maar ik kon niks vinden. Wat gebeurt hier?

Ik ben malle Pietje niet.

donderdag 2 december 2004 15:46

Acties:

simon

Lijkt wel of iemand je search probeert te flooden

|>

donderdag 2 december 2004 15:50

Acties:

Niek

f.k.a. The_Surfer

BoF attempts. Nimda-alike wormpjes enzo (meestal voor IIS), als je alles up-to-date houd is het niks om je druk over te maken.

À vaincre sans péril, on triomphe sans gloire - Pierre Corneille

donderdag 2 december 2004 15:51

Acties:

BeachPatroller

Buk en suck

Topicstarter

Search, ik host sites en nog niemand heeft de search functie gebruikt. Hoe kan men searchen zonder searchpagina?

Ik ben malle Pietje niet.

donderdag 2 december 2004 15:59

Acties:

Niek

f.k.a. The_Surfer

Erm, niet

Het gaat er ook niet om of dit werkt op je host, het is gewoon een mass-exploiter. FYI, een Google search leerde me dat dit de IIS Webdav exploit is: http://www.webmasterworld.com/forum39/2173.htm

À vaincre sans péril, on triomphe sans gloire - Pierre Corneille

donderdag 2 december 2004 16:00

Acties:

aZuL2001

offtopic je hebt in ieder geval een bugje duidelijk gemaakt van de vernieuwde layout, kijk maar eens in firefox

Abort, Retry, Quake ???

donderdag 2 december 2004 16:02

Acties:

AtleX

Tyrannosaurus Lex 🦖

Het is gewoon een standaard IIS Exploit, bij mij komen er ook wel 1 of 2 per maand voorbij. Niets om je zorgen over te maken dus

Sole survivor of the Chicxulub asteroid impact.

donderdag 2 december 2004 16:11

Acties:

Spider.007

* Tetragrammaton

aZuL2001 schreef op donderdag 02 december 2004 @ 16:00:
offtopic je hebt in ieder geval een bugje duidelijk gemaakt van de vernieuwde layout, kijk maar eens in firefox

offtopic:
er horen [code] tags omheen; en <code> werkt niet

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

donderdag 2 december 2004 16:12

Acties:

AtleX

Tyrannosaurus Lex 🦖

Spider.007 schreef op donderdag 02 december 2004 @ 16:11:
[...]

offtopic:
er horen [code] tags omheen; en <code> werkt niet

Fix0r het dan even aub

Sole survivor of the Chicxulub asteroid impact.

donderdag 2 december 2004 16:17

Acties:

BeachPatroller

Buk en suck

Topicstarter

Cool ik zie het, precies zoals het in de log stond

Ik ben malle Pietje niet.

donderdag 2 december 2004 17:00

Acties:

aZuL2001

Spider.007 schreef op donderdag 02 december 2004 @ 16:11:
[...]

offtopic:
er horen [code] tags omheen; en <code> werkt niet

offtopic:
Maf dat het in IE wel goed ging dan.

Abort, Retry, Quake ???

vrijdag 3 december 2004 01:12

Acties:

Wilke

aZuL2001 schreef op donderdag 02 december 2004 @ 16:00:
offtopic je hebt in ieder geval een bugje duidelijk gemaakt van de vernieuwde layout, kijk maar eens in firefox

Doe eens een screenshot, Firefox versie, OS, en style/prefs?

Want hier werkt het prima (met Firefox en de 'nieuwe' standaard tweakers.net layout)

vrijdag 3 december 2004 10:50

Acties:

Verwijderd

Het kan idd geen kwaad echter mijn statistieken (webalizer) gaat er van over zijn nek.
(die geeft aan het log te groot is.)
ik ben al bezig geweest om die regels niet in mijn log te krijgen
zie poging httpd.conf

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined

#ban
SetEnvIf Request_URI "^/default.ida" ban
SetEnvIf Request_URI "^/scripts" ban
SetEnvIf Request_URI "^/c/winnt" ban
SetEnvIf Request_URI "^/_mem_bin" ban
SetEnvIf Request_URI "^/_vti_bin" ban
SetEnvIf Request_URI "^/MSADC" ban
SetEnvIf Request_URI "^/msadc" ban
SetEnvIf Request_URI "^/d/winnt" ban
SetEnvIf Request_Method "SEARCH" ban

# Don't log local requests
SetEnvIf Remote_Addr 127\.0\.0\.1 ban

CustomLog /usr/local/apache/current/logs/msjunk.log combined env=ban
CustomLog /usr/local/apache/current/logs/access_log combined env=!ban

maar in mijn logs blijft ie gewoon bestaan

84.26.52.149 - - [01/Dec/2004:18:46:08 +0100] "SEARCH /\x90\x02\xen og heel veel verder...

ziet iemand waar mijn fout zit, ja in de regel SetEnvIf Request_Method "SEARCH"... maar waarom zou dat niet werken ?

workaround voor webalizer

grep -v SEARCH access_log > acces_log_clean

en dan natuurlijk je acces_logjes renamen voor webalizer.

[ Voor 14% gewijzigd door Verwijderd op 03-12-2004 12:29 ]