PTT數位生活區 / NetSecurity (資安 資訊安全)

[問題] Nginx log出現怪異訊息

看板NetSecurity (資安 資訊安全)作者 (wakaka)時間7年前 (2017/06/20 02:24), 7年前編輯推噓1(1010)
留言11則, 5人參與, 最新討論串1/1
今天在看nginx log的時候,看到有奇怪訊息如下 164.52.7.132 - - "\x16\x03\x01\x01\x22\x01\x00\x01\x1E\x03\x03h\xAB"+ "(\x06B<\x1D\x5C\xEE\x91pE\xEE\x13\xB6>\x88\xBA4\xE3" + "\x16\xCBb@\xD8xvZ\xF9\xF9\x8C\xAF\x00\x00\x88\xC00" + "\xC0,\xC0(\xC0$\xC0\x14\xC0" 164.52.7.132 - - "USER test +iw test :Test Wuz Here" 400 166 "-" "-" "-" 第一行不知道是哪種格式的資料 第二行 Google search後,在AbuseIPDB看到有人回報是hack 想請問這真的是因為hack嗎? 對方是如何做到這點的? ssh登入server後,修改Nginx log嗎? 謝謝指點 ※ 編輯: walelile (1.171.171.147), 06/20/2017 02:25:06
06/20 04:13, , 1F
第一行應該是一般utf-8文字的code吧
06/20 04:13, 1F
補上完整字串。我試著去用utf8 decode,結果不太對 python code:  >>> s.decode('utf8', errors='ignore') '\x16\x03\x01\x01"\x01\x00\x01\x1e\x03\x03h(\x06B<\x1d\\pE\x13>' + '4\x16b@xvZ\x00\x000,($\x14' ※ 編輯: walelile (1.171.171.147), 06/20/2017 08:25:14
06/20 08:35, , 2F
會不會只是http request改一下method, path, and agent?
06/20 08:35, 2F
06/20 10:11, , 3F
根據我的經驗... 那只是一個 BOT 在自動做一些事情
06/20 10:11, 3F
06/20 10:11, , 4F
像是寫爛的爬蟲、攻擊的特訂漏洞等
06/20 10:11, 4F
06/20 11:24, , 5F
了解,第一次架站,看到一堆亂七八糟的access有點嚇到
06/20 11:24, 5F
06/22 03:46, , 6F
感覺是被try
06/22 03:46, 6F
06/22 19:22, , 7F
恩恩,謝謝分享
06/22 19:22, 7F
07/09 03:40, , 8F
如果我沒有記錯的話,這是遠端要和你做SSL確認什麼的
07/09 03:40, 8F
07/09 03:40, , 9F
你這應該是在port 443吧,試一下用telnet來GET /
07/09 03:40, 9F
07/09 03:41, , 10F
如果出現HTML,這表示你沒設好SSL
07/09 03:41, 10F
07/09 03:42, , 11F
所以遠端用加密的request你看到亂碼。設好httpd-ssl.conf
07/09 03:42, 11F
更多 walelile 的文章
文章代碼(AID): #1PI1RbF_ (NetSecurity)
NetSecurity 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 walelile 的文章
文章代碼(AID): #1PI1RbF_ (NetSecurity)