Annonce

Réduire
Aucune annonce.

Server Web :: log :: URL Bizarre

Réduire
X
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Server Web :: log :: URL Bizarre

    Bonsoir,

    Tiens, tiens, dans l'après-midi, mon serveur web enregistre dans son log, l'entête de connexion de cette forme :
    169.229.3.91 - - [06/Mar/2016:12:25:43 +0100] 400 "4\x8Fk\xBE\xCBp\x94A\x1E\xD7|i.,\x10\xC7o\x00" "Request-Length:0" "Request-Time:0.196" 166 "UA:-" "Referrer:-" "Gz-Ratio:-""Conn-Serial-Number:458" "Request-Nb-Current:1"

    Ce qui est intéressant bien sûr est cette portion : "4\x8Fk\xBE\xCBp\x94A\x1E\xD7|i.,\x10\xC7o\x00"
    Apparemment, elle se décompose en deux parties, sectionnable à partir du symbole '|', nommé pipe. La deuxième serait à-priori une commande qui cherche à s'exécuter !

    En effet, un coup de curl :
    Code:
    curl -I -v http://xxx.net/4\x8Fk\xBE\xCBp\x94A\x1E\xD7|i.,\x10\xC7o\x00
    * Hostname was NOT found in DNS cache
      % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                     Dload  Upload   Total   Spent    Left  Speed
      0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0*   Trying ...
    * Connected to xxx.net (7......6) port 80 (#0)
    > HEAD /4x8FkxBExCBpx94Ax1ExD7 HTTP/1.1
    > User-Agent: curl/7.38.0
    > Host: xxx.net
    > Accept: */*
    > 
    < HTTP/1.1 404 Not Found
    * Server nginx is not blacklisted
    < Server: nginx
    < Date: Sun, 06 Mar 2016 19:20:57 GMT
    < Content-Type: text/html
    < Content-Length: 1619
    < Connection: keep-alive
    < Vary: Accept-Encoding
    < ETag: "56be317a-653"
    < Access-Control-Allow-Origin: xxx.net
    < Content-Security-Policy: base-uri http://xxx.net; default-src 'self' data: 'unsafe-inline'; referrer no-referrer; reflected-xss allow; report-uri https://report-uri.io/report/xyzabc; sandbox;
    < X-Content-Security-Policy: base-uri http://xxx.net; default-src 'self' data: 'unsafe-inline'; referrer no-referrer; reflected-xss allow; report-uri https://report-uri.io/report/xyzabc; sandbox;
    < X-WebKit-CSP: base-uri http://xxx.net; default-src 'self' data: 'unsafe-inline'; referrer no-referrer; reflected-xss allow; report-uri https://report-uri.io/report/xyzabc; sandbox;
    < X-Content-Type-Options: nosniff
    < Frame-Options: DENY
    < X-Frame-Options: DENY
    < X-Powered-By: Power by Me, Myself, and moults softs :D
    < X-Xss-Protection: 1; mode=block
    < 
      0  1619    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0
    * Connection #0 to host xxx.net left intact
    i.,x10xC7ox00 : commande introuvable
    On remarque la dernière ligne ... donc l'entête de connexion cherche à lancer une commande - de toute façon l'entête s'est pris une erreur 404 "Not found", et maintenant toute ip avec le même style de code se prendra une jolie erreur 444, sachant qu'en plus elle est/sera blacklistée - et iptables est méchant avec ce genre de chose !

    Maintenant, cela ne me dit pas ce que cela cherche réellement comme commande à exécuter.
    Quid peut m'aider à comprendre ?
    "Un hacker est un justicier du monde libre, du libre partage, de la libre information... "
    Quel slogan !
    Tout un programme ... une sacrée vision ... comme je les aime !

  • #2
    Bon, je cherche toujours à comprendre

    Il me semble avoir compris que ce sont des tentatives dites shellcode, si je ne me trompe pas ...

    Cet après-midi, j'en ai celle-ci :

    Code:
    169.229.3.91 - - [08/Mar/2016:14:50:38 +0100] 400 ":\xBB\xBB\xD7\xC5DD(vw\xAFu\x1Ch Lr\xA2\x8D\xFC\x9F6\x5CCx\x89\xFE\xB9\x1E\x02d3[e\xE1U\x80\xDE\x9Et\xDC\xED\xE6\xA19#OV\xD0W\x05\x98N\xFD\xF9]\xFE\x19\x14\xCD\x02H\xAE\xA1" "Request-Length:0" "Request-Time:0.196" 166 "UA:-" "Referrer:-" "Gz-Ratio:-""Conn-Serial-Number:367" "Request-Nb-Current:1"
    Hier, celle-ci :

    Code:
    169.229.3.91 - - [07/Mar/2016:11:18:45 +0100] 400 "3\xDF'4\x1B%\x1C\xE7,\xE4Fp\xCC \xD8\xCB\xB1\xF5#?\xAA\x0C" "Request-Length:0" "Request-Time:0.196" 166 "UA:-" "Referrer:-" "Gz-Ratio:-""Conn-Serial-Number:374" "Request-Nb-Current:1"
    Tiens, je remarque déjà que ça provient de la même ip '169.229.3.91'
    Un whois sur cette ip me donne le réseau de l'université de californie de Berkeley - bien, bien, bien ...
    À la limite, je m'en fiche ...

    Ce que j'aimerais comprendre, c'est comment bloquer ce genre "d'attaque" ... ?!

    OU celle renfermant ce genre de symbole : "%2f%69%6d%61%67%65", par exemple ...
    (ça ressemble fortement à de l'url encodage, cette dernière !)
    "Un hacker est un justicier du monde libre, du libre partage, de la libre information... "
    Quel slogan !
    Tout un programme ... une sacrée vision ... comme je les aime !

    Commentaire


    • #3
      Il s’agit peut-être d’une tentative d’attaque, aucune certitude cependant étant donné que l’on ne connaît pas le fonctionnement de ton site (e.g. URL Rewriting, WAF):

      referrer no-referrer; reflected-xss allow;
      Il peut s’agir cependant d’un filtering ayant ré-encodé la requête au niveau client (ça arrive avec des modules semblables à noScript)…

      La deuxième serait à-priori une commande qui cherche à s'exécuter !
      Il ne s’agit certainement pas d’une commande, mais si cette ligne apparaît "i.,x10xC7ox00 : commande introuvable" c’est, comme tu l’as dis, que ta chaîne d’accès contient un pipe char, celui-ci dans ton cas indique à ton SHELL de rediriger le flux de sortie de la commande curl vers cette fausse commande, si tu le mets entre quotes, tu constateras certainement un résultat tout à fait différent.

      Désolé de ne pouvoir t’aider plus…
      Dernière modification par Creased, 09 mars 2016, 19h43.

      Commentaire

      Chargement...
      X