Tweet
Server Web :: log :: URL Bizarre
Bonsoir,
Tiens, tiens, dans l'après-midi, mon serveur web enregistre dans son log, l'entête de connexion de cette forme :
169.229.3.91 - - [06/Mar/2016:12:25:43 +0100] 400 "4\x8Fk\xBE\xCBp\x94A\x1E\xD7|i.,\x10\xC7o\x00" "Request-Length:0" "Request-Time:0.196" 166 "UA:-" "Referrer:-" "Gz-Ratio:-""Conn-Serial-Number:458" "Request-Nb-Current:1"
Ce qui est intéressant bien sûr est cette portion : "4\x8Fk\xBE\xCBp\x94A\x1E\xD7|i.,\x10\xC7o\x00"
Apparemment, elle se décompose en deux parties, sectionnable à partir du symbole '|', nommé pipe. La deuxième serait à-priori une commande qui cherche à s'exécuter !
En effet, un coup de curl :
On remarque la dernière ligne ... donc l'entête de connexion cherche à lancer une commande - de toute façon l'entête s'est pris une erreur 404 "Not found", et maintenant toute ip avec le même style de code se prendra une jolie erreur 444, sachant qu'en plus elle est/sera blacklistée - et iptables est méchant avec ce genre de chose !
Maintenant, cela ne me dit pas ce que cela cherche réellement comme commande à exécuter.
Quid peut m'aider à comprendre ?
Tiens, tiens, dans l'après-midi, mon serveur web enregistre dans son log, l'entête de connexion de cette forme :
169.229.3.91 - - [06/Mar/2016:12:25:43 +0100] 400 "4\x8Fk\xBE\xCBp\x94A\x1E\xD7|i.,\x10\xC7o\x00" "Request-Length:0" "Request-Time:0.196" 166 "UA:-" "Referrer:-" "Gz-Ratio:-""Conn-Serial-Number:458" "Request-Nb-Current:1"
Ce qui est intéressant bien sûr est cette portion : "4\x8Fk\xBE\xCBp\x94A\x1E\xD7|i.,\x10\xC7o\x00"
Apparemment, elle se décompose en deux parties, sectionnable à partir du symbole '|', nommé pipe. La deuxième serait à-priori une commande qui cherche à s'exécuter !
En effet, un coup de curl :
Code:
curl -I -v http://xxx.net/4\x8Fk\xBE\xCBp\x94A\x1E\xD7|i.,\x10\xC7o\x00
* Hostname was NOT found in DNS cache
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0* Trying ...
* Connected to xxx.net (7......6) port 80 (#0)
> HEAD /4x8FkxBExCBpx94Ax1ExD7 HTTP/1.1
> User-Agent: curl/7.38.0
> Host: xxx.net
> Accept: */*
>
< HTTP/1.1 404 Not Found
* Server nginx is not blacklisted
< Server: nginx
< Date: Sun, 06 Mar 2016 19:20:57 GMT
< Content-Type: text/html
< Content-Length: 1619
< Connection: keep-alive
< Vary: Accept-Encoding
< ETag: "56be317a-653"
< Access-Control-Allow-Origin: xxx.net
< Content-Security-Policy: base-uri http://xxx.net; default-src 'self' data: 'unsafe-inline'; referrer no-referrer; reflected-xss allow; report-uri https://report-uri.io/report/xyzabc; sandbox;
< X-Content-Security-Policy: base-uri http://xxx.net; default-src 'self' data: 'unsafe-inline'; referrer no-referrer; reflected-xss allow; report-uri https://report-uri.io/report/xyzabc; sandbox;
< X-WebKit-CSP: base-uri http://xxx.net; default-src 'self' data: 'unsafe-inline'; referrer no-referrer; reflected-xss allow; report-uri https://report-uri.io/report/xyzabc; sandbox;
< X-Content-Type-Options: nosniff
< Frame-Options: DENY
< X-Frame-Options: DENY
< X-Powered-By: Power by Me, Myself, and moults softs :D
< X-Xss-Protection: 1; mode=block
<
0 1619 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0
* Connection #0 to host xxx.net left intact
i.,x10xC7ox00 : commande introuvable
Maintenant, cela ne me dit pas ce que cela cherche réellement comme commande à exécuter.
Quid peut m'aider à comprendre ?
Commentaire