[問題] Nginx log出現怪異訊息
作者: walelile (wakaka) 2017-06-20 02:24:34
今天在看nginx log的時候,看到有奇怪訊息如下
164.52.7.132 - - "\x16\x03\x01\x01\x22\x01\x00\x01\x1E\x03\x03h\xAB"+
"(\x06B<\x1D\x5C\xEE\x91pE\xEE\x13\xB6>\x88\xBA4\xE3" +
"\x16\[email protected]\xD8xvZ\xF9\xF9\x8C\xAF\x00\x00\x88\xC00" +
"\xC0,\xC0(\xC0$\xC0\x14\xC0"
164.52.7.132 - - "USER test +iw test :Test Wuz Here" 400 166 "-" "-" "-"
第一行不知道是哪種格式的資料
第二行 Google search後,在AbuseIPDB看到有人回報是hack
想請問這真的是因為hack嗎?
對方是如何做到這點的? ssh登入server後,修改Nginx log嗎?
謝謝指點
※ 編輯: walelile (1.171.171.147), 06/20/2017 02:25:06
164.52.7.132 - - "\x16\x03\x01\x01\x22\x01\x00\x01\x1E\x03\x03h\xAB"+
"(\x06B<\x1D\x5C\xEE\x91pE\xEE\x13\xB6>\x88\xBA4\xE3" +
"\x16\[email protected]\xD8xvZ\xF9\xF9\x8C\xAF\x00\x00\x88\xC00" +
"\xC0,\xC0(\xC0$\xC0\x14\xC0"
164.52.7.132 - - "USER test +iw test :Test Wuz Here" 400 166 "-" "-" "-"
第一行不知道是哪種格式的資料
第二行 Google search後,在AbuseIPDB看到有人回報是hack
想請問這真的是因為hack嗎?
對方是如何做到這點的? ssh登入server後,修改Nginx log嗎?
謝謝指點
※ 編輯: walelile (1.171.171.147), 06/20/2017 02:25:06
作者: a73126 (Jalen) 2017-06-20 04:13:00
第一行應該是一般utf-8文字的code吧
作者: walelile (wakaka) 2017-06-20 08:35:00
會不會只是http request改一下method, path, and agent?
作者: CMJ0121 (請多指教!!) 2017-06-20 10:11:00
根據我的經驗... 那只是一個 BOT 在自動做一些事情像是寫爛的爬蟲、攻擊的特訂漏洞等
作者: walelile (wakaka) 2017-06-20 11:24:00
了解,第一次架站,看到一堆亂七八糟的access有點嚇到
作者: leo850611 (Victorique) 2017-06-22 03:46:00
" target="_blank" rel="nofollow"> 感覺是被try作者: walelile (wakaka) 2017-06-22 19:22:00
恩恩,謝謝分享
作者: shemale (我…我不是特意來肛你的) 2017-07-09 03:40:00
如果我沒有記錯的話,這是遠端要和你做SSL確認什麼的你這應該是在port 443吧,試一下用telnet來GET /如果出現HTML,這表示你沒設好SSL所以遠端用加密的request你看到亂碼。設好httpd-ssl.conf
繼續閱讀
[問題] 有關mac address 修改及匿名shawnjoe[閒聊] 2017.W24 - 逆向工程 (Reverse Engineering)CMJ0121[問題] 關於網路聊天Snowingday[閒聊] 2017.W23 - 社交工程 (Social Engineering)CMJ0121[閒聊] 看電影學資安-CSI Cyber S02E01AIRY0812[閒聊] 2017.W22 - SQL InjectionCMJ0121[0Day] CVE-2017-7494 (Samba)CMJ0121[閒聊] 2017.W21 - Google HackingCMJ0121[閒聊] 2017.W20 - Remote Code ExecutionCMJ0121[問題] 重複加密?rockdown