我目前正在运行Apache HTTP服务器,并设置了监视以在错误日志中出现错误时接收电子邮件。我通常会尝试查找是否正在使用HTTP 1.0,并尝试查看是否正在使用可利用的WordPress之类的现成软件。

上周末我看到了一个新条目在我的错误日志中,并想知道潜在的攻击者正在尝试做什么(Abcdef是我猜测攻击者的句柄(我已更改)):

除了明显地告诉我他们对山羊的爱之外,任何人都可以确定此请求的目的是什么。我试着用谷歌搜索字符串的一部分..并最终得到有关山羊的结果!

我想这个想法是提供一个URI,它将导致溢出,从而导致unicode在最后,但不确定。

注意
我已经做出了巨大的假设,因为请求的末尾有字符,因此请求确实具有恶意手段,因此发布在Security中而不是在服务器故障。

评论

有关更详细的描述,请参阅3000万首因诗歌入侵的Web服务器日志。
我在Google上找到了此文件:css-tricks.com/forums/topic/lol-server-log
我怀疑此请求的目的是通过将其令人困惑的HTTP请求发布到Stack Exchange来使某人匿名出名。
我要说的是,这是对我见过的安全系统进行最有趣的尝试。这些天,孩子们,我告诉你...
客户端IP地址是否与IT安全会议相关联?

#1 楼

我不知道REDACTED的组成部分是什么,但我可以告诉你\xf0\x9f\x90\x90字节对应于UTF-8中山羊的图片:

这里是:🐐


注意:一时兴起,我还查询了与这些字节值相对应的Intel操作码。他们根本没有做任何有趣的事情-0x90是NOP(什么都不做),0x9f是LAHF(将FLAGS加载到AH寄存器中),而0xf0是LOCK(在后面跟随LAHF会引发非法指令错误)。 >

评论

发布时我自己对其进行了编辑,看起来似乎有些描述。因此看来,他们只是真的很喜欢山羊,想传播这一信息。

–疯狂的恐龙
16年2月8日在13:20
如果引发了异常并且“攻击者”可以看到该异常,则他们知道如何在该较差的服务器上进行攻击。希望没有服务器有这么大的漏洞...(如果服务器允许从HEAD请求执行远程代码,那将是可怕的)。我可以保留我的锡箔帽子吗?

–伊斯梅尔·米格尔(Ismael Miguel)
16-2-9在18:49


#2 楼

这看起来与在汉堡的混沌通信大会上散发的诗歌相似。特别是,它开始将HEAD用作诗歌的一部分(下面的示例使用DELETE开头)。

https://nakedsecurity.sophos.com/2016/01/07/millions服务器感染诗并邀请他们跳入河中/

#3 楼

刚刚在我的access.log中使用以下URL找到了相同的请求:
http://massgoat4u.megabrutal.com/

这是什么?
受#masspoem4u的启发,我尝试重复他们所做的事情:向全球所有IPv4地址分配一个唯一的HTTP请求。
您是如何做到的?
我使用的是Robert Graham的masscan的稍加修改版本,就像masspoem4u你们在CCC做过。但是,我没有像他们这样的快速网络,因此我的扫描大约需要一周的时间才能完成。您可以在此处找到有关masscan的有趣文章。
有害吗?
当然不会。这是完全无害的。您唯一应该了解的是HTTP日志中的消息。由于一个IP仅收到一个请求,并且探测的顺序是随机的,因此它不会浪费资源,也不会使网络超载。地址包含其他UTF-8字节,但可能不相关。
[XXX.XXX.XXX.XXX] - - [DATE] "\xad\x17\x15\xd2\xf0\xa2y\xec\xc9\xe6\xe2\xe2\xd1\"\xb1\"\x88\x82Ojo\xb8Q\xa0r\xd5\xfe\xe5E\x9a\x01\xfcf\x18\xff\x9d\x05\x1dh\xa1\xc61\xea;\x04F\x8b\xb1SgEhGk\x86&\x93b<O" 200 11899 "-" "-"