यादृच्छिक आईपी पते से “\ x” के साथ शुरू होने वाले यादृच्छिक एन्कोडेड स्ट्रिंग के कारण Nginx 400 त्रुटियां

मुझे लगता है कि ये कुछ प्रकार के बॉट हैं, लेकिन जानना चाहेंगे कि वे मेरे सर्वर पर क्या करने की कोशिश कर रहे हैं।

प्रश्नों में लॉग नीचे हैं और आईपी पते को मूल से बदल दिया गया है।

12.34.56.78 - - [18/Oct/2012:16:48:20 +0100] "\x86L\xED\x0C\xB0\x01|\x80Z\xBF\x7F\xBE\xBE" 400 172 "-" "-"
12.34.56.78 - - [18/Oct/2012:16:50:28 +0100] "\x84K\x1D#Z\x99\xA0\xFA0\xDC\xC8_\xF3\xAB1\xE2\x86%4xZ\x04\xA3)\xBCN\x92r*\xAAN\x5CF\x94S\xE3\xAF\x96r]j\xAA\xC1Y_\xAE\xF0p\xE5\xBAQiz\x14\x9F\x92\x0C\xCC\x8Ed\x17N\x08\x05" 400 172 "-" "-"
12.34.56.78 - - [18/Oct/2012:16:58:32 +0100] "g\x82-\x9A\xB8\xF0\xFA\xF4\xAD8\xBA\x8FP\xAD\x0B0\xD3\xB2\xD2\x1D\xFF=\xAB\xDEC\xD5\xCB\x0B*Z^\x187\x9C\xB6\xA6V\xB8-D_\xFE" 400 172 "-" "-"
12.34.56.78 - - [18/Oct/2012:17:06:59 +0100] "\xA61[\xB5\x02*\xCA\xB6\xC6\xDB\x92#o.\xF4Kj'H\xFD>\x0E\x15\x0E\x90\xDF\xD0R>'\xB8A\xAF\xA3\x13\xB3c\xACI\xA0\xAA\xA7\x9C\xCE\xA3\x92\x85\xDA\xAD1\x08\x07\xFC\xBB\x0B\x95\xA8Z\xCA\xA1\xE0\x88\xAEP" 400 172 "-" "-"
12.34.56.78 - - [18/Oct/2012:17:13:53 +0100] "b\xC4\xA24Z\xA2\x95\xEFc\xAF\xF1\x93\xE8\x81\xFD\xB4\xDEo\x92\xC0v\x1Fe\xD8W\x85\xC7O\x9D\x8C\x89<" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:09:56:39 +0100] "\x93d\xD8\x85\xD3f\x182\x94\x10\xE6y\x06\x7F\xE5\x97\xA8S\x8AfZ\x84\x0C\x0F\xFD\x19d*+\x09%\xEC3EG\xDD:Tn\xDA" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:07:10 +0100] ">\x92\xD7\x85\xC2\x5C\xDA\x8CJX\xBE\x87\x01\xBA\x09\xADj\xEDT.\x02z\x0B\xCA\x00\xAC\xDC[_;q\xC15\x17\xE9\x0B\x9F\xDA;\xEC\xDA)\xB8\x91\xA2\xB5P\xE9\x81\xF2\xD5\xD3\xC4\xD3" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:09:53 +0100] "\x12\x9E>\xFC\xF4\x07,\x9A\xF5G\xB4\xD0\xD4\xF1\xCB9\x9FRl\xB0\xDB\x84a\x90\x7F{\xB1\xA3\xD9-5\xF8\x94~\xCEm\x87\xEC\xB4\xE2s\xBD\xDB@" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:24:49 +0100] "\x98\xCA\xD3\x95|&t\x1Cp\x02\xF7\x88m\x08T\xE7tm\x9E\x04\xFB\x85\xB7\x08\xB3\xA0-Z\x03\xD5O\x98\xC6\x0EK|\xA1" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:27:58 +0100] "\x11\xE8.^\x0E\x8B}\x81\xAD\xA3^\x9E\xDFg2?@\xCB\x1Ej\xC7h\xB00\xF0\xDC\x92\x9B@\xFD\xBChB\xBF7tF\x17+W\xFFV\x8F" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:40:43 +0100] "Ou\xB3\x89\x8DiB\x82\x9D\xE8?wshxLF'\x0F\xB2o\xF6\xCD\xFC\xC2\x82ck\xC4\xF7\x0F\x01\xBC\x8B\xDA\x93|\xEAL\x81\xED`Rbr\x0F\xC1\xC8T\xDE\x07\x91\xF5|J\x5C\xBD70\x22\xD5\xA5p\xF4\xF4\xAA\xC2\xF2a\x19\xFE" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:41:29 +0100] "[8]\xCC\x7F\x1E\xA9\xE6f\xD7<\xA9\x18\xD9\xC0\xD0j~O\x90C\x8D]hVz\x84\x94y]\x95{.\x13m_];W1\x16\xEF\xD6\xE2" 400 172 "-" "-"

उपरोक्त एक ही IP पते से एक समयावधि में है। इस में किसी भी जानकारी की सराहना की है।

आप इसे सबसे अधिक संभावना देख रहे हैं क्योंकि आप HTTP समापन बिंदु के लिए HTTPS अनुरोध कर रहे हैं। उदाहरण के लिए, आप 443 के बजाय अपने वेब सर्वर से 80 पोर्ट करने के लिए HTTPS रिक्वेस्ट भेज रहे हैं। परिणामस्वरूप, HTTP एंडपॉइंट को एन्क्रिप्टेड डेटा का एक गुच्छा मिलता है, इसे डिक्रिप्ट करने का कोई प्रयास नहीं करता है (क्योंकि HTTP को प्लेनटेक्स्ट माना जाता है) , और इसलिए आपको लॉग फ़ाइल में जिबरिश का एक गुच्छा मिलता है।

मेरे पास एक ही मुद्दा था, स्रोत आईपी और कुछ Google से, जहां मुझे कुछ प्रकार के हमले का संदेह है, की जाँच की। तब मुझे एहसास हुआ कि मेरे पास default_server 443 पर एक सुन रहा था , लेकिन कोई एसएसएल प्रमाणपत्र कॉन्फ़िगर नहीं किया गया था । मैंने इस सर्वर पर टिप्पणी की और समस्या दूर हो गई।

इसलिए मैं दूसरा येवगेनी बिंदु।

पोर्ट 443 पर सुनने वाले मिस कॉन्फ़िगर किए गए सर्वर के लिए अपने नगीनक्स कॉन्फ़िगरेशन की जाँच करें!

सबसे पहले मैं इस हेक्स को डिकोड करने की कोशिश करूंगा।

जहाँ तक मैंने देखा कि वे यादृच्छिक वर्ण हैं। क्या आप इस आईपी एड्रेस से परिचित हैं? क्या यह केवल एक या काफी प्रसंग है? आपने इसे देखने की कोशिश की?

और शायद - कुछ स्क्रिप्ट-किडी ने "सबसे अच्छा शोषण" पाया और कुछ परीक्षण करना चाहते हैं या किसी प्रकार का कीड़ा आपके नगीनों में बग की तलाश कर रहा है।

कृपया - आप nginx संस्करण को सत्यापित करें और changelog में यादृच्छिक आकर्षण nginx बग से परिचित कुछ देखने की कोशिश करें।

इसी तरह का व्यवहार तब देखा जाता है जब बिटटोरेंट क्लाइंट अपने साथियों से कनेक्ट करने के लिए पोर्ट 80 का उपयोग करता है।