ランダムなIPアドレスからの「\ x」で始まるランダムにエンコードされた文字列によるNginx 400エラー


12

これらはある種のボットだと思いますが、彼らが私のサーバーに対して何をしようとしているのか知りたいのです。

質問のログインは以下であり、IPアドレスは元のアドレスから変更されています。

12.34.56.78 - - [18/Oct/2012:16:48:20 +0100] "\x86L\xED\x0C\xB0\x01|\x80Z\xBF\x7F\xBE\xBE" 400 172 "-" "-"
12.34.56.78 - - [18/Oct/2012:16:50:28 +0100] "\x84K\x1D#Z\x99\xA0\xFA0\xDC\xC8_\xF3\xAB1\xE2\x86%4xZ\x04\xA3)\xBCN\x92r*\xAAN\x5CF\x94S\xE3\xAF\x96r]j\xAA\xC1Y_\xAE\xF0p\xE5\xBAQiz\x14\x9F\x92\x0C\xCC\x8Ed\x17N\x08\x05" 400 172 "-" "-"
12.34.56.78 - - [18/Oct/2012:16:58:32 +0100] "g\x82-\x9A\xB8\xF0\xFA\xF4\xAD8\xBA\x8FP\xAD\x0B0\xD3\xB2\xD2\x1D\xFF=\xAB\xDEC\xD5\xCB\x0B*Z^\x187\x9C\xB6\xA6V\xB8-D_\xFE" 400 172 "-" "-"
12.34.56.78 - - [18/Oct/2012:17:06:59 +0100] "\xA61[\xB5\x02*\xCA\xB6\xC6\xDB\x92#o.\xF4Kj'H\xFD>\x0E\x15\x0E\x90\xDF\xD0R>'\xB8A\xAF\xA3\x13\xB3c\xACI\xA0\xAA\xA7\x9C\xCE\xA3\x92\x85\xDA\xAD1\x08\x07\xFC\xBB\x0B\x95\xA8Z\xCA\xA1\xE0\x88\xAEP" 400 172 "-" "-"
12.34.56.78 - - [18/Oct/2012:17:13:53 +0100] "b\xC4\xA24Z\xA2\x95\xEFc\xAF\xF1\x93\xE8\x81\xFD\xB4\xDEo\x92\xC0v\x1Fe\xD8W\x85\xC7O\x9D\x8C\x89<" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:09:56:39 +0100] "\x93d\xD8\x85\xD3f\x182\x94\x10\xE6y\x06\x7F\xE5\x97\xA8S\x8AfZ\x84\x0C\x0F\xFD\x19d*+\x09%\xEC3EG\xDD:Tn\xDA" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:07:10 +0100] ">\x92\xD7\x85\xC2\x5C\xDA\x8CJX\xBE\x87\x01\xBA\x09\xADj\xEDT.\x02z\x0B\xCA\x00\xAC\xDC[_;q\xC15\x17\xE9\x0B\x9F\xDA;\xEC\xDA)\xB8\x91\xA2\xB5P\xE9\x81\xF2\xD5\xD3\xC4\xD3" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:09:53 +0100] "\x12\x9E>\xFC\xF4\x07,\x9A\xF5G\xB4\xD0\xD4\xF1\xCB9\x9FRl\xB0\xDB\x84a\x90\x7F{\xB1\xA3\xD9-5\xF8\x94~\xCEm\x87\xEC\xB4\xE2s\xBD\xDB@" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:24:49 +0100] "\x98\xCA\xD3\x95|&t\x1Cp\x02\xF7\x88m\x08T\xE7tm\x9E\x04\xFB\x85\xB7\x08\xB3\xA0-Z\x03\xD5O\x98\xC6\x0EK|\xA1" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:27:58 +0100] "\x11\xE8.^\x0E\x8B}\x81\xAD\xA3^\x9E\xDFg2?@\xCB\x1Ej\xC7h\xB00\xF0\xDC\x92\x9B@\xFD\xBChB\xBF7tF\x17+W\xFFV\x8F" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:40:43 +0100] "Ou\xB3\x89\x8DiB\x82\x9D\xE8?wshxLF'\x0F\xB2o\xF6\xCD\xFC\xC2\x82ck\xC4\xF7\x0F\x01\xBC\x8B\xDA\x93|\xEAL\x81\xED`Rbr\x0F\xC1\xC8T\xDE\x07\x91\xF5|J\x5C\xBD70\x22\xD5\xA5p\xF4\xF4\xAA\xC2\xF2a\x19\xFE" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:41:29 +0100] "[8]\xCC\x7F\x1E\xA9\xE6f\xD7<\xA9\x18\xD9\xC0\xD0j~O\x90C\x8D]hVz\x84\x94y]\x95{.\x13m_];W1\x16\xEF\xD6\xE2" 400 172 "-" "-"

上記は、一定期間同じIPアドレスからのものです。これについての洞察は大歓迎です。

回答:


16

HTTPエンドポイントにHTTPSリクエストを送信しているため、これが発生する可能性が高くなります。たとえば、HTTPSリクエストを443ではなくWebサーバーのポート80に送信しているとします。その結果、HTTPエンドポイントは暗号化されたデータの束を取得し、それを解読しようとしません(HTTPはプレーンテキストであるため) 、そのため、ログファイルには意味不明な内容が多数含まれています。


バカみたい…ありがとう
Nick Grealy

2

私は同じ問題を抱えており、ソースIPといくつかのGoogleの場所を確認したため、何らかの攻撃が疑われます。次にdefault_server 、443をリッスンしているが、SSL証明書が構成されていないことに気付きました。私はこのサーバーをコメントアウトし、問題はなくなりました。

それで私は2番目のエフゲニーポイントです。

nginxの設定で、ポート443でリッスンしている設定ミスのサーバーがないか確認してください。


1

まず最初に、私はこのヘックスを解読しようとします。

私が気づいた限りでは、これらはランダムな文字です。このIPアドレスを知っていますか?1つだけですか、それともたくさんのアドレスですか?調べてみましたか?

そしておそらく-一部のスクリプトキディは「これまでで最高のエクスプロイト」を見つけ、何かをテストしたい、またはある種のワームがnginxのバグを探しています。

nginxのバージョンを確認し、ランダムな文字のnginxバグに慣れている変更ログを調べてみてください。


1

BitTorrentクライアントがポート80を使用してピアに接続する場合も、同様の動作が見られます。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.