作者walelile (wakaka)
看板NetSecurity
标题[问题] Nginx log出现怪异讯息
时间Tue Jun 20 02:24:34 2017
今天在看nginx log的时候,看到有奇怪讯息如下
164.52.7.132 - - "\x16\x03\x01\x01\x22\x01\x00\x01\x1E\x03\x03h\xAB"+
"(\x06B<\x1D\x5C\xEE\x91pE\xEE\x13\xB6>\x88\xBA4\xE3" +
"\x16\xCBb@\xD8xvZ\xF9\xF9\x8C\xAF\x00\x00\x88\xC00" +
"\xC0,\xC0(\xC0$\xC0\x14\xC0"
164.52.7.132 - - "USER test +iw test :Test Wuz Here" 400 166 "-" "-" "-"
第一行不知道是哪种格式的资料
第二行 Google search後,在AbuseIPDB看到有人回报是hack
想请问这真的是因为hack吗?
对方是如何做到这点的? ssh登入server後,修改Nginx log吗?
谢谢指点
※ 编辑: walelile (1.171.171.147), 06/20/2017 02:25:06
1F:→ a73126: 第一行应该是一般utf-8文字的code吧 06/20 04:13
补上完整字串。我试着去用utf8 decode,结果不太对
python code:
>>> s.decode('utf8', errors='ignore')
'\x16\x03\x01\x01"\x01\x00\x01\x1e\x03\x03h(\x06B<\x1d\\pE\x13>' +
'4\x16b@xvZ\x00\x000,($\x14'
※ 编辑: walelile (1.171.171.147), 06/20/2017 08:25:14
2F:→ walelile: 会不会只是http request改一下method, path, and agent? 06/20 08:35
3F:推 CMJ0121: 根据我的经验... 那只是一个 BOT 在自动做一些事情 06/20 10:11
4F:→ CMJ0121: 像是写烂的爬虫、攻击的特订漏洞等 06/20 10:11
5F:→ walelile: 了解,第一次架站,看到一堆乱七八糟的access有点吓到 06/20 11:24
7F:→ walelile: 恩恩,谢谢分享 06/22 19:22
8F:→ shemale: 如果我没有记错的话,这是远端要和你做SSL确认什麽的 07/09 03:40
9F:→ shemale: 你这应该是在port 443吧,试一下用telnet来GET / 07/09 03:40
10F:→ shemale: 如果出现HTML,这表示你没设好SSL 07/09 03:41
11F:→ shemale: 所以远端用加密的request你看到乱码。设好httpd-ssl.conf 07/09 03:42