Сайт нашей компании только что заработал, и самый первый запись в access.log выглядит как пробный эксплойт :) Есть идеи, что это может быть?
Вот соответствующая строка:
79.168.7.121 - - [28 / Янв / 2011: 13: 19: 25 +0100] "Z \ xc0 \ xf5 \ x95 \ xb8Un \ xff \ x9ecA \ xd1 \ xc2 / \ xfc \ x94n \ x8epeM \ xdc \ x18 # \ xb3 \ xc8 \ xa5 \ xbe) \ xbci \ xe2 \ xf5 \ x02, \ x97 \ xc0 \ x96 \ x9e \ xa9 \ xf8; i \ x1a \ x86 \ x01 "200 4855" - "" - "
Я не хочу сбрасывать со счетов обоснованность вашего вопроса, но после определенного момента погоня за таким журнальным трафиком становится непомерно затратной по времени. Детишки-скрипты, боты с автоматическим зондированием, плохо спроектированные веб-пауки - все они в какой-то момент придут навестить ваш веб-сервер и будут оставлять странные записи в ваших журналах доступа. Что вам нужно учитывать и разработать стратегию анализа журналов для раскрытия, - это когда доступ к привилегированным ресурсам предоставляется в соответствии с этими странными строками; вам следует направить анализ журнала на обнаружение неожиданного привилегированного доступа, а не на неожиданные запросы. Подумайте, как связать журналы доступа к веб-серверу с журналами веб-приложений, чтобы лучше понять, что на самом деле представляет собой неожиданный доступ. Я понимаю, что это довольно общий совет, но я надеюсь, что он несколько полезен.
IP-адрес из Лиссабона, Португалия (как любой сервис GeoIP может сказать вам). Экраны «\ x» - это escape-последовательности для указания кодовых точек Unicode, поэтому они должны разрешаться во что-то более или менее значимое.
Но кажется, что запросы дали HTTP 200?
Может быть эксплойт переполнения буфера.