Рассматриваемые строки
124.178.138.134 - - [03/Sep/2010:00:05:35 +1000] "\x1e\xaa\xb7P\xcfL\x1eeV*" 200 1617 "-" "-"
203.29.140.81 - - [03/Sep/2010:00:14:58 +1000] "5A\xe8o8*\x1bWxg\x84L\xa2\x04\x13}y\xbc\xd8\xf7" 200 1617 "-" "-"
120.16.62.30 - - [03/Sep/2010:00:21:01 +1000] "\x8b\x9d\x1b\xe4\x8b\x12\x82P\xd83&\x98\\\x89\xc2\x149`9\xac\xd1\xa4!" 200 1617 "-" "-"
86.57.229.206 - - [03/Sep/2010:02:05:53 +1000] "\xaeA\x94\xbd\x95H" 200 1617 "-" "-"
Я предполагаю \x1e и т. д., которые я вижу там, где я могу часто видеть GET / HTTP/1.1 - это экранированные коды символов. 200 1617 соответствует строкам вокруг него, а 1617 - размер домашней страницы, насколько мне известно. Есть мысли по этому поводу? Это при установке apache 2.2 на FreeBSD 8.0 GENERIC.
РЕДАКТИРОВАТЬ: только что попал в другой.
121.209.160.33 - - [03/Sep/2010:18:08:33 +1000] "\rz\x85\x0e\xbc\xc2U\xeb/9\x12\x8a-\x8d\x1df\xf8\x11\x8c\xc0\x1b,r" 400 226 "-" "-"
Как правило, это наиболее вероятные атаки на серверы IIS (в частности, эта атака может быть связана с уязвимостью WebDav).
Если я правильно понимаю, вначале достаточно для переполнения буфера, а остальное - это шелл-код для открытия доступа в систему. Системы обнаружения вторжений, такие как Snort, могут обнаружить эти попытки и отклонить отправку до того, как попадут на веб-сервер.
Что касается Apache, вы, как правило, будете в безопасности, если будете постоянно обновляться. Если вы будете следить за журналом доступа, вы увидите множество ботов, которые просто случайным образом пытаются заразить другие серверы и распространиться дальше.
Кто-то пытался получить документы с этими именами с вашего веб-сервера. Часто черви и скриптовые детишки пробуют множество различных эксплойтов, которые часто выглядят похожими на это, пытаясь использовать ошибки в некоторых версиях какого-либо веб-сервера.
200 - это код результата (УСПЕХ), а 1617 - размер обслуживаемого документа.