Я смотрел на свой самодельный сервер, на котором запущен apache 2.2.10, и вот что увидел:
**.**.**.** - - [10/Nov/2010:07:05:14 +0200] ">\x03\xb6@\x1b\xbdg\x9e\xe9a)\x1a\xd8\x10U\x0f \xd2\xa4zj\x02q\xd9\xa8[\xbfy/" 400 226
**.**.**.** - - [10/Nov/2010:07:05:16 +0200] "\x1c \x10\x8f&" 400 226
**.**.**.** - - [09/Nov/2010:15:55:00 +0200] "\x1e\xcf" 200 654
**.**.**.** - - [06/Nov/2010:04:36:07 +0200] "\xce\x14\x1c`n\xeb\x8b)x\xee0}\xcbr\x88\xb9lE\x95\xd5\xd3E\x82\x9b\xe0\xb5w\xd2&\xa2>e\xdcn;\x1f\xd1\xdb\xa3" 200 654
**.**.**.** - - [08/Nov/2010:22:28:46 +0200] "\xaa\xc7P\x19h\x80\x96\x03\xd9<\x93\x8e3\x92\xb4\xf5B6;V\xb3\x9f=6s\xf8\xad\x0f\xa2^\xde/\xf5\x92\x95\x8d" 200 654
**.**.**.** - - [30/Oct/2010:03:24:39 +0300] "\x95\xdb\xdb\"\xac#\xac?\xcfQ\v(\x1c\x13\xfb\x8b\xfdq(<\xe6\x12\xff$eY1\xc9@l\x95\xbfe\x15\x84\r\r\xa1\xf1[" 400 226
Подобные бревна есть повсюду.
Скорее всего, кто-то или бот пытается найти и использовать бэкдор.
Мой вопрос здесь в том, как я могу прочитать, что стоит за этим кодом, и как я могу предотвратить выполнение таких кодов? Также можете ли вы, гуру apache, поделиться своим опытом с атаками apache и как лучше всего защитить его?
Заранее благодарю за любую помощь,
Дьявол
Так что на первый взгляд это похоже на атаку переполнения типа.
В моих системах я регулярно использую iDS, IPS (систему обнаружения / защиты от вторжений)
Подобные атаки обычно смягчаются хорошим набором правил (аналогично антивирусу).
Он фильтрует трафик в реальном времени и проверяет совпадения, и, наконец, при совпадении выполняет указанную операцию (например, DROP)
Предлагаемое программное обеспечение - это snort, который имеет открытый исходный код и поддерживает исчерпывающий набор правил.
Помните о других технологиях, таких как ограничение скорости и сканирование журнала, чтобы выявить нечестную игру. Однако профилактика лучше, чем реакция, я бы выбрал Snort :)
Надеюсь это поможет