В наших журналах много таких запросов:
[07/Dec/2015:19:37:03 +0000] "\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\!
x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01" 400 172 "-" "-" "-"
Я предполагаю, что это уязвимость в системе безопасности, но я не смог найти ее в Google. Кто-нибудь еще это видел или знает, что это такое?
Возможно, это попытка использовать уязвимость системы безопасности, но в этой записи журнала нет ничего, что указывает на уязвимость вашего сервера.
Клиент не использует HTTP. Он просто отправляет последовательность байтов, каждый из которых имеет значение 1. Если бы это был HTTP, он был бы интерпретирован как символы ASCII, а 1 байт в ASCII - это редко используемый управляющий символ, который не имеет значения в HTTP.
Это может быть попытка использовать переполнение буфера, но в этом случае может показаться, что ваш сервер отклонил запрос как недействительный еще до того, как он добрался до вредоносной полезной нагрузки. На уязвимом сервере, скорее всего, ничего не было бы зарегистрировано.
В 400 в журнале указывает, что ваш сервер отклонил запрос как недействительный. Это потому, что поток в 1 байт не является допустимым методом HTTP и, кроме того, слишком длинный.
An ответ на связанный вопрос на родственном сайте указывает, что этот вид запроса может также быть попыткой снятия отпечатков пальцев с вашего сервера, чтобы узнать, какое программное обеспечение на нем запущено.
Похоже, кто-то запрашивает шелл-код с вашего веб-сервера.
Обычно я просто игнорирую это, но если это вызывает проблемы с логированием или чем-то еще, забаньте их.
Сделайте быстрый Whois для их IP-адреса, и, если это университет, сообщите об этом на электронную почту abuse @ с журналами;)