Назад | Перейти на главную страницу

В блоге apache обнаружен специальный пользователь с именем @ ^ Y @. @ {Phqsp ~ {2 '/ 2 | pq {jvk @ -1 (' @ lvo) & 1--1. (/ 1) '@. / *

При проверке файлов журналов некоторых моих клиентов я обнаружил, что это имя пользователя для аутентифицированных пользователей. У нас есть .htusers файл, используемый для базовой веб-аутентификации, всех остальных пользователей в журнале сервера я нашел в .htusers, но не @^Y@.@{phqsp~{2'/2|pq{jvk@-1('@lvo)&1--1.(/1)'@./* пользователь.

Версия сервера 2.2.22 на 64b Opensuse 12

Первый вопрос: смог ли этот пользователь получить контент, защищенный .htusers файл?

Следующий: у кого-нибудь есть дополнительная информация об этой попытке взлома? Я ничего не нашел в Google, кроме множества журналов доступа со всего мира.

Изменить: просто добавить журналы:

x.y.z.x - @^Y@.@{phqsp~{2'/2|pq{jvk@-1('@lvo)&1--1.(/1)'@./* [06/Jan/2013:16:53:16 +0000] "GET xxxxxxxxxxxxxxx HTTP/1.1" 200 676 "xxxxxxxxxxxxxxx" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"

x.y.z.x - @^Y@.@{phqsp~{2'/2|pq{jvk@-1('@lvo)&1--1.(/1)'@./* [06/Jan/2013:16:53:16 +0000] "GET xxxxxxxxxxxxxxx HTTP/1.1" 200 523 "xxxxxxxxxxxxxxx" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"

x.y.z.x - @^Y@&@{phqsp~{2'/2|pq{jvk@-1('@lvo)&1--1.(/1)'@./* [06/Jan/2013:16:57:47 +0000] "GET xxxxxxxxxxxxxxx HTTP/1.1" 200 11 "xxxxxxxxxxxxxxx" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"

Я думаю, что есть плохие новости, если хххххх ресурсы находятся на охраняемой территории. Код состояния HTTP 200 в ваших журналах говорит о том, что ваш сервер успешно отправил ресурс клиенту x.y.z.x. Если бы basic-auth каким-либо образом не сработал, вместо этого был бы возвращен 401 (запрещено).

Число рядом с 200 сообщает вам, сколько байтов было отправлено в ответ. Проверьте, действительно ли ресурсы, стоящие за xxxxxx, имеют размер 676, 523 и 11 байтов, чтобы получить еще одну подсказку об успешном доступе к данным.

Обновление / решение:

Как выяснилось в комментариях, упомянутые обращения были к ресурсам в незащищенных областях, что привело к получению кода статуса http 200 (OK). Непонятный факт, что в журналах отображается неизвестное имя пользователя, связан с возможностью установить заголовок «Авторизация» в HTTP-запросе независимо от того, была ли авторизация запрошена сервером вообще или имя пользователя известно на сервере. Очевидно, это работа какого-то веб-краулера или бота, установившего заголовок auth по умолчанию. Может быть, невинно, а может и нет, но явно не так вредно, как кажется на первый взгляд из файла журнала.