"SEARCH /\x90\x04 ...." Eintrag im Apache-access.log

[ozt]

Hi Folks,

seit einiger Zeit beobachte ich komische Einträge in meinem Apache-access.log. Die erfolgen meist nachts und schauen so (und ähnlich) aus:

213.216.23.7 - - [09/Sep/2005:00:56:37 +0200] "SEARCH /\x90\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x0
4H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H
\x04H\x04H\x04H\  ........ \x90" 403 - "-" "-"

(wobei die Hex(?)-Angaben 100-fach wiederholt werden).

1. Welche Lücke sucht der Kollege?
2. Gibts da einen Redirect > dev/null für ?

TIA!
ozt

 

[Thorsten]

Hallo!

This is an attempt to exploit an MS-IIS bug. It is no danger to
apache and can be safely ignored.

mfG
Thorsten

 

[HornOx]

2. Gibts da einen Redirect > dev/null für ?

Die meisten dieser "Angriffe" machen zielen nur auf deine IP und haben keinen Hostname in der Anfrage. Wenn du die IP Addresse nicht als URL brauchst kannst du Apache so konfigurieren er nichts sinvolles ausgibt und auch nichts mitprotokoliert, z.b. so:

<VirtualHost *>
DocumentRoot /var/www/nix/
ServerName 62.75.148.21 #oder was auch immer deine IP Addresse ist
AliasMatch /.* "/var/www/nix/noip.txt" #irgendeine leere Datei
LogLevel crit
</VirtualHost>

 

[ozt]

Gracias!

Hallo ihr 2!

Danke für die flotten Antworten... habe mir beinahe gedacht, daß das ein IIS-Exploit ist - aber siescher is siescher Und schwupps hab ich meine httpd.conf angepaßt!

Danke schön!