Estoy creando algún tipo de aplicación web y actualmente todo se ejecuta en mi máquina. Estaba revisando mis registros y encontré varias entradas de registro "extrañas" que me pusieron un poco paranoico. Aquí va:
***.***.***.** - - [19/Dec/2010:19:47:47 +0100] "\x99\x91g\xca\xa8" 501 1054
**.***.***.** - - [19/Dec/2010:20:14:58 +0100] "<}\xdbe\x86E\x18\xe7\x8b" 501 1054
**.**.***.*** - - [21/Dec/2010:15:28:14 +0100] "J\xaa\x9f\xa3\xdd\x9c\x81\\\xbd\xb3\xbe\xf7\xa6A\x92g'\x039\x97\xac,vC\x8d\x12\xec\x80\x06\x10\x8e\xab7e\xa9\x98\x10\xa7" 501 1054
Maldita sea... ¡¿Qué es esto?!
Respuesta1
A menos que haya notado archivos nuevos extraños, archivos de sistema modificados u otros comportamientos extraños en su servidor, no me preocuparía mucho por esas entradas de registro extrañas. Cualquiera puede enviar solicitudes HTTP con formato incorrecto a su servidor si está abierto a Internet, y muchas personas (o bots) hacen precisamente eso.
¿Por qué harían eso? Bueno, algunos servidores web tienen vulnerabilidades conocidas que pueden explotarse enviándoles el tipo de solicitud "correcto". Entonces, lo que posiblemente esté viendo son sondas de vulnerabilidades conocidas (o incluso desconocidas). Si te hace sentir más seguro, puedes tomarretroactivomedidas, como bloquear/prohibir IP que envían solicitudes mal formadas o desconocidas (usando iptables, fail2ban, etc.).
Personalmente, tomo la postura de que realmente no vale la pena poner en la lista negra las IP "malas", ya que, cuando ves sus rastros en tus archivos de registro, ya se habrán enterado de que no eres vulnerable o ya estás hackeado. Yo creo queEl mejor enfoque es ser proactivo.con seguridad:
Mantenga el software de su servidor completamente parchado y actualizado. Siempre. Con fastidio. Religiosamente.
Mantenga su perfil de ataque lo más pequeño posible: no instale ni ejecute ningún software innecesario en el servidor. Y comoGuillermo de Ockhamdijo una vez: "No multiplique las cuentas de usuario innecesariamente".
Corta el firewall de tu servidor. (O no, pero sé lo que estás haciendo.)
Ejecute un sistema de detección de intrusos, comoAYUDANTE,OSSEC, osamhain. Esto le avisará cuando los archivos del sistema cambien inesperadamente, lo que a menudo indica que su servidor se ha visto comprometido.
Ejecute software de monitoreo/gráficos del sistema, comomunin,cactus,recogidoo similar. Mire los gráficos periódicamente para tener una idea de cómo son las cargas normales del sistema y cuáles son sus tendencias habituales. Luego, cuando sus gráficos muestren algo que nunca antes había visto, tendrá el impulso de investigar más a fondo.
Ejecute un analizador/grafista de registros web, comowebalizadoroestadísticas. Nuevamente, familiarícese con cómo son las operaciones normales, para que pueda reconocer rápidamente cuando las cosas no son normales.
Ejecute un servidor de registros independiente (preferiblemente en un sistema mínimo con seguridad reforzada que no ejecute nada más) y configure sus servidores para que le envíen sus registros. Esto hace que sea mucho más difícil para un intruso cubrir sus huellas.
Respuesta2
¿Qué tipo de servidor estás ejecutando? ¿Apache?
Eso parece un exploit de IIS... Código Rojo/NIMDA
Respuesta3
Cada servidor web de acceso público recibe solicitudes como ésta durante todo el día. Simplemente están intentando ciegamente explotar exploits conocidos contra su servidor. Lo que hago a menudo es configurar el servidor web para que muestre una página en blanco cuando recibe solicitudes a su IP (es decir,http://10.0.0.1). Solo permito que aparezcan los sitios cuando se solicita el dominio de host virtual correcto.
Vea qué sitio aparece cuando accede al servidor web por IP en lugar de por nombre de dominio. La mayoría de los scripts de exploits que rastrean los netter-tubes no realizan solicitudes válidas de host virtual (encabezados de host virtual adecuados).
También puede consultar las diversas utilidades que bloquearán automáticamente las direcciones IP que intenten realizar solicitudes nefastas.
Respuesta4
Bueno, suponiendo que esas direcciones IP fueran suyas y no direcciones externas, entonces puede que simplemente se trate de basura de registro de su aplicación web.
Eso me recuerda una situación en la que había visto PHP registrando datos en UTF8, luego se codificaban/escapaban en ASCII, lo que representaba mensajes de aspecto muy similar.