나는 이것이 일종의 봇이라고 가정하지만 그들이 내 서버에 무엇을 하려고 하는지 알고 싶습니다.
문제의 로그는 아래와 같으며, IP 주소는 원본에서 변경되었습니다.
12.34.56.78 - - [18/Oct/2012:16:48:20 +0100] "\x86L\xED\x0C\xB0\x01|\x80Z\xBF\x7F\xBE\xBE" 400 172 "-" "-"
12.34.56.78 - - [18/Oct/2012:16:50:28 +0100] "\x84K\x1D#Z\x99\xA0\xFA0\xDC\xC8_\xF3\xAB1\xE2\x86%4xZ\x04\xA3)\xBCN\x92r*\xAAN\x5CF\x94S\xE3\xAF\x96r]j\xAA\xC1Y_\xAE\xF0p\xE5\xBAQiz\x14\x9F\x92\x0C\xCC\x8Ed\x17N\x08\x05" 400 172 "-" "-"
12.34.56.78 - - [18/Oct/2012:16:58:32 +0100] "g\x82-\x9A\xB8\xF0\xFA\xF4\xAD8\xBA\x8FP\xAD\x0B0\xD3\xB2\xD2\x1D\xFF=\xAB\xDEC\xD5\xCB\x0B*Z^\x187\x9C\xB6\xA6V\xB8-D_\xFE" 400 172 "-" "-"
12.34.56.78 - - [18/Oct/2012:17:06:59 +0100] "\xA61[\xB5\x02*\xCA\xB6\xC6\xDB\x92#o.\xF4Kj'H\xFD>\x0E\x15\x0E\x90\xDF\xD0R>'\xB8A\xAF\xA3\x13\xB3c\xACI\xA0\xAA\xA7\x9C\xCE\xA3\x92\x85\xDA\xAD1\x08\x07\xFC\xBB\x0B\x95\xA8Z\xCA\xA1\xE0\x88\xAEP" 400 172 "-" "-"
12.34.56.78 - - [18/Oct/2012:17:13:53 +0100] "b\xC4\xA24Z\xA2\x95\xEFc\xAF\xF1\x93\xE8\x81\xFD\xB4\xDEo\x92\xC0v\x1Fe\xD8W\x85\xC7O\x9D\x8C\x89<" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:09:56:39 +0100] "\x93d\xD8\x85\xD3f\x182\x94\x10\xE6y\x06\x7F\xE5\x97\xA8S\x8AfZ\x84\x0C\x0F\xFD\x19d*+\x09%\xEC3EG\xDD:Tn\xDA" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:07:10 +0100] ">\x92\xD7\x85\xC2\x5C\xDA\x8CJX\xBE\x87\x01\xBA\x09\xADj\xEDT.\x02z\x0B\xCA\x00\xAC\xDC[_;q\xC15\x17\xE9\x0B\x9F\xDA;\xEC\xDA)\xB8\x91\xA2\xB5P\xE9\x81\xF2\xD5\xD3\xC4\xD3" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:09:53 +0100] "\x12\x9E>\xFC\xF4\x07,\x9A\xF5G\xB4\xD0\xD4\xF1\xCB9\x9FRl\xB0\xDB\x84a\x90\x7F{\xB1\xA3\xD9-5\xF8\x94~\xCEm\x87\xEC\xB4\xE2s\xBD\xDB@" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:24:49 +0100] "\x98\xCA\xD3\x95|&t\x1Cp\x02\xF7\x88m\x08T\xE7tm\x9E\x04\xFB\x85\xB7\x08\xB3\xA0-Z\x03\xD5O\x98\xC6\x0EK|\xA1" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:27:58 +0100] "\x11\xE8.^\x0E\x8B}\x81\xAD\xA3^\x9E\xDFg2?@\xCB\x1Ej\xC7h\xB00\xF0\xDC\x92\x9B@\xFD\xBChB\xBF7tF\x17+W\xFFV\x8F" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:40:43 +0100] "Ou\xB3\x89\x8DiB\x82\x9D\xE8?wshxLF'\x0F\xB2o\xF6\xCD\xFC\xC2\x82ck\xC4\xF7\x0F\x01\xBC\x8B\xDA\x93|\xEAL\x81\xED`Rbr\x0F\xC1\xC8T\xDE\x07\x91\xF5|J\x5C\xBD70\x22\xD5\xA5p\xF4\xF4\xAA\xC2\xF2a\x19\xFE" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:41:29 +0100] "[8]\xCC\x7F\x1E\xA9\xE6f\xD7<\xA9\x18\xD9\xC0\xD0j~O\x90C\x8D]hVz\x84\x94y]\x95{.\x13m_];W1\x16\xEF\xD6\xE2" 400 172 "-" "-"
위의 내용은 일정 기간 동안 동일한 IP 주소에서 나온 것입니다. 이에 대한 통찰력을 높이 평가합니다.
답변1
HTTP 끝점에 HTTPS 요청을 하기 때문에 이 메시지가 표시될 가능성이 높습니다. 예를 들어 웹 서버의 포트 443 대신 포트 80으로 HTTPS 요청을 보내고 있습니다. 결과적으로 HTTP 끝점은 암호화된 데이터 묶음을 가져오고 이를 해독하려고 노력하지 않습니다(HTTP는 일반 텍스트로 간주되므로). , 따라서 로그 파일에 횡설수설이 많이 표시됩니다.
답변2
나는 같은 문제가 있었고 소스 IP와 Google의 일부 위치를 확인하여 일종의 공격을 의심하게 만들었습니다. 그러다가 내가 가지고 있다는 것을 깨달았습니다.default_server 443을 수신 중이지만 SSL 인증서가 구성되지 않았습니다.. 이 서버에 주석을 달았더니 문제가 사라졌습니다.
그래서 나는 두 번째 Yevgeniy 요점을 지적합니다.
포트 443에서 수신 대기하는 잘못 구성된 서버가 있는지 nginx 구성을 확인하십시오!
답변3
우선 나는 이 16진수를 해독하려고 노력할 것입니다.
내가 알아낸 한 그것은 임의의 문자입니다. 이 IP 주소를 알고 계시나요? 주소는 하나입니까, 아니면 여러 개입니까? 찾아보려고 했어?
그리고 아마도 일부 스크립트 키디가 "역대 최고의 익스플로잇"을 발견하고 무언가를 테스트하고 싶거나 어떤 종류의 웜이 nginx에서 버그를 찾고 있을 것입니다.
nginx 버전을 확인하고 임의 문자 nginx 버그에 익숙한 변경 로그를 찾아보세요.
답변4
BitTorrent 클라이언트가 포트 80을 사용하여 피어에 연결할 때 비슷한 동작이 관찰됩니다.