Кто-то пытается обнаружить уязвимость?

Question

QuantumWanderer

apache , информационная-безопасность

Кто-то пытается обнаружить уязвимость?

С полуночи в логи Apache начали поступать странные записи. Можете помочь с их анализом? Вот некоторые из них:  
<pre><code>
192.168.1.1 - - [08/Feb/2025 19:01:22] "GET /api/hash?hash_text='test' HTTP/1.1" 200       &lt;---- это я
205.210.31.44 - - [08/Feb/2025 23:53:58] "GET / HTTP/1.0" 404 -                            &lt;---- а это уже не я
205.210.31.232 - - [09/Feb/2025 00:39:09] "GET / HTTP/1.1" 404 -
109.236.61.85 - - [09/Feb/2025 07:01:52] code 400, message Bad request version ('}')
109.236.61.85 - - [09/Feb/2025 07:01:52] "ÿ\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00ñ\x03%\x00\x00\x00{ "Ret" : 100, "SessionID" : "0x0" }" 400 -
49.51.180.2 - - [09/Feb/2025 11:49:50] "GET /api/hash?hash_text= HTTP/1.1" 200 -
43.129.58.235 - - [09/Feb/2025 12:10:23] "GET / HTTP/1.1" 404 -
5.101.0.66 - - [09/Feb/2025 12:39:34] code 400, message Bad request version ("¯nãY»bhlÿ(=':©\x82ÙoÈ¢×\x93\x98´ï\x80å¹\x90\x00(À")
5.101.0.66 - - [09/Feb/2025 12:39:34] "\x16\x03\x02\x01o\x01\x00\x01k\x03\x02RHÅ\x1a#÷:Nßâ´\x82/ÿ\x09T\x9f§Äy°hÆ\x13\x8c¤\x1c="á\x1a\x98 \x84´,\x85¯nãY»bhlÿ(=':©\x82ÙoÈ¢×\x93\x98´ï\x80å¹\x90\x00(À" 400 -
5.101.6.194 - - [09/Feb/2025 12:39:50] code 400, message Bad request version ('²7ÏJb\x88j\x13\x8e¿\x8a\x05ëg4»DÎÉ2î0|Ï£\x98Äà±¸\x9b')
5.101.6.194 - - [09/Feb/2025 12:39:50] "\x16\x03\x01\x05¨\x01\x00\x05¤\x03\x03ôfÓö\x01\x8b÷Ið\x7f\x8eÍüó\x86ñQ'¨\x09ÈÙ_\\&lt;pIUË³\x1bÈ ²7ÏJb\x88j\x13\x8e¿\x8a\x05ëg4»DÎÉ2î0|Ï£\x98Äà±¸\x9b" 400 -
5.101.6.194 - - [09/Feb/2025 12:39:51] "GET /v2/_catalog HTTP/1.1" 404 -
5.101.6.194 - - [09/Feb/2025 12:40:20] code 400, message Bad request version ('À\x13À')
5.101.6.194 - - [09/Feb/2025 12:40:20] "\x16\x03\x01\x05¨\x01\x00\x05¤\x03\x03l\x81ó\x18)\x0e¡®\x88w\x84\x18Ôú\x0bÑûÎmX*6t_\x8fÑÊ\x8
</code></pre>

10 февраля 2025 г. 17:04

Ответы на вопрос 2

Похожие вопросы

Answer 1

На основе предоставленных логов можно сделать несколько наблюдений. Оригинальные запросы и их коды состояния могут указывать на возможные попытки сканирования или атаки на сервер. Вот некоторые вещи, на которые стоит обратить внимание:

1. **Подозрительные IP-адреса**:
   - IP-адреса `205.210.31.44`, `205.210.31.232`, `109.236.61.85`, и `5.101.6.194` запрашивают ресурсы, которых нет на вашем сервере (статус 404) или отправляют некорректные запросы (статус 400). Эти адреса могут принадлежать злоумышленникам, которые ищут уязвимости.

2. **Некорректные версии запросов**:
   - Записи с `code 400, message Bad request version` указывают на то, что был отправлен некорректный HTTP-запрос. Такие запросы могут быть попытками обнаружить уязвимости в протоколе или уязвимости определенных приложений или сервисов.

3. **Странные запросы**:
   - Запросы, в которых передаются непонятные символы (как в случае с IP `5.101.0.66`), могут указывать на попытку эксплуатации уязвимостей, таких как уязвимости в обработке сетевых данных. Они могут использоваться для обхода фильтров.

4. **Запросы к API**:
   - Запрос на `GET /api/hash?hash_text=` без параметра (IP `49.51.180.2`) может быть попыткой протестировать поведение API, чтобы узнать, как сервер реагирует на пустые или неверные входные данные.

5. **Проверка на уязвимости**:
   - Вы можете столкнуться с попытками SQL-инъекций, XSS-атак или обхода аутентификации, если обнаружите подобные шаблоны в запросах. Особенно стоит обратить внимание, если кто-то пытается отправлять команды или участвовать в сессиях без аутентификации.

Рекомендации:
- **Мониторинг журналов**: Убедитесь, что вы внимательно следите за логами на предмет повторяющихся или странных атак.
- **Обновление программного обеспечения**: Убедитесь, что ваш веб-сервер и любое программное обеспечение, с которым он работает, обновлены до последних версий.
- **Настройка брандмауэра**: Рассмотрите возможность применения правил брандмауэра для блокировки подозрительных IP-адресов.
- **Защита API**: Если ваш API используется в приложениях, убедитесь в наличии необходимых мер аутентификации и валидации входных данных, чтобы предотвратить несанкционированный доступ и атаки.

Если вы подозреваете наличие активной атаки, можно рассмотреть возможность отключения подозрительных IP или увеличения наглядности логов для анализа.

Answer 2

а мне всегда нравилось читать такие логи - много интересного и нового узнаешь....