In meinem Apache-Zugriffsprotokoll erhalte ich einige Anfragen wie folgt aus:Möglicher Angriff Versuch auf Webserver, wie man die Anträge entschlüsselt, um herauszufinden?
[some timestamp] [some ip] [my servers ip] 400 "x\x014\x8cO\v\x820\x18\xc6\xef\xc2\xbe\xc3{\xac\xc8\xa9\x87\x82\xf4$!\x19a\x04-:\xaf\xedU^X\xdbPQ\xf0\xd37\x0f]\x1e\xf8=\xff.\x95\x80\xa4\x95\x13)gy\x10\xa8\x85x$\x19\xcfXT*\x85~\xcca\x97\xec\xfe\x10WV9M\xb6\xcb\xa1[\xc8\xefAck\xe4\x88,:;kQ\x8d\xe4l\x0e7D\x1f\x97\x86\xa6\xe0\xd7n\b\x17\xf3<\xf3\x1e\xbd\x91"
[some timestamp] [some ip] [my servers ip] 400 "x\x01\x9cS\xcbr\xda0\x14\xdd3\xc3?h\xd3N\x92F\xb6$\xcb/\x18O\x07l\xf3\b\x0f\xa7\xc14m7\x8c\xb0\x84qll\xc7\x98\xd0d\xfa\xf1\x15\x94\x94v\xdan\xba\xd2\xd5\xb9\xe7\xe8^]\x1d\xf5\xfd\x10\xa8\xab$\x13[5\xd9\xb0X.l\xa9\xae\x05\xe3\xa2\x82\\@\x96\xd5T)\xf3\x18\x0c\xc2\xf0V\xc5"
[some timestamp] [some ip] [my servers ip] 400 "x\x01\xacU[o\xab8\x10~\xaf\xd4\xff\xc0K\xa5svORc \x81Vy\b\xd7$\x05\xa7\x10\x03\x81\x97"
[some timestamp] [some ip] [my servers ip] 400 "x\x01\xacU[s\xaaH\x10~OU\xfe\x03/\xa9\xda\xcbQ\x87\x01T\x92\xf2A\xb9\xa9\x811 \x17\xe1%\x05\x0c*2 \x01\x94h\xe5\xc7\xef\xe0\x9e\x9cs\xf6\xec\xee\xcb\xd6\x96\x8e6\xdd_\xf7\xf4|\xdd\xf4h\x8a\xcd\x0c\xd2\"&'\x9c\xd4\x834\x0fw\xf4\xaf\xc2\x83\xa8)^\xeb\xb2J\x9b\x84\x1b\xf6\xcbb\xc7\xccm\xfbe\xc0\xf6\xd9\xfb\xbbi\x1c'e\xf3\xc8\xdc\xc0\x03j\xfb\xf2U\xac\xcf\xbb\xdf\xdfs\xf2\xf9\xf8\xdb\xd3\xdb\x04\xf4\xc7_\x98\xdf\x06\x7f\x8a\xc2\xa7oO)\xe2#N\x8b\xdd#\xb3\xbb\xa6\xe5\x17\x06'[\x126\xc97\xbb\x1e\x16\xbb\x13M\xe5\x91Z\xee\xef\xa4cQ$q\x93\x1e\x8bG\xe69I\xca\xde\x94\xa4\xe7\x9b\xfe\x98\xa5\x14#\xa9\vy\xb2\x8d\xd8-`y\xb6\x07\x841\xdf\xe3G\xf1\xb67\x1ec\xbe'\x80XH`\x84\x87\xe1\x88}\xa2P{\xf5\xac\xa0\txbdE\x9d:\xba\xad\xaf\xa4\xa9\xaeLp\xf2*+O\x8cah\xaf\xcf\x9eL\xe3\xb1\xfc\x10r=E\xe4\xa6\xcah6\xec\xc1\x99<\xec\xf1\xea\x90\xef\x89,\x90z\xb3!7\x94\x86"
[some timestamp] [some ip] [my servers ip] 400 "x\x01\xacU[s\xaaH\x10~OU\xfe\x03/\xbbu\xf6\xecQ\x87\x01T\x92\xb2\xb6\x94\x9b\x1a\x18\x03r\x11^,`P\x91\x01\x89\xa2\xa8\x95\x1f\xbf\x83\x9b\xe4\\\xf7ek\x1f\xa6h\xba\xbf\x9e\xe9\xf9\xba\xe1\xd3\x14\x9b\xe9\xacR\x92\x1c:i\x1e\xae\xe9#\xc4\xa7e\x1a\xef\x96U\x9a'\xed\xb2X3c\xdb~\xee\xb0m\xf6\xfen\x18\xc7IY=07d\x87\xc6\xbe\xbc\x99\x87\xd3\xfa\xcfsN\xde_??\xbe\[email protected]\xbb\xff\x85\xf9\xdc\xf9\xc7\x14\xdes[J\x11\xefpZ\xac\x1f\x98\xf55-\xbf08Y\x91\xb0J>\xe2zX\xac\x8f\xb4\x8e\x07\x1a\xb9\xbf\x93vE\x91\xc4U\xba+\x1e\x98\xa7$)[C\x92\x9en\xfe]\x96R\x8c\xa4N\xe4\xc1*bW\x80\xe5\xd9\x16\x10\xfa|\x8b\xef\xc5\xabV\xbf\x8f\xf9\x96"
[some timestamp] [some ip] [my servers ip] 400 "x\x01\xacUko\xabH\x12\xfd\x1e)\xff\x81/\xbb\x9a\x19\rv\xf3\xb2\x8d#ke\xf3\xb2\x1dh\x07\xcc\xc3\xf0%\x02\xbam0\xcd#\x18\xc7\xb1\x95\x1f\xbf\x8d'\xf7\xde\x99;+\xad\xb4Z\xa1\x96\x9a\xaaS\xd5\xd5\xa7"
[some timestamp] [some ip] [my servers ip] 400 "x\x01\xacV[s\xaa\xc8\x16~OU\xfe\x03/\xa9\x9a\x99\xb3\xd5\xa6\x01\x95\xa4|Pnj\xa0\r\xc8ExI\x01\x8d\x8a4\x97 J\xb4\xf2\xe3O\xe3\xce\xde\x99\xd93\xf3r\xea\x94\x82\x8b^_\xaf^\xfd}\x8b\xd5j\x8a\xcd\x0c\xd2\"&'\x9c\x1c\x07i\x1e\xee\xe8O\x8d\x07QS\xbc\x1e\x93\xb0\x8e\xf7=\x92l\x9b~U\xec\x98\xb9m\xbf\x0c\xd8>{\x7f7\x8d\xe3\xa4j\x1e\x99\[email protected]}\xdf>\xcd\xe3y\xf7\x9f\xf7\x9c\xfcx\xfc\xe3\xe9m\x02\xfa\xe3o\xcc\x1f\x83\xef\xa6\xf0cnO)\xe2\x12\xa7\xc5\xee\x91\xd9]\xd3\xea\x1b\x83\x93-\t\x9b\xe4\xa7_\x0f\x8b\xdd\x89f\xf3H=\xf7wRY\x14I\xdc\xa4e\xf1\xc8<'I\xd5\x9b\x92\xf4|\x1b/\xb3\x94b$u!O\xb6\x11\xbb\x05,\xcf\xf6\x800\xe6{\xfc(\xde\xf6\xc6c\xcc\xf7\x04\x10\v\t\x8c\xf00\x1c\xb1O\x14j\xaf\x9e\x154\x01O\x8c\xac\xa8SG\xb7\xf5\x954\xd5\x95\tN^e\xe5\x891\x0c\xed\xf5\xd9\x93i<\x96\x1fB\xae\xa7\x88\xdcT\x19\xcd\x86=8\x93\x87=^\x1d\xf2=\x91\x05Ro6\xe4\x86\xd2\x10\xc0\x19u\xafY\x91\x1f\x8bp\xc8\x03\x81\xae\xf0b\xaddG\xb2\xd7\xaf\xeeb\xbd\xb0\x15y\xf2\x02"
[some timestamp] [some ip] [my servers ip] 400 "x\x01DP[o\xda0\x18}G\xe2?\xf8\tm\xa5\x8e\xe3\\!\x15\x9a \xa3\xed\xb4vB%\x15\xda\x132\xc9G\xb0bl\xcf15\xed\xaf\x9f\xa3i\xdb\xa3\xcf\xc5\xdf9\xe7a]!\xa2\x8dj.\x9d%\x9b0\x8c\xf2|\x16\x91w&\xa1\xc6RY8(\xd5a\xd6u\x17\xa2%I\xb2h6\x0fq\x9e\xd0\xe0d\xcf\xe2K\xe7\x9a=o\x16\xd4\xe31^\xcf\xe3\xe5:_e8Z}\xcdpr\x9f%xN\xc3\x12\xaf\xb28+\xb30ZyzK\xf3tNi:\xcbR:ik\xe1\xcd\xe5\xd3n#\xdf\"\x17\xffJ\xca\xfb\x9f\xbd\x8b\x9dj\xe2Wfv\x0e=V\xd5\x86\xd0\x80\x8eG\xcb\xba\x06m\vd\xe1j\xc9p\xfa\x161\xad\x05\xaf\x99\xe5J\x92\xeb"
[some timestamp] [some ip] [my servers ip] 501 "x\x014L\xcb"
ist dies ein Angriffsversuch, wenn ja, welche Art? Wie würde ich das entschlüsseln? Es sieht aus wie ein Teil hexadezimal
klar eine normale Linie in meiner Protokolldatei so etwas sein aussehen:
[some timestamp] [some ip] [my servers name] 200 "GET /path/to/something.html HTTP/1.1"
Da der Server mit einem Status reagiert 400
ich die so genannte Angriff erraten habe, ist, funktioniert nicht, aber ich bin immer noch neugierig, was hier eigentlich passiert.
Dies sollte wahrscheinlich bei Serverfault beendet sein. – paxdiablo
Hier geht es nicht um Server, hier geht es um die Decodierung von Strings zu lesbaren Zeichen. –