Sehr fragwürdige anfrage an Webserver

#0
14.06.2011, 12:12
...neu hier

Beiträge: 2
#1 Kann mir jemand diese anfrage an mein Webserver erklären :
"C\x9cfy\\@F\x0e\xce\x1d\xc3\x16A\xd3\v\x15\xf2\x9b\x0c\xd7\xc3g\xaf\xdb\\I\x1c\x17\x87/7\xcb\x04\x95\xa2Tg\xbb\xe0O"
Noch interessanter ist die Tatsache das die anfrage aus Pakistan kommen!!!
hier das ganze apache log entry:
110.36.126.228 - - [09/Jun/2011:11:56:46 +0200] "C\x9cfy\\@F\x0e\xce\x1d\xc3\x16A\xd3\v\x15\xf2\x9b\x0c\xd7\xc3g\xaf\xdb\\I\x1c\x17\x87/7\xcb\x04\x95\xa2Tg\xbb\xe0O" 400 515 "-" "-"
,es gibt noch mehrere davon, meisten aus Pakistan!
Bin ich in Gefahr?
Seitenanfang Seitenende
14.06.2011, 12:25
Member
Avatar Xeper

Beiträge: 5285
#2 Das ist shellcode (bzw. ein Teil davon), dass du jetzt in Gefahr bist denke ich eher nicht.
Es gibt zich tausende dubiose Anfrage die alle irgendwie dazu dienen sollen eine eventuelle Sicherheitslücke auszunutzen - aber was das jetzt hier konkret darstellen soll kann man nicht beantworten.
__________
Email/XMPP: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
14.06.2011, 13:33
...neu hier

Themenstarter

Beiträge: 2
#3 Danke für dieses schnelles Antwort!!!
Da ich mich mit Computersicherheit jetzt viel beschäftige, finde ich diese Anfrage sehr interessant,
und da mein Webserver auf virtuelle Maschine läuft, hoffe ich das Risiko minimal ist ; )
mfg
cs
Seitenanfang Seitenende
14.06.2011, 14:12
Member
Avatar Xeper

Beiträge: 5285
#4 Ja ist wirklich nur minimal, wenn du ein prod. Server betreibst wirste sehn das da zich tausende Anfragen pro Tag ankommen die manchmal nix zu sagen haben, einfach nur flood darstellen oder sowas halt.
Nennt man auch Internet Rauschen, es ist das selbe was nun mal immer dann passiert wenn irgendwo traffic weitgehenst protokolliert wird.

Man kann sich halt nicht aussuchen was kommt, wichtig ist das deine Software aktuell ist.
Shellcode ist Binärcode (gekapselt in null terminierten String) den man über eine bestimmte Sicherheitslücke zum ausführen bringen will.
Aber die verschiedensten Menschen schleudern an ganze IP ranges halt diesen kram um evntl irgendwo irgendeinen vuln. Server zu finden.

Daher ist das nicht auf dich bezogen und hat auch relativ wenig zu bedeuten.
__________
Email/XMPP: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: