请给高人分析一下下面的日志!,服务器安全有没有问题!

laokan · 发表于 2004-10-4 08:55:41

请给高人分析一下下面的日志!,服务器安全有没有问题!
[code:1]A total of 5 sites probed the server
  219.148.57.212
  219.148.141.157
  219.148.150.82
  219.148.175.168
  219.148.149.14

!!!! 1 possible successful probes
/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u
9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u90
90%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP Response 302

A total of 136 unidentified 'other' records logged
  HTTP/1.1 304 Not Modified with response code(s) 400
  GET /www.ttkdes HTTP/1.1 with response code(s) 404
  GET /hjg HTTP/1.1 with response code(s) 404
  GET /http://www.77910.com/.com.cn HTTP/1.1 with response code(s) 404
  POST /3 HTTP/1.1 with response code(s) 404 404
  GET /hcf HTTP/1.1 with response code(s) 404 404 404 404 404 404 404
  GET /www. HTTP/1.1 with response code(s) 404 404 404
  GET /..com.cn HTTP/1.1 with response code(s) 404
  GET /http://vod.cnool.net%E3%80%81.com.cn HTTP/1.1 with response code(s) 404
  GET /mp3 HTTP/1.1 with response code(s) 404 404
  GET /http://flash. HTTP/1.1 with response code(s) 404
  GET /wqw HTTP/1.1 with response code(s) 404 404
  GET /%20WWW HTTP/1.1 with response code(s) 404
  GET /+ HTTP/1.1 with response code(s) 404
  GET /dianying HTTP/1.1 with response code(s) 404
  8i\xb6 x G\x04\xec with response code(s) 400
  GET /\xa1\xaf HTTP/1.1 with response code(s) 404 404 404
  GET /HtTp://WWW.BAI8.COM/3213 HTTP/1.1 with response code(s) 404
  OPTIONS /886/tt/tietu HTTP/1.1 with response code(s) 200
  GET /; HTTP/1.1 with response code(s) 404
  GET /v HTTP/1.1 with response code(s) 404
  GET /05662092320 HTTP/1.1 with response code(s) 404
  GET /%20er HTTP/1.1 with response code(s) 404
  GET /13521941663 HTTP/1.1 with response code(s) 404
  GET /6992881 HTTP/1.1 with response code(s) 404
  GET /3113116 HTTP/1.1 with response code(s) 404
  GET /%E7%99%BE%E5%BA%A6 HTTP/1.1 with response code(s) 404
  GET /6886.co, HTTP/1.1 with response code(s) 404
  GET /h HTTP/1.1 with response code(s) 404
  GET /.com.cn HTTP/1.0 with response code(s) 404 404 404
  GET /www.oyyy.com. HTTP/1.1 with response code(s) 404 404
  GET /mayavod2003/&h=2900 HTTP/1.1 with response code(s) 404
  GET /iluck HTTP/1.1 with response code(s) 404 404 404
  GET /%201238752751 HTTP/1.1 with response code(s) 404
  GET /xgaaa HTTP/1.1 with response code(s) 404 404 404 404 404
  GET ///S100/%E7%94%B5%E5%BD%B1 HTTP/1.1 with response code(s) 404 404
  PA\x06\x03\xc8\"\x06\x03icon.ico HTTP/1.1 with response code(s) 400
  GET /287396109 HTTP/1.1 with response code(s) 404
  GET /(2004-08-11%2020:47:27)%20%20%20%E2%91%A7%E3%81%AE%E6%AD%B2%E8%9B%AE%E6%8
B%BD HTTP/1.1 with response code(s) 404
  GET /%20%20- HTTP/1.1 with response code(s) 404 404
  GET /%20~ HTTP/1.1 with response code(s) 404 404 404 404 404 404 404 404 404
  GET /8686886 HTTP/1.1 with response code(s) 404 [/code:1]

dannycat · 发表于 2004-10-4 23:28:58

这个叫“日志”？

!!!! 1 possible successful probes
/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u
9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u90
90%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP Response 302

HTTP 302 这个响应似乎有点问题，除非你配置了对.ida解析、对/default.ida做了特殊配置或者有/default.ida这个文件存在，或者干脆你的服务器就是IIS，否则可能存在 UNICODE 溢出漏洞。

OPTIONS /886/tt/tietu HTTP/1.1 with response code(s) 200

这个响应，如果机器上存在 /886/tt/tietu 并允许 OPTIONS 命令则正常。

其他响应都很正常。

laokan · 发表于 2004-10-7 23:11:46

也就是说这个apache版本有UNICODE 的溢出漏洞,不过这颗是最新的apache2.4.50啊

dannycat · 发表于 2004-10-8 01:04:13

[quote:a2e7b606d7="laokan"]也就是说这个apache版本有UNICODE 的溢出漏洞,不过这颗是最新的apache2.4.50啊[/quote]
不是吧？ 2.0.52 可是9月28日才刚刚出来啊！你的 2.4.50 哪里搞的

有没有用 Apache 网站上的 PGP 或者 MD5SUM 验证一下哈？

laokan · 发表于 2004-10-9 11:30:19

错了是httpd-2.0.50-2.1
这个版本的

dannycat · 发表于 2004-10-9 13:41:18

在我的 Gentoo 下 apache-2.0.50 没有这个情况。
Fedora Core 2 的公告说 httpd-2.0.50-2.1 存在三个漏洞(secunia.com 说有四个~~)，但都与你的情况无关。

我觉得你的情况可能还是因为配置疏忽或者你使用的分析软件有缺陷。

不过还是更新一下吧，httpd-2.0.51-2.7 ，9月23日的包。

laokan · 发表于 2004-10-10 23:58:34

这个是fedora 2 自己带的版本而且也是用up2date更新过系统的了,好还是更新一下的好!

laokan · 发表于 2004-10-11 00:01:40

对了返回的302 是什么意思,我就知道 404 not found的意思

dannycat · 发表于 2004-10-11 07:39:56

302：Found （已找到－请求的数据临时具有不同 URI ）。 HTTP1.0中对应的状态信息是“Moved Temporatily”。
也就是 redirect 了。

我觉得，大概是你的 Apache 作了 “如果请求的根目录下的文件不存在，则重定向到另一个页面”这样的配置，而不是有UNICODE 解析问题。
你可以使用那个 URI 在浏览器里看一下出来的是什么结果。

laokan · 发表于 2004-10-12 09:50:38

斑竹厉害,就是做了这个了页面不存在则定向到系统的首页去了!!!
谢谢斑竹

		自动登录	找回密码
密码			注册