本页主题: 用过Apache的人帮忙看看 打印 | 加为IE收藏 | 复制链接 | 收藏主题 | 上一主题 | 下一主题

唐僧
活佛
级别: 光明使者


精华: 23
发帖: 2845
威望: 625 点
金钱: 10 静电币
支持度: 0 点
在线时间:317(小时)
注册时间:2002-11-16
最后登录:2024-09-21

 用过Apache的人帮忙看看

我发现log文件特别大,其中占了3/4的是
212.251.146.73 - - [06/May/2004:11:05:45 +0900] "SEARCH /HTTP/1.0 \x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1V" 414 332
这样的东西,谁知道这是什么玩意儿?
不是完全一样,反正差不多。

我用UltraEdit把这些东西都去掉了,EditPlus是不行事,稍微大点的文件处理起来就死机了,用了50多M内存还没还没完成任务,最后我强制中断EditPlus程序运行。还是UltraEdit厉害,2秒钟不到就搞定了。
Posted: 2004-05-07 02:21 | [楼 主]
唐僧
活佛
级别: 光明使者


精华: 23
发帖: 2845
威望: 625 点
金钱: 10 静电币
支持度: 0 点
在线时间:317(小时)
注册时间:2002-11-16
最后登录:2024-09-21

 是这样的,我把中间重复的部分去掉了

203.217.224.66 - - [07/May/2004:04:20:03 +0900] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90HTTP/1.0" 414 332
Posted: 2004-05-07 03:26 | 1 楼
唐僧
活佛
级别: 光明使者


精华: 23
发帖: 2845
威望: 625 点
金钱: 10 静电币
支持度: 0 点
在线时间:317(小时)
注册时间:2002-11-16
最后登录:2024-09-21

 

414 应该是错误代码,我查了一下应该是Request URI Too Long,请求的地址过长。
332 我觉得应该是执行代码,3打头,是重新定向,但是为什么会出现这种情况就不知道了,难道是有人在试探攻击?
Posted: 2004-05-07 03:38 | 2 楼
狗狗
加菲's
级别: 管理员


精华: 10
发帖: 4860
威望: 10315 点
金钱: 10295 静电币
支持度: 20130 点
在线时间:1420(小时)
注册时间:2001-11-20
最后登录:2024-12-21

 

只是一些骚扰,大多数来自于网络上的尼姆达、红码II之类,IP都是不固定的,你这个应该属于apache WebDAV exploit吧,通常没什么大危害,除了让你的log变大。IIS的话M$出了个patch,相关文档

Linux会自动截短过长的TCP包,好像Windows还不行,你在Windows上面跑Apache的话好像只能忍受一下了....
Posted: 2004-05-07 09:38 | 3 楼
小神
我不要头衔
级别: 贵宾


精华: 14
发帖: 15287
威望: 2803 点
金钱: 6689 静电币
支持度: 4413 点
在线时间:348(小时)
注册时间:2002-08-29
最后登录:2008-03-14

 

Same ip address all the time? Block the ip. Add a "Deny from 68.103.169.233" to the /etc/httpd/httpd.conf file in the appropriate area. Keep in mind that it might be a completely innocent user at the other end that can no longer access your site.
Posted: 2004-05-07 09:38 | 4 楼
小神
我不要头衔
级别: 贵宾


精华: 14
发帖: 15287
威望: 2803 点
金钱: 6689 静电币
支持度: 4413 点
在线时间:348(小时)
注册时间:2002-08-29
最后登录:2008-03-14

 

It's the IIS WebDAV exploit: http://edgeos.com/threats/details.php?id=11413
http://www.microsoft.com/technet/security/bulletin/ms03-007.mspx

If you're running Apache on *nix, those lines are just annoying (but can cause problems with Webalizer). If you have IIS, better start patching ASAP!
Posted: 2004-05-07 09:39 | 5 楼
小神
我不要头衔
级别: 贵宾


精华: 14
发帖: 15287
威望: 2803 点
金钱: 6689 静电币
支持度: 4413 点
在线时间:348(小时)
注册时间:2002-08-29
最后登录:2008-03-14

 

If you run a web server, there's not much you can do to stop people from sending it bogus commands (like you saw).
But if your concern is merely to stop this stuff being logged, there might be some Apache log configuration settings that you could tweak. But I wouldn't fiddle with that - instead just filter it out when you look at the logs.
E.g. grep -v SEARCH /var/log/apache/access_log
will show you all lines except those containing SEARCH.
Posted: 2004-05-07 09:40 | 6 楼
freebeme
级别: 光明使者


精华: 3
发帖: 2079
威望: 270 点
金钱: 2285 静电币
支持度: 0 点
在线时间:47(小时)
注册时间:2002-08-31
最后登录:2015-03-23

 

稳定性:apache@windows<IIs<apche@*nux .我看这个访问者是想找唐僧的cgi漏洞,是典型的试探型扫描.
log文件是可以限定大小的,哈..
Posted: 2004-05-07 10:31 | 7 楼
唐僧
活佛
级别: 光明使者


精华: 23
发帖: 2845
威望: 625 点
金钱: 10 静电币
支持度: 0 点
在线时间:317(小时)
注册时间:2002-11-16
最后登录:2024-09-21

 

我们服务器上沙都没有,都没有人访问,不知道扫描它干什么,就算入侵了也没啥了不得的,连数据库都没有点正经玩意儿。
打开log里面都是70%是jw_wang/pic/eye.gif,是我在论坛上的签名。哈哈
Posted: 2004-05-07 12:08 | 8 楼
freebeme
级别: 光明使者


精华: 3
发帖: 2079
威望: 270 点
金钱: 2285 静电币
支持度: 0 点
在线时间:47(小时)
注册时间:2002-08-31
最后登录:2015-03-23

 

是不是apache的bug什么的.
Posted: 2004-05-07 12:31 | 9 楼
帖子浏览记录 版块浏览记录
狗狗静电BBS - wwW.DoGGiEhoMe.CoM » 电脑全方位 Computer Guide

沪ICP备05008186号
Powered by PHPWind Styled by MagiColor