Nginx 400 lỗi do chuỗi được mã hóa ngẫu nhiên bắt đầu bằng từ \ xv từ các địa chỉ IP ngẫu nhiên

Tôi cho rằng đây là một số loại bot, nhưng muốn biết họ đang cố gắng làm gì với máy chủ của tôi.

Nhật ký trong các câu hỏi dưới đây và địa chỉ IP đã được thay đổi từ bản gốc.

12.34.56.78 - - [18/Oct/2012:16:48:20 +0100] "\x86L\xED\x0C\xB0\x01|\x80Z\xBF\x7F\xBE\xBE" 400 172 "-" "-"
12.34.56.78 - - [18/Oct/2012:16:50:28 +0100] "\x84K\x1D#Z\x99\xA0\xFA0\xDC\xC8_\xF3\xAB1\xE2\x86%4xZ\x04\xA3)\xBCN\x92r*\xAAN\x5CF\x94S\xE3\xAF\x96r]j\xAA\xC1Y_\xAE\xF0p\xE5\xBAQiz\x14\x9F\x92\x0C\xCC\x8Ed\x17N\x08\x05" 400 172 "-" "-"
12.34.56.78 - - [18/Oct/2012:16:58:32 +0100] "g\x82-\x9A\xB8\xF0\xFA\xF4\xAD8\xBA\x8FP\xAD\x0B0\xD3\xB2\xD2\x1D\xFF=\xAB\xDEC\xD5\xCB\x0B*Z^\x187\x9C\xB6\xA6V\xB8-D_\xFE" 400 172 "-" "-"
12.34.56.78 - - [18/Oct/2012:17:06:59 +0100] "\xA61[\xB5\x02*\xCA\xB6\xC6\xDB\x92#o.\xF4Kj'H\xFD>\x0E\x15\x0E\x90\xDF\xD0R>'\xB8A\xAF\xA3\x13\xB3c\xACI\xA0\xAA\xA7\x9C\xCE\xA3\x92\x85\xDA\xAD1\x08\x07\xFC\xBB\x0B\x95\xA8Z\xCA\xA1\xE0\x88\xAEP" 400 172 "-" "-"
12.34.56.78 - - [18/Oct/2012:17:13:53 +0100] "b\xC4\xA24Z\xA2\x95\xEFc\xAF\xF1\x93\xE8\x81\xFD\xB4\xDEo\x92\xC0v\x1Fe\xD8W\x85\xC7O\x9D\x8C\x89<" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:09:56:39 +0100] "\x93d\xD8\x85\xD3f\x182\x94\x10\xE6y\x06\x7F\xE5\x97\xA8S\x8AfZ\x84\x0C\x0F\xFD\x19d*+\x09%\xEC3EG\xDD:Tn\xDA" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:07:10 +0100] ">\x92\xD7\x85\xC2\x5C\xDA\x8CJX\xBE\x87\x01\xBA\x09\xADj\xEDT.\x02z\x0B\xCA\x00\xAC\xDC[_;q\xC15\x17\xE9\x0B\x9F\xDA;\xEC\xDA)\xB8\x91\xA2\xB5P\xE9\x81\xF2\xD5\xD3\xC4\xD3" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:09:53 +0100] "\x12\x9E>\xFC\xF4\x07,\x9A\xF5G\xB4\xD0\xD4\xF1\xCB9\x9FRl\xB0\xDB\x84a\x90\x7F{\xB1\xA3\xD9-5\xF8\x94~\xCEm\x87\xEC\xB4\xE2s\xBD\xDB@" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:24:49 +0100] "\x98\xCA\xD3\x95|&t\x1Cp\x02\xF7\x88m\x08T\xE7tm\x9E\x04\xFB\x85\xB7\x08\xB3\xA0-Z\x03\xD5O\x98\xC6\x0EK|\xA1" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:27:58 +0100] "\x11\xE8.^\x0E\x8B}\x81\xAD\xA3^\x9E\xDFg2?@\xCB\x1Ej\xC7h\xB00\xF0\xDC\x92\x9B@\xFD\xBChB\xBF7tF\x17+W\xFFV\x8F" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:40:43 +0100] "Ou\xB3\x89\x8DiB\x82\x9D\xE8?wshxLF'\x0F\xB2o\xF6\xCD\xFC\xC2\x82ck\xC4\xF7\x0F\x01\xBC\x8B\xDA\x93|\xEAL\x81\xED`Rbr\x0F\xC1\xC8T\xDE\x07\x91\xF5|J\x5C\xBD70\x22\xD5\xA5p\xF4\xF4\xAA\xC2\xF2a\x19\xFE" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:41:29 +0100] "[8]\xCC\x7F\x1E\xA9\xE6f\xD7<\xA9\x18\xD9\xC0\xD0j~O\x90C\x8D]hVz\x84\x94y]\x95{.\x13m_];W1\x16\xEF\xD6\xE2" 400 172 "-" "-"

Trên đây là từ cùng một địa chỉ IP trong một khoảng thời gian. Bất kỳ cái nhìn sâu sắc về điều này được đánh giá cao.

Bạn rất có thể thấy điều này bởi vì bạn đang thực hiện một yêu cầu HTTPS đến điểm cuối HTTP. Ví dụ: bạn đang gửi yêu cầu HTTPS đến cổng 80 của máy chủ web thay vì 443. Do đó, điểm cuối HTTP nhận được một loạt dữ liệu được mã hóa, không cần nỗ lực để giải mã nó (vì HTTP được coi là bản rõ) và do đó, bạn nhận được một loạt các từ vô nghĩa trong tệp nhật ký.

Tôi có cùng một vấn đề, đã kiểm tra IP nguồn và một số nơi từ Google, điều này khiến tôi nghi ngờ một số cuộc tấn công sắp xếp. Sau đó, tôi nhận ra rằng tôi đã default_server nghe trên 443, nhưng không có chứng chỉ SSL nào được cấu hình . Tôi đã bình luận ra máy chủ này và vấn đề đã biến mất.

Vì vậy, tôi thứ hai điểm Yevgeniy.

Kiểm tra cấu hình nginx của bạn để biết máy chủ bị cấu hình bỏ lỡ đang nghe trên cổng 443!

Trước hết tôi sẽ cố gắng giải mã hex này.

Theo như tôi nhận thấy đó là những ký tự ngẫu nhiên. Bạn có quen thuộc với địa chỉ ip này? Có phải chỉ có một hoặc nhiều địa chỉ? Bạn đã cố gắng tìm kiếm nó?

Và có lẽ - một số script-kiddie đã tìm thấy "khai thác tốt nhất từ ​​trước đến nay" và muốn kiểm tra một cái gì đó hoặc một loại sâu nào đó đang tìm lỗi trong nginx của bạn.

Vui lòng - xác minh phiên bản nginx của bạn và thử tìm kiếm trong changelog một cái gì đó quen thuộc với lỗi nginx chars ngẫu nhiên.

Hành vi tương tự được quan sát thấy khi một khách hàng BitTorrent sử dụng cổng 80 để kết nối với các đồng nghiệp của họ.