PDA

Bekijk Volledige Versie : Rare request op server



virtualhost.nl
20/06/03, 16:24
hallo,

Sinds een paar dagen worden er veel rare requests uitgevoerd op onze server, zoals:

[Fri Jun 20 14:51:49 2003] [error] [client 24.151.106.42] Invalid method in request \xcc\xed\xce\x8f\x90j:\xe4\x02\x05\xdc\xe8\x81*\xc 1}4\xfa\xd6\xf0\x07@\x07\x89\xf0\xa7\xa9`w+\x15su\ xce\x96\xf6\x1c\x8c\x86\xea7\x90\xb3\xf1\xb3\xa8\b a_\xf7i\x97\xf0\xea\xde\x8eHm\xf4\xb0\xf8^`\xeb\x0 3A\xe6\b\xe56y8\xd3)\xa4\xf0EI(\xf7\xb2\xbb\xe7\xb e\x9a\x8f

Weet iemand wat dit is en hoe je het kunt tegengaan?

groet, Jeroen

Ahead-IT
20/06/03, 16:33
Is dit apache? Wat meer informatie is wenselijk !

virtualhost.nl
20/06/03, 16:36
Het gaat om FreeBSD 4.8 met Apache 1.3.27+mod_ssl. Er worden vanaf 10.000+ ips zulke requests verstuurd, in totaal zo'n 3 miljoen per dag.

wdv
21/06/03, 00:53
Lijkt op shellcode.. maar als je er 3 miljoen per dag krijgt zal het wel niet echt lukken..

virtualhost.nl
21/06/03, 01:09
yup dacht ik ook al. Maar wat is dan het idee? Proberen een buffer overflow te veroorzaken en dan hopen dat de code uitgevoerd wordt!

Maar het lijkt mij inderdaad ook niet zo'n succesvolle actie. Het kan ook een mislukte SYN flood poging zijn. Om de tcp buffer proberen vol te krijgen of om alle processen van Apache op te slokken. Heb de timeout van Apache voor een proces verlaagt en sinds dan trekt de server het prima, alhoewel hij wel wat te doen heeft nu met zo'n 4 a 5 honderd request per seconde :-).

Ik heb geprobeerd met ipfw de ips (alhoewel ik betwijfel of de ips niet gespoofed zijn, maar enfin) te blokken maar dat vond de cpu niet zo leuk met al die ips. Toch ben ik er niet erg blij mee, dus als iemand weet hoe je dit kunt oplossen dan hoor ik het graag. Weet iemand hier trouwens of het mogelijk is om te achterhalen of de ips gespoofed zijn?

alvast bedankt, Jeroen

xs2
01/07/03, 00:19
Als eerste even de vraag of er niets is geupdate in de laatste week.. IP's.. SSL's.. httpd.conf.. etc.

De data en de hoeveelheid doet me denken aan spyware attackes. Hackers en andere 'boosdoeners' gebruiken regelmatig hele vloten van gehackte terminals. Met wat truken is het verkeer snel verhonderdvoudigd wat het doet denken aan massaal misbruik terwijl het 1 persoon kan zijn.

Of je hebt dus mot met een 'script kiddy' of je bent een random target. Wat meer details (log snippets) van de requests is wel nodig om meer te weten.

En als background materiaal moet je deze echt even lezen.. scary maar waar.

'Nothing more than the whim of a 13-year
old hacker is required to knock any user,
site, or server right off the Internet.'

The Strange Tale of the DoS Attacks Against GRC.COM

http://grc.com/dos/grcdos.htm