Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Общий по Linux (http://forum.oszone.net/forumdisplay.php?f=9)
-   -   Как расшифровать эту строчку? (http://forum.oszone.net/showthread.php?t=174128)

Endy1 26-04-2010 15:15 1401049
Как расшифровать эту строчку?
 
Ребята, нужна ваша помощь. После атаки на сервер (apache2) анализировал error.log, где обнаружил странную строчку:


Цитата:
84.50.28.210 - - [18/Apr/2010:09:24:41 +0300] "\x9d\x0f\x86\x85 \xa8\x84\x04q\x92[@Z\x04\xfb\x8f\xcf\xf2\x96\xd7l%P\xfe\x9e\xbb\xf4\xd7\xc2e\xcae.B\xe7\xee\x13w\xbd\xc6}5\x10\x9bi\xc 1\xc3\x92\x07\xee\x90\x06\xe1R\xd2h\x8c1?7\x9d\x83\xab\xe5K\xb3\xd9\xc4\x18\xc3\xe2\xc2|Z\x9ci\x947\ xbd\xe9MC\x81\xf0\xf9\x96\x89\x89\t\xde\xf0\x867\xf0\xc5/~\x91cG\x0f\xb2nr\x13/\xbd\xf4\x02\xc6\x18\xee\xbe\xfbnv\xed\xdau\xd1\xfb;}\xfa\xf4\xd0\xc0d\xf99\x03\xdcv\xdbm4\x9b\xcd\x a1\xa0\xfd\xf0\xe1\xc3\xab\xb2\xec\x17\x02\xee\xc6\x18\xa6\xa7N\x11\x04\x01oz\xd3\x9b\x86\x1e\xe3|K\ xb9\\\xe6Moz\x13\x7f\xf37\x7f\xc3\xdc\xecY\xc2\xf5\x95U\xaf\xe1\x9dw\xdey\xd1m\xbc\xf7\xde{\x99\x99\ x99a~~\x8a\x89\xa0\xba\xea>\x81\xbc\x8fL:\x13j\x8c\xc9\xb7\x1f\xb6\xad1\x86\xc5\xd6\x0c\xc6\x18\xee\ xb9\xe7\x9e\x8b\x1e\x03g\xce\x9c\xc1\x18C\xa9\xd4\x18*\xc1k4F\xa97F.\xc0\xf4\xae\xbd\x97\xfbP\xc2|@l ~1\xec\xba\xbb\x1e\xa0\xca*\xc1\xce\xb0Y\xea\x97\x83Y\xbfT$\xe5^\xf6\x16\xac`\xdc\xc5\x15\xdaa]>H\xff\x86\xc0\xd2\x97~N\xe2Z]rqUX\xf8\xfdG\xa69\xdb\x03a]" 400 358 "-" "-"
Похоже здесь что-то зашифровано. Подскажите, что это такое и можно ли это перевести в человеко-понятный вид?

Admiral 26-04-2010 16:21 1401092
Endy1, эта строчка в кодировке UTF-8
Раскодировать можно здесь http://software.hixie.ch/utilities/c...r/utf8-decoder
Вот только полезной информации там нет, так как похоже данные искаженны (возможно сам файл битый).

vadblm 26-04-2010 17:01 1401126
Вам просто подпихивают эксплойт. Если у вас apache < 2.2.14 то вы могли стать его жертвой.

Endy1 27-04-2010 14:21 1401791
Да.. расшифровать увы не получилось. Проанализировал логи за несколько месяцев и нашёл ещё несколько подобных строк.


Цитата:
Цитата vadblm
Вам просто подпихивают эксплойт. Если у вас apache < 2.2.14 то вы могли стать его жертвой. »
Почему именно до этой версии? Разве для последних версий apache нет ни одного эксплойта?

vadblm 27-04-2010 14:53 1401809
Цитата:
Цитата Endy1
Разве для последних версий apache нет ни одного эксплойта? »
Пардон, для 2.2.15
Про 2.2.14 Секуния сообщает http://secunia.com/advisories/38776/

Ну и ещё дело, что эксплойт может быть под что-то, на апаче крутящееся, да хоть старый вордпресс, то его
могли задействовать. А под сам апач последней версии эксплойтов нет.


Время: 15:45.

Время: 15:45.
© OSzone.net 2001-