<![CDATA[Latest posts for the topic "referer lạ trong error_log của Apache"]]> /hvaonline/posts/list/8.html JForum - http://www.jforum.net referer lạ trong error_log của Apache Code:
request failed: error reading the headers, referer: \xc0\xf1\x85 \xf2\x85
request failed: error reading the headers, referer: \xc0\xf1\x85 \xf2\x85
request failed: error reading the headers, referer: \xec0\xd5\x05\xa8m\x02\x06<7\x86\x06P)\x95\x06\x90)\x95\x06$\x80B\x06P
với tuần suất không đều: lúc 4-5s, lúc vài phút, ... access_log cho thấy chúng có vẻ là những requests bình thường: Code:
"-" - - [12/Jan/2012:18:03:54 +0700] "GET /URI HTTP/1.1" 400 296
nhưng bị trả về 400 vì bad referer. Mình có sniff thử thì tóm được header như sau: Code:
GET /URI HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Host: my.website
Accept: */*
Referer: ...
 ..
pF..
X-Forwarded-For: 113.171.53.222 

HTTP/1.1 400 Bad Request
Date: Thu, 12 Jan 2012 11:03:54 GMT
Server: Apache
Content-Length: 296
Connection: close
Content-Type: text/html; charset=iso-8859-1
Mình vẫn đang tự hỏi: nếu chủ định tấn công thì ý đồ ở đây là gì? Nếu không thì lỗi này do đâu mà có? Mọi người giúp mình với.]]> /hvaonline/posts/list/40989.html#252438 /hvaonline/posts/list/40989.html#252438 GMT referer lạ trong error_log của Apache GET /URI có vẻ vô giá trị vì chẳng có ai lại dùng URI là /URI hết cho nên ngay từ đầu, dù có hợp lệ nó cũng bị dính ngay HTTP error 404. - Thứ nhì, nếu quả thật Referer có giá trị chính xác là: Referer: ... .. pF.. thì chắc chắn nó sẽ bị cản và sẽ dính ngay HTTP error 400 bởi vì nó vi phạm RFC. - Thứ ba, các giá trị referer trong error log không đầy đủ và thuộc dạng hex. Decode ra cũng không có ý nghĩa gì hết. Cho nên, khó có thể xác định được kẻ tấn công muốn tạo kết quả gì.]]> /hvaonline/posts/list/40989.html#252558 /hvaonline/posts/list/40989.html#252558 GMT referer lạ trong error_log của Apache

conmale wrote:
Anh thấy, - Thứ nhất GET /URI có vẻ vô giá trị vì chẳng có ai lại dùng URI là /URI hết cho nên ngay từ đầu, dù có hợp lệ nó cũng bị dính ngay HTTP error 404.  
À, cái này là em "redacted" rồi anh. Vẫn có những requests đến URI này với Referer hợp lệ và status trả về 200.

conmale wrote:
- Thứ nhì, nếu quả thật Referer có giá trị chính xác là: Referer: ... .. pF.. thì chắc chắn nó sẽ bị cản và sẽ dính ngay HTTP error 400 bởi vì nó vi phạm RFC.  
Cái này là đúng đó anh. pcap file sau khi dump được đọc bằng `tcpdump -qns 0 -A -r` hoặc `tcpick -C -yP -r` đều cho kết quả như thế.

conmale wrote:
- Thứ ba, các giá trị referer trong error log không đầy đủ và thuộc dạng hex. Decode ra cũng không có ý nghĩa gì hết. Cho nên, khó có thể xác định được kẻ tấn công muốn tạo kết quả gì. 
Tại thi thoảng nó vẫn bắn vào error_log nên em thật sự muốn biết nó là cái gì, nguyên nhân do đâu?]]> /hvaonline/posts/list/40989.html#252561 /hvaonline/posts/list/40989.html#252561 GMT referer lạ trong error_log của Apache Code:
GET    //admin/index.php?_SERVER[ConfigFile]=../../../../../../../../proc/self/environ HTTP Response 200 
GET    //lists/admin/index.php?_SERVER[ConfigFile]=../../../../../../../../proc/self/environ HTTP Response 200
IP nguồn của nó thì rải rác từ Brazil, TQ, ấn độ, châu Phi, Mỹ và cả Việt Nam không ít. Thế nên chả có gì lạ khi trên access_log có vài cái cố tình làm sai RFC như kia. Có lẽ cường độ các scan khá lớn, bác nào trương mặt cái server ra Internet, dù chỉ tạm thời trong thời gian setup hoặc thử cái gì đó, mà không tuân theo các quy tắc an toàn tối thiểu như mật khẩu đặt an toàn, bật Firewall và đặc biệt là vá víu lỗi cẩn thận thì chả mấy ngày mà bị đập chết. Việc scan này đôi lúc làm nhiễu thông tin, admin đôi khi sao lãng và ko chú ý đến các cảnh báo (vì ngày nào chả có ít nhiều), lúc bị làm đích ngắm thật thì lại ko kịp trở tay.]]> /hvaonline/posts/list/40989.html#252600 /hvaonline/posts/list/40989.html#252600 GMT referer lạ trong error_log của Apache /hvaonline/posts/list/40989.html#252611 /hvaonline/posts/list/40989.html#252611 GMT referer lạ trong error_log của Apache /hvaonline/posts/list/40989.html#252612 /hvaonline/posts/list/40989.html#252612 GMT referer lạ trong error_log của Apache /hvaonline/posts/list/40989.html#252614 /hvaonline/posts/list/40989.html#252614 GMT referer lạ trong error_log của Apache

vd_ wrote:
@myquartz Thắc mắc sao không dùng modsecurity, hoặc nếu được thì tương luôn cái snort 
Mod_security hoặc snort thì có nghĩa là tốn thêm tài nguyên để chạy (đôi khi còn tốn hơn cái server chính). Mình chỉ dành nó cho những thứ quan trọng hơn, khách hàng VIP hơn.]]> /hvaonline/posts/list/40989.html#252615 /hvaonline/posts/list/40989.html#252615 GMT referer lạ trong error_log của Apache /hvaonline/posts/list/40989.html#252649 /hvaonline/posts/list/40989.html#252649 GMT referer lạ trong error_log của Apache modsec feeds log cho ossec để tự động cài iptables thì sẽ hạn chế được khá khá các request tự động -> giảm tải đáng kể lên server chứ?   em nghĩ việc tạo rules iptables từ log của Application Security như mod sec quả là không nên. Vì log không phải lúc nào cũng đúng, cái này attacker hoàn toàn có thể handle để hệ thống không nhận ra, hoặc nhận ra sai. Không biết anh có giải pháp gì cho việc này ? ]]> /hvaonline/posts/list/40989.html#252651 /hvaonline/posts/list/40989.html#252651 GMT referer lạ trong error_log của Apache /hvaonline/posts/list/40989.html#252653 /hvaonline/posts/list/40989.html#252653 GMT referer lạ trong error_log của Apache /hvaonline/posts/list/40989.html#253032 /hvaonline/posts/list/40989.html#253032 GMT