Nginx log出現怪異訊息 - 資安

By Skylar DavisLinda
at 2017-06-20T02:24

Table of Contents

今天在看nginx log的時候，看到有奇怪訊息如下

164.52.7.132 - - "\x16\x03\x01\x01\x22\x01\x00\x01\x1E\x03\x03h\xAB"+
"(\x06B<\x1D\x5C\xEE\x91pE\xEE\x13\xB6>\x88\xBA4\xE3" +
"\x16\xCBb@\xD8xvZ\xF9\xF9\x8C\xAF\x00\x00\x88\xC00" +
"\xC0,\xC0(\xC0$\xC0\x14\xC0"
164.52.7.132 - - "USER test +iw test :Test Wuz Here" 400 166 "-" "-" "-"

第一行不知道是哪種格式的資料
第二行 Google search後，在AbuseIPDB看到有人回報是hack

想請問這真的是因為hack嗎?
對方是如何做到這點的? ssh登入server後，修改Nginx log嗎?

謝謝指點
※ 編輯: walelile (1.171.171.147), 06/20/2017 02:25:06

→ a73126: 第一行應該是一般utf-8文字的code吧 06/20 04:13

補上完整字串。我試著去用utf8 decode，結果不太對
python code:　
>>> s.decode('utf8', errors='ignore')
'\x16\x03\x01\x01"\x01\x00\x01\x1e\x03\x03h(\x06B<\x1d\\pE\x13>' +
'4\x16b@xvZ\x00\x000,($\x14'
※ 編輯: walelile (1.171.171.147), 06/20/2017 08:25:14

→ walelile: 會不會只是http request改一下method, path, and agent? 06/20 08:35

推 CMJ0121: 根據我的經驗... 那只是一個 BOT 在自動做一些事情 06/20 10:11

→ CMJ0121: 像是寫爛的爬蟲、攻擊的特訂漏洞等 06/20 10:11

→ walelile: 了解，第一次架站，看到一堆亂七八糟的access有點嚇到 06/20 11:24

→ leo850611: http://i.imgur.com/Rl887Wq.jpg 感覺是被try 06/22 03:46

→ walelile: 恩恩，謝謝分享 06/22 19:22

→ shemale: 如果我沒有記錯的話，這是遠端要和你做SSL確認什麼的 07/09 03:40

→ shemale: 你這應該是在port 443吧，試一下用telnet來GET / 07/09 03:40

→ shemale: 如果出現HTML，這表示你沒設好SSL 07/09 03:41

→ shemale: 所以遠端用加密的request你看到亂碼。設好httpd-ssl.conf 07/09 03:42

Tags: 資安