Debian8 64ビット(2.6.32-042stab120.16
)Apache/2.4.10。今日のApache access.log
次のエントリが見つかりました:
164.52.7.132 - - [26/Jun/2017:07:16:23 -0400] "\x16\x03\x01\x01\"\x01" 400 0 "-" "-"
164.52.7.132 - - [26/Jun/2017:07:16:30 -0400] "USER test +iw test :Test Wuz Here" 400 0 "-" "-"
164.52.7.132 - - [26/Jun/2017:07:16:30 -0400] "GET / HTTP/1.1" 200 4191 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"l,
誰かが私のウェブサーバーでいくつかの脆弱性をテストしようとしていることを知っています。私は特にこのホストからの最初のリクエストについて心配しています-これは何であるかもしれません、16進または10進でコード化されたいくつかの関数?
このサーバーでさらにチェックを行う必要がありますか?
これは既知の脆弱性ですか?はいの場合、このような攻撃から何らかの方法で保護できますか?
私は特にこのホストからの最初のリクエストについて心配しています-これは何であるかもしれません、16進または10進でコード化されたいくつかの関数?
あなたが見るもの\x16\x03\x01\x01...
は、TLS 1.0ハンドシェイクの始まりにすぎません。つまり、コンテンツタイプ(0x16 =ハンドシェイク)の後にTLSバージョン(0x0301 = TLS 1.0)が続きます。誰かが443ではなくポート80でHTTPSを話そうとしたようです。