it-swarm.com.de

Was war das Ziel dieser ungültigen HTTP-Anfrage, die eine Geschichte über Ziegen in der Anfrage-URI erzählt?

Ich verwende derzeit einen Apache-HTTP-Server und habe die Überwachung für den Empfang von E-Mails eingerichtet, wenn in den Fehlerprotokollen ein Fehler auftritt. Ich bekomme den üblichen Versuch herauszufinden, ob ich HTTP 1.0 verwende und ob ich Standardsoftware wie WordPress, die ausgenutzt werden kann) verwende.

Über das Wochenende habe ich einen neuen Eintrag in meinen Fehlerprotokollen gesehen und mich gefragt, was der potenzielle Exploiter versucht hat (Abcdef schätze ich das Handle des Exploiters (ich habe es geändert)):

:[DATE] [error] [client XXX.XXX.XXX.XXX] Invalid URI in request HEAD towards the green fields outside. Watch the goats chewing the grass. What is the meaning of life? Life isn't about getting to the end. Goats know this. You should know too. Goats are wise. Goats are cute. Listen to them! This is the message. Love goats, love the Internet! \xf0\x9f\x90\x90 Abcdef. HTTP/1.0

Abgesehen davon, dass ich offensichtlich von ihrer Liebe zu Ziegen erzähle, kann jemand feststellen, ob das Ziel dieser Anfrage war. Ich habe versucht, einen Teil der Zeichenfolge zu googeln. Am Ende habe ich nur Ergebnisse über Ziegen erhalten!

Ich denke, die Idee war, einen URI bereitzustellen, der einen Überlauf verursachen würde, der am Ende etwas mit dem Unicode zu tun hat, bin mir aber nicht sicher.

NOTE Ich habe die riesige Annahme gemacht, dass die Anfrage aufgrund der Zeichen am Ende der Anfrage schändliche Mittel hatte und daher eher in Sicherheit als in Serverfehler veröffentlicht wurde .

71
Crazy Dino

Ich weiß nicht, woraus der Teil REDACTED bestand, aber ich kann Ihnen sagen, dass die Bytes \xf0\x9f\x90\x90 entsprechen einem Bild einer Ziege in UTF-8 :

Hier ist es: ????


Hinweis: Aus einer Laune heraus habe ich auch die Intel-Opcodes nachgeschlagen, die diesen Bytewerten entsprechen. Sie machen überhaupt nichts Interessantes - 0x90 ist NOP (tut nichts), 0x9f ist LAHF (FLAGS in AH-Register laden) und 0xf0 ist LOCK (was einen illegalen Anweisungsfehler auslöst, wenn LAHF folgt).

55
r3mainer

Dies ähnelt der Poesie, die auf dem Chaos Communications Congress in Hamburg verschickt wurde. Insbesondere wird das HEAD als Teil der Poesie verwendet (im folgenden Beispiel wird DELETE verwendet, um die Zeile zu beginnen).

https://nakedsecurity.sophos.com/2016/01/07/millions-of-servers-infected-with-poem-inviting-them-to-jump-in-the-river/

34
nyxgeek

Habe gerade die gleiche Anfrage in meinem access.log mit dieser URL gefunden:

http://massgoat4u.megabrutal.com/

Was ist das?

Inspiriert von # masspoem4u versuche ich zu wiederholen, was sie getan haben: eine eindeutige HTTP-Anfrage an alle IPv4-Adressen auf der ganzen Welt zu verteilen.

Wie hast du das gemacht?

Ich benutze eine leicht modifizierte Version von Robert Grahams Masscan, genau wie die masspoem4u-Leute bei CCC. Ich habe jedoch kein so schnelles Netzwerk wie das ihre, sodass mein Scan ungefähr eine Woche dauert. Einen interessanten Artikel über Masscan finden Sie hier.

Fügt es Schaden zu?

Natürlich nicht. Es ist völlig harmlos. Das einzige, was Sie wahrnehmen sollten, ist die Nachricht in Ihrem HTTP-Protokoll. Da eine IP nur eine Anforderung erhält und die Reihenfolge der Tests zufällig festgelegt wird, werden Ihre Ressourcen nicht belastet und Ihr Netzwerk nicht überlastet.

Ich habe nichts anderes Ungewöhnliches bemerkt als eine Anfrage von einer anderen IP-Adresse, die andere UTF-8-Bytes enthält, aber möglicherweise nicht in Beziehung steht.

[XXX.XXX.XXX.XXX] - - [DATE] "\xad\x17\x15\xd2\xf0\xa2y\xec\xc9\xe6\xe2\xe2\xd1\"\xb1\"\x88\x82Ojo\xb8Q\xa0r\xd5\xfe\xe5E\x9a\x01\xfcf\x18\xff\x9d\x05\x1dh\xa1\xc61\xea;\x04F\x8b\xb1SgEhGk\x86&\x93b<O" 200 11899 "-" "-"

4
Superslinky