임의의 IP 주소에서 "\ x"로 시작하는 임의의 인코딩 된 문자열로 인한 Nginx 400 오류

나는 이것이 일종의 봇이라고 가정하지만 그들이 내 서버에 무엇을하려고하는지 알고 싶습니다.

문제의 로그는 아래와 같으며 IP 주소가 원본에서 변경되었습니다.

12.34.56.78 - - [18/Oct/2012:16:48:20 +0100] "\x86L\xED\x0C\xB0\x01|\x80Z\xBF\x7F\xBE\xBE" 400 172 "-" "-"
12.34.56.78 - - [18/Oct/2012:16:50:28 +0100] "\x84K\x1D#Z\x99\xA0\xFA0\xDC\xC8_\xF3\xAB1\xE2\x86%4xZ\x04\xA3)\xBCN\x92r*\xAAN\x5CF\x94S\xE3\xAF\x96r]j\xAA\xC1Y_\xAE\xF0p\xE5\xBAQiz\x14\x9F\x92\x0C\xCC\x8Ed\x17N\x08\x05" 400 172 "-" "-"
12.34.56.78 - - [18/Oct/2012:16:58:32 +0100] "g\x82-\x9A\xB8\xF0\xFA\xF4\xAD8\xBA\x8FP\xAD\x0B0\xD3\xB2\xD2\x1D\xFF=\xAB\xDEC\xD5\xCB\x0B*Z^\x187\x9C\xB6\xA6V\xB8-D_\xFE" 400 172 "-" "-"
12.34.56.78 - - [18/Oct/2012:17:06:59 +0100] "\xA61[\xB5\x02*\xCA\xB6\xC6\xDB\x92#o.\xF4Kj'H\xFD>\x0E\x15\x0E\x90\xDF\xD0R>'\xB8A\xAF\xA3\x13\xB3c\xACI\xA0\xAA\xA7\x9C\xCE\xA3\x92\x85\xDA\xAD1\x08\x07\xFC\xBB\x0B\x95\xA8Z\xCA\xA1\xE0\x88\xAEP" 400 172 "-" "-"
12.34.56.78 - - [18/Oct/2012:17:13:53 +0100] "b\xC4\xA24Z\xA2\x95\xEFc\xAF\xF1\x93\xE8\x81\xFD\xB4\xDEo\x92\xC0v\x1Fe\xD8W\x85\xC7O\x9D\x8C\x89<" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:09:56:39 +0100] "\x93d\xD8\x85\xD3f\x182\x94\x10\xE6y\x06\x7F\xE5\x97\xA8S\x8AfZ\x84\x0C\x0F\xFD\x19d*+\x09%\xEC3EG\xDD:Tn\xDA" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:07:10 +0100] ">\x92\xD7\x85\xC2\x5C\xDA\x8CJX\xBE\x87\x01\xBA\x09\xADj\xEDT.\x02z\x0B\xCA\x00\xAC\xDC[_;q\xC15\x17\xE9\x0B\x9F\xDA;\xEC\xDA)\xB8\x91\xA2\xB5P\xE9\x81\xF2\xD5\xD3\xC4\xD3" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:09:53 +0100] "\x12\x9E>\xFC\xF4\x07,\x9A\xF5G\xB4\xD0\xD4\xF1\xCB9\x9FRl\xB0\xDB\x84a\x90\x7F{\xB1\xA3\xD9-5\xF8\x94~\xCEm\x87\xEC\xB4\xE2s\xBD\xDB@" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:24:49 +0100] "\x98\xCA\xD3\x95|&t\x1Cp\x02\xF7\x88m\x08T\xE7tm\x9E\x04\xFB\x85\xB7\x08\xB3\xA0-Z\x03\xD5O\x98\xC6\x0EK|\xA1" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:27:58 +0100] "\x11\xE8.^\x0E\x8B}\x81\xAD\xA3^\x9E\xDFg2?@\xCB\x1Ej\xC7h\xB00\xF0\xDC\x92\x9B@\xFD\xBChB\xBF7tF\x17+W\xFFV\x8F" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:40:43 +0100] "Ou\xB3\x89\x8DiB\x82\x9D\xE8?wshxLF'\x0F\xB2o\xF6\xCD\xFC\xC2\x82ck\xC4\xF7\x0F\x01\xBC\x8B\xDA\x93|\xEAL\x81\xED`Rbr\x0F\xC1\xC8T\xDE\x07\x91\xF5|J\x5C\xBD70\x22\xD5\xA5p\xF4\xF4\xAA\xC2\xF2a\x19\xFE" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:41:29 +0100] "[8]\xCC\x7F\x1E\xA9\xE6f\xD7<\xA9\x18\xD9\xC0\xD0j~O\x90C\x8D]hVz\x84\x94y]\x95{.\x13m_];W1\x16\xEF\xD6\xE2" 400 172 "-" "-"

위의 일정 기간 동안 동일한 IP 주소에서 온 것입니다. 이것에 대한 통찰력이 있습니다.

HTTP 엔드 포인트에 HTTPS 요청을하기 때문에이 문제가 발생했을 가능성이 높습니다. 예를 들어, 443 대신 웹 서버의 포트 80에 HTTPS 요청을 전송합니다. 결과적으로 HTTP 엔드 포인트는 많은 암호화 된 데이터를 가져 와서 해독하려는 노력을 기울이지 않습니다 (HTTP는 평문이기 때문에). 로그 파일에 많은 횡설수설이 있습니다.

나는 같은 문제가 있었고 소스 IP와 Google의 일부를 확인하여 일종의 공격을 의심합니다. 그런 다음 default_server 443에서 수신 대기하지만 SSL 인증서가 구성되지 않았다는 것을 깨달았습니다 . 이 서버를 주석 처리하고 문제가 해결되었습니다.

그래서 두 번째 예브게니 포인트입니다.

포트 443에서 수신 대기중인 누락 된 서버가 있는지 nginx 구성을 확인하십시오!

우선이 16 진수를 해독하려고합니다.

내가 알기로는 그것들은 임의의 문자입니다. 이 IP 주소에 익숙하십니까? 하나 이상의 주소입니까? 당신은 그것을 찾으려고 했어요?

그리고 아마도-일부 스크립트-kiddie는 "최고의 악용"을 발견하고 무언가를 테스트하고 싶거나 어떤 종류의 웜이 nginx에서 버그를 찾고 있습니다.

제발-nginx 버전을 확인하고 변경 로그에서 임의의 문자 nginx 버그에 익숙한 것을 찾으십시오.

BitTorrent 클라이언트가 포트 80을 사용하여 피어에 연결할 때 비슷한 동작이 관찰됩니다.