Что такое возможный ^ null$ exploit, сообщенный LogWatch?

Question

Что такое возможный ^ null$ exploit, сообщенный LogWatch?

LogWatch это хороший инструмент, который предоставляет ежедневные отчеты о файлах журналов linux. Он включает в себя несколько информационных сводок, таких как трафик, пользователи, которые вошли в систему, которые использовали sudo, соответствующие сообщения ядра, IP-адреса, которые зондировали сервер, поисковые системы, которые зондировали ваш apache и т. д...

один раздел включает в себя IP-адреса, которые использовали известные эксплойты попытки взломать ваш сервер. Они не обязательно преуспели, но они все равно перечислены в отчете для получения знаний. Это на что это похоже.

Attempts to use known hacks by 4 hosts were logged 4 time(s) from:
   187.13.156.179: 1 Time(s)
      ^null$ 1 Time(s) 
   187.60.121.62: 1 Time(s)
      ^null$ 1 Time(s) 
   189.123.240.18: 1 Time(s)
      ^null$ 1 Time(s) 
   189.70.214.124: 1 Time(s)
      ^null$ 1 Time(s)

мой вопрос в том, что именно этот ^null$ атаки? Я пробовал погуглить это, но ничего подходящего, похоже, не появляется.

9

exploit linux security

автор: bahrep

3 ответов

автор: Colonel Panic · Accepted Answer · 2013-05-17 07:38:55

обычно об этом не стоит беспокоиться - это не обязательно фактическая атака. The ^null$ "атака" - это просто завершение клиентского соединения без отправки HTTP-запроса (т. е. соединение установлено на ваш веб-сервер, но запрос не получен).

Если у вас было несколько попыток на вашем сервере с одного IP-адреса или много ^null$ записи на IP, тогда у вас могут быть доказательства согласованной попытки. Как бы то ни было, я бы предложил вам смело игнорировать этот пример журнал, который вы дали выше.

автор: 2072 · Accepted Answer · 2014-04-14 07:27:05

интересно отметить, что Heartbleed зондирование переводится в такие предупреждения от LogWatch:

Attempts to use known hacks by 1 hosts were logged 1 time(s) from: 54.82.203.167: 1 Time(s) ^null$ 1 Time(s)

соответствующая запись в журнале Apache SSL:

XXXXXX:443 54.82.203.167 - - [10/Apr/2014:00:19:45 +0200] "quit" 301 1313 "-" "-"

(используя http://filippo.io/Heartbleed/)

автор: Josh Wieder · Accepted Answer · 2015-02-09 20:28:09

несколько типов служб мониторинга также сделают это; например uptimerobot.com:

попытки использовать известные хаки 10 хостами были зарегистрированы 107 раз (ы) от: 74.86.158.106: 91 время (ы) ^null$ 91 время (ы)

74.86.158.106 - - [09 / Feb/2015:01:09:54 -0500] "получить / HTTP / 1.1" 200 17896 " - "" Mozilla / 5.0+(совместимость; UptimeRobot / 2.0;http://www.uptimerobot.com/)"

74.86.158.106 - - [09/Feb/2015:01:10: 47 -0500] "HEAD / HTTP / 1.1" 200 - " - "" Mozilla / 5.0+(совместимость; UptimeRobot / 2.0;http://www.uptimerobot.com/)"

некоторые типы отказоустойчивых приложений, вероятно, также отключат его, например heartbeat и ldirectord (в зависимости от их конфигурации).