[RESOLU] Log apache très étrange

[keneda212]

Bonjour

Depuis deux jours, mon server apache recoit des requetes de plus en plus étrange et je n'arrive pas à comprendre ce que c'est (des attaques, des liens bittorents ?)

voici le type de requete que j'ai :

XXX.XXX.XXX.XXX - - [24/Apr/2009:08:20:49 +0200] "\xdc\xe4E\xe6\x9c:" 200 - 2282 "-" "-"
XXX.XXX.XXX.XXX - - [24/Apr/2009:08:23:15 +0200] "\x9e\xefN\x1c\xddW\xa47\x9f\xd5\x91\xc9%\xb4\x8dC\xe3\b\xc5}\xba\xc3\xa5\xc0\x16\xa7\x8a\xc3\xcdz|)\xe4:\x81B\xdc=\xa3\xef\xed\xfc\x1b\xb4x\xd9,\xe9\xe2\xd8Ej\xc7\xfeU<Q\xd0_\x9d\xcb\\\xd2y<\xc2\xa955\xd1?H\xc5\xc2t\xc1\xceP\xa7\x10\x92\x1eq\x97w\x96_\x8f\x05\xfb1g\xbdsj\x1ftJ\xf1\xb1\xc4Hw\xe3\"\x8d\xc7\xd5\xeb\x97\xbb\x05r\xfb\xe1\xdfF\x9e\xd9\x8d\xb4(\xff\x10\x8d\xb6K\x90*\xd0u\xf0\xac\x9a\\\xa6\x88N\xa8\xcaD\xe9\xael{%\x95+'\xa8\xb7\x03 {Jg\xdf\xbd@\x90\x88\x99k\x14(u\xe5\xba:l\xaf\x8dq\xff\x98/\xb1\x07ap^\xee\x1e\x1f\xda\x1f\xdf!I\xbb\x90\xbf\x98\x8e\x1eD\xbdA\xdc\xc8@\xd1$G\xfa@A\xf6\x1d\x8a\x8c\xd6t\xda\xd6\x89\xec\xfe\x06eT\x18\x03\xc7a\x97\xd5\xa9\xf5f\x07w\xa0cO\x1fh\x13qh\xc5\x94`\x84\xf0\xd3\xa6\xe8]\xff\x07[\x86=aM\xeb\x9d\xd7kWL.pd\x0cw>A\xe2\xef-\xb3\x0e#\xa3Z@X\xe56\t),j\x90r\xfc?\x86m\xb1k\\\x1b[\x94\xb3\xe6\xcb\x10\x14\x84\xee\xef\xe1\x1eZ;\x8b\xb2'~\x06\xb6" 400 658 349 "-" "-"
XXX.XXX.XXX.XXX - - [24/Apr/2009:08:24:23 +0200] "=\x83\x02\x0c\xfcn\x87\xb0Fm\br\xc1\xfa\xb5\x19\xc3\x03Z\xe4|\x88\xa4\xa5\x15n\x02\xda\x80\xb9\xd4\xc4\xadF\xd7\xa6\xc7D\x12`\x0c\xac\xed\xd2H[\x14\x99c\x84\x06x\xc9\xcaX\x85\x8dqx\xba4WmC\x1f\xaa\bt\x9e\xcf1$z\x84\x16m\x01!\xdf\xa8X$%\xa4!\xb2\xf0\x8e\x8fr=\x8cIn\x92\x8cP\xa8\xcb\x10\xa6b\xa1\xbdS~&\xe8\xde\xf5\xb7\x8f \xcc\x9c\xe6K\xfe/\xee+\xb7@I\xab\xc2\xb9M\x9aE~W\xaf\xac\x97b\xcb\xe3\x91\xd8\x7f\xc8!\xa7\xce\xe0\v\x984HB\xdd\xe7\xefQ\xe8\\\x03\xf9\x84\r\xa9\x1c\x1ez\xf1\xdacm\t\xf9\x11\x83\xb1\x8a\x06\xe8\xee\xc9\x9eb\x03F;\x91\x9dB%uN\\\x950<m\x0c\r\x1b\xb0\xe9\xc2X&;\xf2\x978\xd4\xf6`\x9f\x9f\xdd\x15\x813\xb1(\xdc\xa7\xfc\x8a(\xa8\x8bg8\xcar\x10b\x1cQ9\xdf\xff\xd5dt8\x81\x9dRC\xaeh<\xea\xd0\xf8\xe7\x17\xfc\xa1\xa6\xe7\xa7\x90G\xff\xb1\xba7#\xa2\x12\xed\x053\xff\x86Z\x10\r\xad3\xdc\xe3\xbe\x8buu+\x1czz\x1ex\v!`T\xd0\xffy'=L\x19\xf4\x14P\xb6c+\x18w\x17omQ<)\x07p_\x80\xfd\xd8\x83?\x80Lq\xd9\xc9nO\xabP)t\x80?L{Z&w\x96p\xf0;%s\x16}\x88\x15\x12\x1b1\xcc\x17\xd3\xfd\xd3\xff`\xc4s\x85\xe5/\x80\xb4\x8f\xc9&\x9fvY\xe6S\xc5p\xdb" 400 679 353 "-" "-"

et dans mes logs d'erreurs j'ai ca par exemple

[Fri Apr 24 03:57:34 2009] [error] [client XXX.XXX.XXX.XXX] Invalid URI in request \x13BitTorrent protocolex
[Fri Apr 24 04:32:55 2009] [error] [client XXX.XXX.XXX.XXX] request failed: error reading the headers
[Fri Apr 24 07:58:44 2009] [error] [client XXX.XXX.XXX.XXX] Invalid URI in request l]\x0c\xd6wF\xd4\x9b\x8e\x82F\xfd_\xb4\x8a'\x8b\x85\xa1\xe6K\x01\x93tk@\xb44\xc7SO\x04\xaf\xc6\xe7\x93\x84\x05\xda\xd8A\xcfk\xe0\xa9\xa7\xee\x858\xe4\x12\xb5_s\xf4\x06\x84\x98\x19

j'ai modifié les regex du module apache de fail2ban pour qu'il banni ce genre de requete, et depuis hier j'ai 20 bannis deja o_O

quelqu'un sait ce que c'est ? des requetes bittorrent sur mon serveur sur le port 80 ?

edit : je ne suis pas en ip fixe mais variable. Je viens de vérifier, j'ai changé d'ip il y a 2 jours, juste avant de voir ce genre de connection

j'aurai récupéré l'ip d'un mec qui avait un serveur bittorent ou quoi ?

bon je redemarrerai ma box d'ici ce soir, voir si ca va mieu

solution : changer d'ip

[neodolphin]

Effectivement tu as du surement récupéré l'ip d'un mec qui as fait un serveur BT chez lui après le port 80 c'est parce qu'il n'as pas voulu s'embêter à utiliser un autre port.

[keneda212]

voila, j'ai une nouvelle ip, ca devrai resoudre le soucis (j'attend de voir mes logs)

24 bannis en 48h