keneda212 Posté(e) le 24 avril 2009 Partager Posté(e) le 24 avril 2009 Bonjour Depuis deux jours, mon server apache recoit des requetes de plus en plus étrange et je n'arrive pas à comprendre ce que c'est (des attaques, des liens bittorents ?) voici le type de requete que j'ai : XXX.XXX.XXX.XXX - - [24/Apr/2009:08:20:49 +0200] "\xdc\xe4E\xe6\x9c:" 200 - 2282 "-" "-" XXX.XXX.XXX.XXX - - [24/Apr/2009:08:23:15 +0200] "\x9e\xefN\x1c\xddW\xa47\x9f\xd5\x91\xc9%\xb4\x8dC\xe3\b\xc5}\xba\xc3\xa5\xc0\x16\xa7\x8a\xc3\xcdz|)\xe4:\x81B\xdc=\xa3\xef\xed\xfc\x1b\xb4x\xd9,\xe9\xe2\xd8Ej\xc7\xfeU<Q\xd0_\x9d\xcb\\\xd2y<\xc2\xa955\xd1?H\xc5\xc2t\xc1\xceP\xa7\x10\x92\x1eq\x97w\x96_\x8f\x05\xfb1g\xbdsj\x1ftJ\xf1\xb1\xc4Hw\xe3\"\x8d\xc7\xd5\xeb\x97\xbb\x05r\xfb\xe1\xdfF\x9e\xd9\x8d\xb4(\xff\x10\x8d\xb6K\x90*\xd0u\xf0\xac\x9a\\\xa6\x88N\xa8\xcaD\xe9\xael{%\x95+'\xa8\xb7\x03 {Jg\xdf\xbd@\x90\x88\x99k\x14(u\xe5\xba:l\xaf\x8dq\xff\x98/\xb1\x07ap^\xee\x1e\x1f\xda\x1f\xdf!I\xbb\x90\xbf\x98\x8e\x1eD\xbdA\xdc\xc8@\xd1$G\xfa@A\xf6\x1d\x8a\x8c\xd6t\xda\xd6\x89\xec\xfe\x06eT\x18\x03\xc7a\x97\xd5\xa9\xf5f\x07w\xa0cO\x1fh\x13qh\xc5\x94`\x84\xf0\xd3\xa6\xe8]\xff\x07[\x86=aM\xeb\x9d\xd7kWL.pd\x0cw>A\xe2\xef-\xb3\x0e#\xa3Z@X\xe56\t),j\x90r\xfc?\x86m\xb1k\\\x1b[\x94\xb3\xe6\xcb\x10\x14\x84\xee\xef\xe1\x1eZ;\x8b\xb2'~\x06\xb6" 400 658 349 "-" "-" XXX.XXX.XXX.XXX - - [24/Apr/2009:08:24:23 +0200] "=\x83\x02\x0c\xfcn\x87\xb0Fm\br\xc1\xfa\xb5\x19\xc3\x03Z\xe4|\x88\xa4\xa5\x15n\x02\xda\x80\xb9\xd4\xc4\xadF\xd7\xa6\xc7D\x12`\x0c\xac\xed\xd2H[\x14\x99c\x84\x06x\xc9\xcaX\x85\x8dqx\xba4WmC\x1f\xaa\bt\x9e\xcf1$z\x84\x16m\x01!\xdf\xa8X$%\xa4!\xb2\xf0\x8e\x8fr=\x8cIn\x92\x8cP\xa8\xcb\x10\xa6b\xa1\xbdS~&\xe8\xde\xf5\xb7\x8f \xcc\x9c\xe6K\xfe/\xee+\xb7@I\xab\xc2\xb9M\x9aE~W\xaf\xac\x97b\xcb\xe3\x91\xd8\x7f\xc8!\xa7\xce\xe0\v\x984HB\xdd\xe7\xefQ\xe8\\\x03\xf9\x84\r\xa9\x1c\x1ez\xf1\xdacm\t\xf9\x11\x83\xb1\x8a\x06\xe8\xee\xc9\x9eb\x03F;\x91\x9dB%uN\\\x950<m\x0c\r\x1b\xb0\xe9\xc2X&;\xf2\x978\xd4\xf6`\x9f\x9f\xdd\x15\x813\xb1(\xdc\xa7\xfc\x8a(\xa8\x8bg8\xcar\x10b\x1cQ9\xdf\xff\xd5dt8\x81\x9dRC\xaeh<\xea\xd0\xf8\xe7\x17\xfc\xa1\xa6\xe7\xa7\x90G\xff\xb1\xba7#\xa2\x12\xed\x053\xff\x86Z\x10\r\xad3\xdc\xe3\xbe\x8buu+\x1czz\x1ex\v!`T\xd0\xffy'=L\x19\xf4\x14P\xb6c+\x18w\x17omQ<)\x07p_\x80\xfd\xd8\x83?\x80Lq\xd9\xc9nO\xabP)t\x80?L{Z&w\x96p\xf0;%s\x16}\x88\x15\x12\x1b1\xcc\x17\xd3\xfd\xd3\xff`\xc4s\x85\xe5/\x80\xb4\x8f\xc9&\x9fvY\xe6S\xc5p\xdb" 400 679 353 "-" "-" et dans mes logs d'erreurs j'ai ca par exemple [Fri Apr 24 03:57:34 2009] [error] [client XXX.XXX.XXX.XXX] Invalid URI in request \x13BitTorrent protocolex [Fri Apr 24 04:32:55 2009] [error] [client XXX.XXX.XXX.XXX] request failed: error reading the headers [Fri Apr 24 07:58:44 2009] [error] [client XXX.XXX.XXX.XXX] Invalid URI in request l]\x0c\xd6wF\xd4\x9b\x8e\x82F\xfd_\xb4\x8a'\x8b\x85\xa1\xe6K\x01\x93tk@\xb44\xc7SO\x04\xaf\xc6\xe7\x93\x84\x05\xda\xd8A\xcfk\xe0\xa9\xa7\xee\x858\xe4\x12\xb5_s\xf4\x06\x84\x98\x19 j'ai modifié les regex du module apache de fail2ban pour qu'il banni ce genre de requete, et depuis hier j'ai 20 bannis deja o_O quelqu'un sait ce que c'est ? des requetes bittorrent sur mon serveur sur le port 80 ? edit : je ne suis pas en ip fixe mais variable. Je viens de vérifier, j'ai changé d'ip il y a 2 jours, juste avant de voir ce genre de connection j'aurai récupéré l'ip d'un mec qui avait un serveur bittorent ou quoi ? bon je redemarrerai ma box d'ici ce soir, voir si ca va mieu solution : changer d'ip Lien vers le commentaire Partager sur d’autres sites More sharing options...
neodolphin Posté(e) le 24 avril 2009 Partager Posté(e) le 24 avril 2009 Effectivement tu as du surement récupéré l'ip d'un mec qui as fait un serveur BT chez lui après le port 80 c'est parce qu'il n'as pas voulu s'embêter à utiliser un autre port. Lien vers le commentaire Partager sur d’autres sites More sharing options...
keneda212 Posté(e) le 24 avril 2009 Auteur Partager Posté(e) le 24 avril 2009 voila, j'ai une nouvelle ip, ca devrai resoudre le soucis (j'attend de voir mes logs) 24 bannis en 48h Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.