Rocksolid Light

groups  faq  privacy  How to post  login

Message-ID:  

You will be given a post of trust and responsibility.


rocksolid / de.comm.software.webserver / \x16\x03\x01" im apache-Log

SubjectAuthor
* \x16\x03\x01" im apache-LogMarco Moock
`- Re: \x16\x03\x01" im apache-LogTim Ritberg

1
Subject: \x16\x03\x01" im apache-Log
From: Marco Moock
Newsgroups: de.comm.software.webserver
Organization: A noiseless patient Spider
Date: Thu, 23 May 2024 07:48 UTC
Path: i2pn2.org!i2pn.org!eternal-september.org!feeder3.eternal-september.org!news.eternal-september.org!.POSTED!not-for-mail
From: mm+use...@dorfdsl.de (Marco Moock)
Newsgroups: de.comm.software.webserver
Subject: \x16\x03\x01" im apache-Log
Date: Thu, 23 May 2024 09:48:10 +0200
Organization: A noiseless patient Spider
Lines: 12
Message-ID: <v2msbr$1kodr$2@dont-email.me>
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
Injection-Date: Thu, 23 May 2024 09:48:11 +0200 (CEST)
Injection-Info: dont-email.me; posting-host="d30887906d1edd023bb3d3996489dc5d";
logging-data="1728955"; mail-complaints-to="abuse@eternal-september.org"; posting-account="U2FsdGVkX18PJsui6AMmkRKDxcTUnN7+"
Cancel-Lock: sha1:sX2vqXhTQ5yLzcfXlxwFYfiWV3g=
View all headers

Hello zusammen!

Ich beobachte Einträge wie /var/log/apache2/access.log:31.220.1.83 - -
[23/May/2024:01:27:19 +0200] "\x16\x03\x01" 400 492 "-" "-"

An der stelle steht sonst das HTTP-Kommando wie "GET <URL>" etc.
Was will ein Angreifer mit diesem String bezwecken?

--
Gruß
Marco

Subject: Re: \x16\x03\x01" im apache-Log
From: Tim Ritberg
Newsgroups: de.comm.software.webserver
Date: Thu, 23 May 2024 08:39 UTC
References: 1
Path: i2pn2.org!rocksolid2!news.neodome.net!weretis.net!feeder8.news.weretis.net!reader5.news.weretis.net!news.tota-refugium.de!.POSTED!not-for-mail
From: tim...@server.invalid (Tim Ritberg)
Newsgroups: de.comm.software.webserver
Subject: Re: \x16\x03\x01" im apache-Log
Date: Thu, 23 May 2024 10:39:33 +0200
Message-ID: <v2mvc5$lgcr$1@tota-refugium.de>
References: <v2msbr$1kodr$2@dont-email.me>
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
Injection-Date: Thu, 23 May 2024 08:39:33 -0000 (UTC)
Injection-Info: tota-refugium.de;
logging-data="704923"; mail-complaints-to="abuse@news.tota-refugium.de"
User-Agent: Mozilla Thunderbird
Cancel-Lock: sha1:sem2QLgJx6kq7dSzgSzkV7Gxuj4=
Content-Language: de-DE
In-Reply-To: <v2msbr$1kodr$2@dont-email.me>
X-User-ID: eJwFwYEBgDAIA7CXoKMFz2Eo/59gwiPXZIgKLhc7V5+V9kk49YLVxUmcMnRyFTAyJvpa+g8LsRAS
View all headers

Am 23.05.24 um 09:48 schrieb Marco Moock:
> Hello zusammen!
>
> Ich beobachte Einträge wie /var/log/apache2/access.log:31.220.1.83 - -
> [23/May/2024:01:27:19 +0200] "\x16\x03\x01" 400 492 "-" "-"
>
> An der stelle steht sonst das HTTP-Kommando wie "GET <URL>" etc.
> Was will ein Angreifer mit diesem String bezwecken?
>

Scheinbar Multibyte oder einfach Binärdaten.
Ist das vielleicht ein Vhost:80 der SSL-Anfragen bekommt?

Tim


rocksolid / de.comm.software.webserver / \x16\x03\x01" im apache-Log

1
server_pubkey.txt

rocksolid light 0.9.12
clearnet tor