Rocksolid Light

groups  faq  privacy  How to post  login

Message-ID:  

The fashion wears out more apparel than the man. -- William Shakespeare, "Much Ado About Nothing"

rocksolid / de.comm.software.webserver / Re: \x16\x03\x01" im apache-Log

SubjectAuthor
* \x16\x03\x01" im apache-LogMarco Moock
+- Re: \x16\x03\x01" im apache-LogTim Ritberg
`* Re: \x16\x03\x01" im apache-LogMarco Moock
 `* Re: \x16\x03\x01" im apache-LogTim Ritberg
  `- Re: \x16\x03\x01" im apache-LogMarco Moock

1
Subject: \x16\x03\x01" im apache-Log
From: Marco Moock
Newsgroups: de.comm.software.webserver
Organization: A noiseless patient Spider
Date: Thu, 23 May 2024 07:48 UTC
Path: i2pn2.org!i2pn.org!eternal-september.org!feeder3.eternal-september.org!news.eternal-september.org!.POSTED!not-for-mail
From: mm+use...@dorfdsl.de (Marco Moock)
Newsgroups: de.comm.software.webserver
Subject: \x16\x03\x01" im apache-Log
Date: Thu, 23 May 2024 09:48:10 +0200
Organization: A noiseless patient Spider
Lines: 12
Message-ID: <v2msbr$1kodr$2@dont-email.me>
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
Injection-Date: Thu, 23 May 2024 09:48:11 +0200 (CEST)
Injection-Info: dont-email.me; posting-host="d30887906d1edd023bb3d3996489dc5d";
logging-data="1728955"; mail-complaints-to="abuse@eternal-september.org"; posting-account="U2FsdGVkX18PJsui6AMmkRKDxcTUnN7+"
Cancel-Lock: sha1:sX2vqXhTQ5yLzcfXlxwFYfiWV3g=
View all headers

Hello zusammen!

Ich beobachte Einträge wie /var/log/apache2/access.log:31.220.1.83 - -
[23/May/2024:01:27:19 +0200] "\x16\x03\x01" 400 492 "-" "-"

An der stelle steht sonst das HTTP-Kommando wie "GET <URL>" etc.
Was will ein Angreifer mit diesem String bezwecken?

--
Gruß
Marco

Subject: Re: \x16\x03\x01" im apache-Log
From: Tim Ritberg
Newsgroups: de.comm.software.webserver
Date: Thu, 23 May 2024 08:39 UTC
References: 1
Path: i2pn2.org!rocksolid2!news.neodome.net!weretis.net!feeder8.news.weretis.net!reader5.news.weretis.net!news.tota-refugium.de!.POSTED!not-for-mail
From: tim...@server.invalid (Tim Ritberg)
Newsgroups: de.comm.software.webserver
Subject: Re: \x16\x03\x01" im apache-Log
Date: Thu, 23 May 2024 10:39:33 +0200
Message-ID: <v2mvc5$lgcr$1@tota-refugium.de>
References: <v2msbr$1kodr$2@dont-email.me>
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
Injection-Date: Thu, 23 May 2024 08:39:33 -0000 (UTC)
Injection-Info: tota-refugium.de;
logging-data="704923"; mail-complaints-to="abuse@news.tota-refugium.de"
User-Agent: Mozilla Thunderbird
Cancel-Lock: sha1:sem2QLgJx6kq7dSzgSzkV7Gxuj4=
Content-Language: de-DE
In-Reply-To: <v2msbr$1kodr$2@dont-email.me>
X-User-ID: eJwFwYEBgDAIA7CXoKMFz2Eo/59gwiPXZIgKLhc7V5+V9kk49YLVxUmcMnRyFTAyJvpa+g8LsRAS
View all headers

Am 23.05.24 um 09:48 schrieb Marco Moock:
> Hello zusammen!
>
> Ich beobachte Einträge wie /var/log/apache2/access.log:31.220.1.83 - -
> [23/May/2024:01:27:19 +0200] "\x16\x03\x01" 400 492 "-" "-"
>
> An der stelle steht sonst das HTTP-Kommando wie "GET <URL>" etc.
> Was will ein Angreifer mit diesem String bezwecken?
>

Scheinbar Multibyte oder einfach Binärdaten.
Ist das vielleicht ein Vhost:80 der SSL-Anfragen bekommt?

Tim

Subject: Re: \x16\x03\x01" im apache-Log
From: Marco Moock
Newsgroups: de.comm.software.webserver
Date: Thu, 20 Jun 2024 20:22 UTC
References: 1
Path: i2pn2.org!rocksolid2!news.neodome.net!weretis.net!feeder8.news.weretis.net!reader5.news.weretis.net!news.solani.org!.POSTED!not-for-mail
From: mm+sol...@dorfdsl.de (Marco Moock)
Newsgroups: de.comm.software.webserver
Subject: Re: \x16\x03\x01" im apache-Log
Date: Thu, 20 Jun 2024 22:22:14 +0200
Message-ID: <v5231m$1ttou$2@solani.org>
References: <v2msbr$1kodr$2@dont-email.me>
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
Injection-Date: Thu, 20 Jun 2024 20:22:14 -0000 (UTC)
Injection-Info: solani.org;
logging-data="2029342"; mail-complaints-to="abuse@news.solani.org"
Cancel-Lock: sha1:FWuD6hHDmLZ1N6UKC5c/58quklc=
X-User-ID: eJwNysEBwEAEBMCWCLsoJ+fov4Rk3gOjssMJOhZrnRnuFykCzSOYwXGp4mz8l1usFE1pe+/zAf1bD/g=
X-Newsreader: Claws Mail 4.3.0 (GTK 3.24.42; x86_64-pc-linux-gnu)
View all headers

Am 23.05.2024 09:48 Uhr schrieb Marco Moock:

> An der stelle steht sonst das HTTP-Kommando wie "GET <URL>" etc.
> Was will ein Angreifer mit diesem String bezwecken?

Neben Angreifern, die dann versuchen, CGI-Skripte aufzurufen, kommt das
auch von Scannern wie Censys oder Shadowserver. Ich frag da nun nach,
was das bezwecken soll.

Es KÖNNTE hier natürlich auch sein, dass die vermeintlichen Angriffe
auf cgi-Skripte nur Scans dieser Server sind, müsste ich aber genauer
analysieren.
Jedenfalls habe ich den String in fail2ban nun gesperrt, ein legitimer
User wird sowas nicht eingeben.

--
Gruß
Marco

Spam und Werbung bitte an
1716450490ichwillgesperrtwerden@nirvana.admins.ws

Subject: Re: \x16\x03\x01" im apache-Log
From: Tim Ritberg
Newsgroups: de.comm.software.webserver
Date: Thu, 20 Jun 2024 20:52 UTC
References: 1 2
Path: i2pn2.org!i2pn.org!weretis.net!feeder8.news.weretis.net!reader5.news.weretis.net!news.tota-refugium.de!.POSTED!not-for-mail
From: tim...@server.invalid (Tim Ritberg)
Newsgroups: de.comm.software.webserver
Subject: Re: \x16\x03\x01" im apache-Log
Date: Thu, 20 Jun 2024 22:52:49 +0200
Message-ID: <v524r1$1u0nt$1@tota-refugium.de>
References: <v2msbr$1kodr$2@dont-email.me> <v5231m$1ttou$2@solani.org>
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
Injection-Date: Thu, 20 Jun 2024 20:52:49 -0000 (UTC)
Injection-Info: tota-refugium.de;
logging-data="2032381"; mail-complaints-to="abuse@news.tota-refugium.de"
User-Agent: Mozilla Thunderbird
Cancel-Lock: sha1:aYGoJOEGL6ABl3pusKNe7e3K1Zg=
Content-Language: de-DE
In-Reply-To: <v5231m$1ttou$2@solani.org>
X-User-ID: eJwNyMkBwCAMA7CVyOGkHYe4eP8RqJ5ClBU7C5UQxFN/QGuTpjgJe5Tf6JW3g3tWycbN2TzhFyn6EYM=
View all headers

Am 20.06.24 um 22:22 schrieb Marco Moock:
> Am 23.05.2024 09:48 Uhr schrieb Marco Moock:
>
>> An der stelle steht sonst das HTTP-Kommando wie "GET <URL>" etc.
>> Was will ein Angreifer mit diesem String bezwecken?
>
> Es KÖNNTE hier natürlich auch sein, dass die vermeintlichen Angriffe
> auf cgi-Skripte nur Scans dieser Server sind, müsste ich aber genauer
Nö, da läuft einfach TLS auf einen HTTP-Vhost auf.

https://security.stackexchange.com/questions/162782/apache-strange-requests-in-logs

what you see in \x16\x03\x01\x01... is just the start of a TLS 1.0
handshake,

Tim

Subject: Re: \x16\x03\x01" im apache-Log
From: Marco Moock
Newsgroups: de.comm.software.webserver
Date: Fri, 21 Jun 2024 05:24 UTC
References: 1 2 3
Path: i2pn2.org!i2pn.org!weretis.net!feeder8.news.weretis.net!reader5.news.weretis.net!news.solani.org!.POSTED!not-for-mail
From: mm+sol...@dorfdsl.de (Marco Moock)
Newsgroups: de.comm.software.webserver
Subject: Re: \x16\x03\x01" im apache-Log
Date: Fri, 21 Jun 2024 07:24:51 +0200
Message-ID: <v532r3$1uhsg$3@solani.org>
References: <v2msbr$1kodr$2@dont-email.me>
<v5231m$1ttou$2@solani.org>
<v524r1$1u0nt$1@tota-refugium.de>
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
Injection-Date: Fri, 21 Jun 2024 05:24:51 -0000 (UTC)
Injection-Info: solani.org;
logging-data="2049936"; mail-complaints-to="abuse@news.solani.org"
Cancel-Lock: sha1:QPtBblL/01HruNvViFuhsx/1y0w=
X-User-ID: eJwFwYcBwDAIA7CXyjAh54Th/0+oBAuJPh4IB0HSOlEzJQV6MJ448HL3o7QWrFpz9KL2Hv8BONwRxQ==
X-Newsreader: Claws Mail 4.3.0 (GTK 3.24.42; x86_64-pc-linux-gnu)
View all headers

Am 20.06.2024 22:52 Uhr schrieb Tim Ritberg:

> Am 20.06.24 um 22:22 schrieb Marco Moock:
> > Am 23.05.2024 09:48 Uhr schrieb Marco Moock:
> >
> >> An der stelle steht sonst das HTTP-Kommando wie "GET <URL>" etc.
> >> Was will ein Angreifer mit diesem String bezwecken?
> >
> > Es KÖNNTE hier natürlich auch sein, dass die vermeintlichen Angriffe
> > auf cgi-Skripte nur Scans dieser Server sind, müsste ich aber
> > genauer
> Nö, da läuft einfach TLS auf einen HTTP-Vhost auf.
>
>
> https://security.stackexchange.com/questions/162782/apache-strange-requests-in-logs
>
> what you see in \x16\x03\x01\x01... is just the start of a TLS 1.0
> handshake,

Danke, das erklärt das.

--
Gruß
Marco

Spam und Werbung bitte an
1718916769ichwillgesperrtwerden@nirvana.admins.ws

rocksolid / de.comm.software.webserver / Re: \x16\x03\x01" im apache-Log

1
server_pubkey.txt

rocksolid light 0.9.136
clearnet tor