Кто-то пытается найти уязвимость?

Question

[Zailox]

С полуночи начали прилетать странные логи в apache:

192.168.1.1 - - [08/Feb/2025 19:01:22] "GET /api/hash?hash_text='test' HTTP/1.1" 200       <---- это я
205.210.31.44 - - [08/Feb/2025 23:53:58] "GET / HTTP/1.0" 404 -                            <---- а это уже не я
205.210.31.232 - - [09/Feb/2025 00:39:09] "GET / HTTP/1.1" 404 -
109.236.61.85 - - [09/Feb/2025 07:01:52] code 400, message Bad request version ('}')
109.236.61.85 - - [09/Feb/2025 07:01:52] "ÿ\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00ñ\x03%\x00\x00\x00{ "Ret" : 100, "SessionID" : "0x0" }" 400 -
49.51.180.2 - - [09/Feb/2025 11:49:50] "GET /api/hash?hash_text= HTTP/1.1" 200 -
43.129.58.235 - - [09/Feb/2025 12:10:23] "GET / HTTP/1.1" 404 -
5.101.0.66 - - [09/Feb/2025 12:39:34] code 400, message Bad request version ("¯nãY»bhlÿ(=':©\x82ÙoÈ¢×\x93\x98´ï\x80å¹\x90\x00(À")
5.101.0.66 - - [09/Feb/2025 12:39:34] "\x16\x03\x02\x01o\x01\x00\x01k\x03\x02RHÅ\x1a#÷:Nßâ´\x82/ÿ\x09T\x9f§Äy°hÆ\x13\x8c¤\x1c="á\x1a\x98 \x84´,\x85¯nãY»bhlÿ(=':©\x82ÙoÈ¢×\x93\x98´ï\x80å¹\x90\x00(À" 400 -
5.101.6.194 - - [09/Feb/2025 12:39:50] code 400, message Bad request version ('²7ÏJb\x88j\x13\x8e¿\x8a\x05ëg4»DÎÉ2î0|Ï£\x98Ä౸\x9b')
5.101.6.194 - - [09/Feb/2025 12:39:50] "\x16\x03\x01\x05¨\x01\x00\x05¤\x03\x03ôfÓö\x01\x8b÷Ið\x7f\x8eÍüó\x86ñQ'¨\x09ÈÙ_\\<pIU˳\x1bÈ ²7ÏJb\x88j\x13\x8e¿\x8a\x05ëg4»DÎÉ2î0|Ï£\x98Ä౸\x9b" 400 -
5.101.6.194 - - [09/Feb/2025 12:39:51] "GET /v2/_catalog HTTP/1.1" 404 -
5.101.6.194 - - [09/Feb/2025 12:40:20] code 400, message Bad request version ('À\x13À')
5.101.6.194 - - [09/Feb/2025 12:40:20] "\x16\x03\x01\x05¨\x01\x00\x05¤\x03\x03l\x81ó\x18)\x0e¡®\x88w\x84\x18Ôú\x0bÑûÎmX*6t_\x8fÑÊ\x89-NÄj Z\x1eM\x05лbñè°Ñå\x9b^!o(É|\x94$f\x95tÚ(ÐÃB=÷Z\x00\x1ą̩À+À/À,À0À\x09À\x13À" 400 -
5.101.6.194 - - [09/Feb/2025 12:40:21] "GET /v2/_catalog HTTP/1.1" 404 -
143.198.18.192 - - [09/Feb/2025 21:44:02] code 400, message Bad request version ('À\x14À')
143.198.18.192 - - [09/Feb/2025 21:44:02] "\x16\x03\x01\x00{\x01\x00\x00w\x03\x03Ó´SG\x06\x09ãp\x92³òÞ\x0e\x9feV¹\\¾ùÁÞ\x82e\x87k\x8cd>»ÃS\x00\x00\x1aÀ/À+À\x11À\x07À\x13À\x09À\x14À" 400 -
143.198.18.192 - - [09/Feb/2025 21:44:02] code 400, message Bad request version ('À\x14À')
143.198.18.192 - - [09/Feb/2025 21:44:02] "\x16\x03\x01\x00{\x01\x00\x00w\x03\x03uS\x9cFÌa\x8c\x80xÓ\x98\x89oÏ40Ù\x86_-\x83 ©ñËR«ÕÂ\x06Ê¿\x00\x00\x1aÀ/À+À\x11À\x07À\x13À\x09À\x14À" 400 -
143.198.18.192 - - [09/Feb/2025 21:44:02] "GET / HTTP/1.1" 404 -
85.142.100.137 - - [10/Feb/2025 00:35:49] "GET / HTTP/1.1" 404 -
85.142.100.137 - - [10/Feb/2025 00:37:18] "GET / HTTP/1.1" 404 -
198.235.24.43 - - [10/Feb/2025 04:33:07] "GET / HTTP/1.0" 404 -
5.101.0.66 - - [10/Feb/2025 05:44:14] "GET / HTTP/1.0" 404 -
5.101.6.194 - - [10/Feb/2025 05:44:32] code 400, message Bad request version ('À\x13À')
5.101.6.194 - - [10/Feb/2025 05:44:32] "\x16\x03\x01\x05¨\x01\x00\x05¤\x03\x03\x8d®LK?ÄP\x90\x0ez'Vô¶½\x84Êéî÷N±U³þ7I¦ª\x84+P )ÑÚ¬\x94r\x94ú'\x0e³I¯f\x0c§R]\x92ÐS/\x84¹Ë\x9b&<Ãyª\x86\x00\x1ą̩À+À/À,À0À\x09À\x13À" 400 -
5.101.6.194 - - [10/Feb/2025 05:44:33] "GET /v2/_catalog HTTP/1.1" 404 -
5.101.6.194 - - [10/Feb/2025 05:45:02] code 400, message Bad request version ('À\x13À')
5.101.6.194 - - [10/Feb/2025 05:45:02] "\x16\x03\x01\x05¨\x01\x00\x05¤\x03\x03)y¿>»Û\\²&\x04ý\x91P^-ªÍ\x0d\x89¯>Èúøû¯y\x19w¶Í5 FkQ.\x03\x8e\x91Û}C\x04\x94ªZ%\x16]áÙe\x13ÞQ\x85\x0c!Ñ\x85Í\x19KM\x00\x1ą̩À+À/À,À0À\x09À\x13À" 400 -
5.101.6.194 - - [10/Feb/2025 05:45:02] "GET /v2/_catalog HTTP/1.1" 404 -
5.101.0.66 - - [10/Feb/2025 05:45:03] code 400, message Bad request version ('À\x13À')
5.101.0.66 - - [10/Feb/2025 05:45:03] "\x16\x03\x01\x05¨\x01\x00\x05¤\x03\x03¯÷Þ¢\x1d\x8c»\x97WÆ=Ô¯Q2\x12çãì=ØD×w02:\x1d¦\x1dûÉ çøÍÁ\\\x0cßy\x08\x8cXÚ8T°\x13º>G¼Y3"RÆM±äÑÉ\x14ü\x00\x1ą̩À+À/À,À0À\x09À\x13À" 400 -
5.101.0.66 - - [10/Feb/2025 05:45:03] "GET /aaa9 HTTP/1.1" 404 -
5.101.0.66 - - [10/Feb/2025 05:45:03] code 400, message Bad request version ('À\x13À')
5.101.0.66 - - [10/Feb/2025 05:45:03] "\x16\x03\x01\x05¨\x01\x00\x05¤\x03\x03åw1m\x9füùG=p\x8bëë\x9dgH\x99££VÇäñFð\x02êÂâô|* í+/O¿|\x98=ý \x00(¥\x12\x80\x87\x1d\x0f®ìP\x0cÇñæÂ'ñ%\x0dç7\x00\x1ą̩À+À/À,À0À\x09À\x13À" 400 -
5.101.0.66 - - [10/Feb/2025 05:45:03] "GET /aab9 HTTP/1.1" 404 -
80.82.70.133 - - [10/Feb/2025 05:47:04] "GET / HTTP/1.0" 404 -
94.102.49.155 - - [10/Feb/2025 05:47:15] code 400, message Bad request version ('À\x14À')
94.102.49.155 - - [10/Feb/2025 05:47:15] "\x16\x03\x01\x00î\x01\x00\x00ê\x03\x032gl^C¡åE\x01ØY~¬\x15[[ì\x19¤¤åó±/Ä\x1d\x92õþ¶#_ áWR²È@$çz&³R \x0bPël\x92÷¼"Sr¥:8éÝÂ\x01j´\x00&À/À0À+À,̨̩À\x13À\x09À\x14À" 400 -
94.102.49.155 - - [10/Feb/2025 05:47:15] "GET /v2/_catalog HTTP/1.1" 404 -
164.90.165.120 - - [10/Feb/2025 06:21:27] "GET / HTTP/1.1" 404 -
164.90.165.120 - - [10/Feb/2025 06:21:27] "GET /favicon.ico HTTP/1.1" 404 -
51.8.217.167 - - [10/Feb/2025 11:23:08] "GET /v2/ HTTP/1.1" 404 -
205.210.31.107 - - [10/Feb/2025 13:21:49] "GET / HTTP/1.1" 404 -
85.142.100.136 - - [10/Feb/2025 13:31:09] "GET / HTTP/1.1" 404 -
195.37.190.67 - - [10/Feb/2025 13:31:26] "GET / HTTP/1.1" 404 -
85.142.100.137 - - [10/Feb/2025 14:07:16] "GET / HTTP/1.1" 404 -

Во время беглого поиска нашёл, что \x00{ "Ret" : 100, "SessionID" : "0x0" } - это походу уязвимость в роутере, а, например, GET /v2/_catalog - это лист контейнеров в докере (у меня приложение висит на 5000, как и многие докер контейнеры).

Использую duckdns как временный домен, это он такие приколы выдаёт, или кому-то реально делать нечего?

Comments

[Dmitry Roo]

Роботы без устали сканируют сеть

[CityCat4]

Первый раз что ли внимание обратили? Таких запросов миллионы :) Тупые боты без конца ищут открытые порты, сканируют сервера, тупо ищут одни и те же почтовые ящики по списку английских (!) ключевых слов... Роботы не спят, они дураки железные...

Answer 1

[AlexVWill]

Да.