Странный лог

В общем заметил в логе апача странные записи типа:

Code:

124.43.138.131 - - [05/Mar/2008:04:48:11 +0300] "\t\x99w\rD\xf9>\x1c\xac\xb3\x96]\x0e\x82- \xe6u*\r\xf2\xd8\xfc\xba\xa1iVT.3q\x89\xe3\xb6" 400 305
210.61.38.29 - - [05/Mar/2008:04:53:38 +0300] "\x07\xe1^\xed\xc2\xd6.\x9d~\x170L\x9b\xe8\xb2\xef\x16\xd4\x98\x89\xf4)\xc9\xf01RR\x8e_\xf8" 501 311
217.106.212.104 - - [05/Mar/2008:05:05:08 +0300] "\xe9\xb1a\x8e\r\xe7T\xfd\xf4\x1es{Y" 400 305
82.200.53.178 - - [05/Mar/2008:05:14:04 +0300] "\xe9\xb52\x1f\x9f\x06\x1e\xa0\xfeS\xaf\xfc\x1a\xd3zA\xcc;n\x93Q+\x86\x8d\xc7k\x7f\x9e" 400 305
218.97.242.246 - - [05/Mar/2008:05:29:46 +0300] "\xa2\xd0p=g0\x94b\xd4\xfb\x17\xc6\xfd%2y\\\xfb\"\x95Cs\x9f\xcds\xfd(\xd5\xb4" 501 315
128.12.22.158 - - [05/Mar/2008:05:32:24 +0300] "\x91z\x16\x0c\x83\xad\xfe(R\xa6v\xd1C\xbaZ\xa3\xfd\xf0;!\xc9\xb5\xc6K\x03\x14^\xfd4" 400 305
41.232.56.50 - - [05/Mar/2008:05:37:38 +0300] "\xbc\x11\xbbe\x18\xd8O\xa8\x1d\x9b(\x05\xd9|\x0e\x89_\xe9c\xcd4\xd8\xb3," 501 305
173.45.94.138 - - [05/Mar/2008:05:39:50 +0300] "\xb7\xd5\x8b\xd8" 501 285
121.79.4.123 - - [05/Mar/2008:05:44:37 +0300] "\xe3\xd3X\xd3\xb9\x05\xfc\x0c\t0\x9b\x01\t\xc1\xdanj\x83\xfd\xe4\x99" 400 305
121.79.4.123 - - [05/Mar/2008:05:47:19 +0300] "tt\b\x9f\xb1\x9d?X\xb0\xa1\x81]\xfd*\xecZmC\xa0\xe1\xff" 400 305
72.84.138.166 - - [05/Mar/2008:05:50:00 +0300] "\xfc\xa0%\x80A\x94\x1d\xdb@}\x0c*\xf8\x0f\xfdf\x9aW\xcd&\x8fr\x11" 400 305
91.124.118.16 - - [05/Mar/2008:05:51:42 +0300] "\x90)\xb6\x97\xb9*d\xdbmX~\xd2\x02\xea\xd2u\xceHE (\x9d\xb6|\xe4\xea@\xdd\xfd\xba)+^\xa6\xe3\xc8\xe5" 400 305
93.86.38.94 - - [05/Mar/2008:05:58:39 +0300] "\x1f\x12Q\xa5\x9a\xf5\x9c}\xd4\b\\\xbd\xbd\xae\xfbd\xcc\xfcj\x9e" 501 301
93.123.85.7 - - [05/Mar/2008:06:07:28 +0300] "\xf1)" 501 283
91.124.118.16 - - [05/Mar/2008:06:08:27 +0300] "\x8c\xdfB\xda_\x98\x8a\x1a\xd0X\xff" 501 292
72.22.142.142 - - [05/Mar/2008:06:14:05 +0300] "\xfc\x9e\x95\xd2#\x92\x1d\x89\xe3\xa7\xdd\xb3b\x12\x8f" 501 296
218.97.242.246 - - [05/Mar/2008:06:14:48 +0300] "\x10\x02{\x9f\xf2\xb1>dIb\xe7\xcc\xb8\xf0\x98vl\x7fY\"\x99\x9b\xa4.g\b\x1c\xdd\xadJ\xebI\xda\xd4\x9e\x89\x81" 501 326
91.124.118.16 - - [05/Mar/2008:06:16:32 +0300] "\xc7@" 501 283
124.195.217.113 - - [05/Mar/2008:06:20:16 +0300] "\x0e" 501 282
77.45.128.105 - - [05/Mar/2008:06:36:05 +0300] "\xf8\b" 501 283
58.137.113.66 - - [05/Mar/2008:06:57:06 +0300] "\xe6|\xae3.\xec\xd39}\x12\xae\x05" 501 293
121.1.18.237 - - [05/Mar/2008:06:57:06 +0300] "t\x03\xdc\xe5]\xd5q\xa7\xff\xbc\xdd~\xba\xe4\x90\x04\xe1f\x01jA#P4\x98\xd7\xe6;\xc4ES\xa5\xcf\xf8\xde1OC" 501 319
85.173.216.163 - - [05/Mar/2008:06:58:33 +0300] "\xf6\xd1\\\x07\xc5\x9e@*'\xc2+\x1e\xb86\x9f\x91\x9a)\xff\xaa\xad\xa1\xdc\xb0/\xd1\x91\xf2\x83j]\x9e\x81V" 501 315
218.97.242.246 - - [05/Mar/2008:07:02:52 +0300] "Lh\x9c]\xb2\xc4\xb2x\xb9\xcc\xe9\xa5;\xfe\xe2-\xda\xc1/B\x1dp9\xf6\xcb\xc5\xd3\xcb\b\xfdm\x1bnLH\x06\b&" 501 323
93.124.38.186 - - [05/Mar/2008:07:08:38 +0300] "2\x96'F\xd1\xb0!^\xf1\xf5\x93j\x9d\x02\x8f\xccd\xec" 501 299
212.98.163.164 - - [05/Mar/2008:07:17:17 +0300] "7\xc2i\x99,\xfa\xec\x90\t%\x97\xc3" 400 305
218.97.242.246 - - [05/Mar/2008:07:18:32 +0300] "s\xc1\xb4\xcdf\xc01\x81h\xde\xd1\x84\x02l0Y\xa9\xa8.\xa0\xf5\xc1\xb0\x94\xd3\x1e\xb3\xb5n\xfbqD\xba:\xd3\xe5\x06\xc1zw\xd8\xa3!" 400 305
203.144.197.2 - - [05/Mar/2008:07:21:15 +0300] "j=\x12\xd2\x9d\x86\xe2\xb9\xe90v}3\bv\x1e#G>\xad+\x97\xe0c=\xdf" 501 310
98.204.24.76 - - [05/Mar/2008:07:21:15 +0300] "a\xc1\xfb\"k\xcb\xba\xcb\xab\x1b\xe76\xa6GPc\xeb\x85Lv" 501 306
218.97.242.246 - - [05/Mar/2008:07:28:53 +0300] "\xa2\xc2\xfc\xe3\x0c\xa4\xad\xdfP\x18X\xe3!2|\x9fK@\x94|" 400 305
210.202.31.42 - - [05/Mar/2008:07:30:49 +0300] "\x03\xec\x93BM" 501 286
117.96.162.16 - - [05/Mar/2008:07:33:24 +0300] "\xa7B\xe6\xe2\xb8m\xaa+\x9b\xef\x0e<\xbc\xffN\x05\xbb%<\xc2\xa3\xc6\x1f\x04S\x89l\xd3\x82\\<\xdb\xe45e2\xa9\x8fsq\xce\xben\x9d\x1dR\x9f\xf1" 501 338
60.50.71.71 - - [05/Mar/2008:07:40:48 +0300] "\x8e\x89b1K\x91\x87.?\xa7E\xefr\x80\x0e<K\xe3\xa5e\xdd\xc64\xfc\x87\x85\xca6\xac\xb5\\\x052\xcb\x89\x959\xe1" 501 322
67.101.41.204 - - [05/Mar/2008:07:57:47 +0300] "\x16\x04\xe3," 501 285
69.239.105.192 - - [05/Mar/2008:08:14:30 +0300] "F\xb1\xa9\xf7\xa2\xf9\xb4\xe8\xd9\x17<\xb1oGO\xc6>\x1b\xd1\xcf" 501 307
194.42.133.227 - - [05/Mar/2008:08:15:13 +0300] "\xd85\v" 501 283
115.241.133.8 - - [05/Mar/2008:08:22:16 +0300] "\xbc\xed\xc0\xcc\xad\x99PJ\xafN" 501 291
196.35.158.180 - - [05/Mar/2008:08:22:41 +0300] "\x04z^\xdb\x94\x92S\xe7w&\b'wD\xe7Am\xf0\xab\xba\"4\xdf\xbe\x13\xb6U&\xe3u \xa1I[\xf0\xbf\xb3y\x82\x81\xb9\x98I\xcc\x87\xeb\xc7\x10\x9dF/" 400 305
4.226.150.213 - - [05/Mar/2008:08:23:35 +0300] "\xc1\xe0\xe6" 501 284
210.61.38.29 - - [05/Mar/2008:08:28:18 +0300] "c\x95( \xa7" 400 305
92.54.100.200 - - [05/Mar/2008:08:31:27 +0300] "U\x88^Os\x9d\xe9_\xb21,\x92D" 501 294
79.5.45.112 - - [05/Mar/2008:08:31:27 +0300] "\x1b`\xe5\xf5\x9cC?\x99\xac\xd9\xa3\xc8\xf1" 501 294
119.108.55.228 - - [05/Mar/2008:08:38:03 +0300] "\xc9\x8e\xce\xa6\xd8\x1b\x91\"j\xf4u1\x88\xf7\x90G\xb40\xb1%t\x0f\x9f('\xbe\xd5\xb7I.h\xdb\xb8~j\x9am)\xb5\x86b\x97E\xc44\xe3{\x97\x10'" 501 336
92.47.228.79 - - [05/Mar/2008:08:45:02 +0300] "E" 501 282
78.106.163.207 - - [05/Mar/2008:08:55:13 +0300] "\x98\x1e\xc7=5u\x8c\x1f\xdb~\xfbW\x93\xe4\xc3<D\x86-\x10\xaf\xe2\xf1\x0c\xc9\xe3\b\xc9-\xc4.\x9c\x1aH:/=\xe3:\xf5\\\xcc\xe7\xfc!l\xd2" 400 305
81.30.177.22 - - [05/Mar/2008:09:01:43 +0300] "w\xb9\x0cz\x8e(\x83\x95JO\x14\xd0JC\xbb\b" 400 305
85.249.72.85 - - [05/Mar/2008:09:06:40 +0300] "$\x1c\xa6\x9d\xda0u" 501 288
93.84.50.210 - - [05/Mar/2008:09:17:07 +0300] "I\x0c\xd3_\x12\b\xb0c\xf9\x05" 400 305
116.7.101.111 - - [05/Mar/2008:09:21:09 +0300] "\xce\xc7I\xe8\x910\x03p]\x0c'\xeeB\xbd\x87" 400 305
77.106.84.225 - - [05/Mar/2008:09:28:04 +0300] "\xd7\xb4;\xbc\xcd\xbc{\x94\xe1{\xfb\xe5\r19B\b\x1c\xb8\xcc\xd4\xf1x\x10B(\xd8\xfc'c\xc0N-\xa4\xee\xdf\x84f\x87(\x83\x8d\xccx\xda\xc9\x89S\xc7\xad\x81\xff\xea\x96\x99\xf1;\xe4(\x07\xb0\x11" 400 305
91.143.21.170 - - [05/Mar/2008:09:28:32 +0300] "\x9d;y\x8fV\xb1V&\xde\xc2\xe3\xddhQ\xfbFT-\x9er\xcd\x9a$\x1f\x0e+\x83<\x13\xdf9" 501 319
94.43.37.212 - - [05/Mar/2008:09:32:46 +0300] "\xf4" 501 282
118.97.110.1 - - [05/Mar/2008:09:36:08 +0300] "Q\vP\xe7J\x06\xcaP\xbbbu\xb0v\x14\x81i\xf0\xb3\x83*\x93/\xb2r\xf26\x9c\x02\xdby\b-\xff4R\v\xaf\xee\\\xa1-\xd0\xe6\x1f\xdd\x96\xd0 \x90\xbf" 400 305
213.131.52.138 - - [05/Mar/2008:09:32:21 +0300] "\xa5\xa0Sa\xb7p\x1c\x88ZH\"\xbd\x0c&Fm\xa0uP:\xaa\xe4\xba" 400 305
61.218.51.50 - - [05/Mar/2008:09:40:16 +0300] "/" 501 282
124.13.123.56 - - [05/Mar/2008:09:50:53 +0300] "\xe7a\xaf\xd4\xc7\xa2\x11\xb9\xe6\xfddN^\xed1\x94z\x99\xf7\xf2\xc3b\xf3\x140k\xce%IqY\xad\xf2a\\\xf8\x9b\x9d;\xe9\x0f\x1a\xa9\xd8\x03\xab\xc2\x11{E\xcb\xcby\xcfC7\x0e\t\b\xa0" 400 305
59.120.113.205 - - [05/Mar/2008:09:51:35 +0300] "7\xeb\xa2[\xdco\xe83P\x9csOwZ\x11<V\xa4\x0c\x80\xd9\xdc_ }\r\xca+(\x1a\xf8\x85t\x9e\x91\x0f[i" 400 305
121.1.18.237 - - [05/Mar/2008:10:03:19 +0300] "\xae#\xc7\xde-\xd2\xfd \xc1wi\xd9'\xe9\xfd\xe6@\xea\xf2>p\xaf\xc8>\xf1\x8b" 400 305
59.120.113.205 - - [05/Mar/2008:10:03:22 +0300] "\x9d\x8e<={w\x85\x85\xe8" 501 293
85.140.44.145 - - [05/Mar/2008:10:08:05 +0300] "\xfd\x87\xbc\xdf\xeay\x9b\x93\xff\x8a)\xc4M\xc75~\t\xc8\xaf" 400 305
212.41.157.237 - - [05/Mar/2008:10:09:12 +0300] "\xf8q\xa1\xeeM" 501 286
217.118.95.28 - - [05/Mar/2008:10:20:03 +0300] "\xad)\x9a\xfaK\x04yGi+a[^\xb3*\xa4p\xe16\xaeDI\x85`\xce" 501 306
93.157.191.67 - - [05/Mar/2008:10:27:29 +0300] "8\x9c\xd3v\x9f\xd7\xda\xe8,\x06uQ\xce\x8c5;\xef" 501 298
218.97.177.178 - - [05/Mar/2008:10:28:10 +0300] "(;i\x83\xf8}%\xd2U\xc7" 501 291
123.136.14.40 - - [05/Mar/2008:10:49:32 +0300] "\xb8O\xac\x03\x9fN\x96\xcc\xb5\xd1\xa5\xb4\x8d\x15\xef\x95\x10s\xd1UW\x8f=wp*\xd2\xe5\x99z7\xf9\xd1" 501 314
59.120.113.205 - - [05/Mar/2008:10:50:09 +0300] "\xe8\x88\x1e9," 501 286
94.232.25.162 - - [05/Mar/2008:10:55:39 +0300] "s\x95\xd8\xee+" 501 286
60.251.18.66 - - [05/Mar/2008:11:01:03 +0300] "S\xcc\xdb\xb2\x16-\xa7\x9e\xee8=\xc5=\x1d" 501 295
93.178.68.94 - - [05/Mar/2008:11:10:07 +0300] "9\xb6\xf5\xe2\x1dlfM\xe2\xca" 501 291
117.196.165.229 - - [05/Mar/2008:11:12:54 +0300] "]\x96\x01\rH~" 400 305
93.125.66.89 - - [05/Mar/2008:11:17:05 +0300] "\x85\xd3L|\xd3\x82\x13\xb5\xa8\xb0\x04#\x0f\xeb!< \xfd\xb1\xc7\xeb\xf7:" 400 305
218.97.242.246 - - [05/Mar/2008:11:33:22 +0300] "\xb4" 501 282
84.124.53.50 - - [05/Mar/2008:11:48:14 +0300] "\x16\xdd\x8dc\x0e\xf01\xef\xac|U\xa7`\xfb\xceKW\xf0\xe8\x98\x87<\xf09" 501 308
92.114.186.194 - - [05/Mar/2008:11:49:23 +0300] "\xde\x0c\xde\xf3\x10.:\xae\xfc\xb7\xd7g1\x9cg%\x0c\x01hCuL\xd1N_\xe7Bn\x033)\x8b\xee\xb8+\x1fkl\xf5\xa8\xf4\xa1\xdan" 400 305
41.221.242.132 - - [05/Mar/2008:11:54:13 +0300] "\x0c\x16\xe2\xedwK\xf8\xe9\x94\xb1" 400 305
41.223.18.70 - - [05/Mar/2008:12:00:47 +0300] "@L\xcf\x80'b\x13\x16\x8e\xfaE[Q\x86\x95\x90\x94\x9a\x03\xa1\xc6\x03\xb8\x83z<l8\xad\xaa\xdf\xfc\xfbH" 501 318
123.201.67.60 - - [05/Mar/2008:12:09:12 +0300] "\x88\xeb\xc6\xa2m\xdc!\xfb\x02\xa7\x07)H\xbe\x86\xf4\xf05eJj\x93+\x05\xb1\xe3\xf4\xe6\xaeA" 501 311
92.124.40.238 - - [05/Mar/2008:12:10:21 +0300] "\xdb\xa6!l~\xe8<=DM\xba\x80\x90\x8a\xce\x06\xdf\x05\r\xaa%D\xf5\xdb\xbb\xa9\x88G\xe1\xd1\x90" 400 305
123.201.67.60 - - [05/Mar/2008:12:11:54 +0300] "\x1e8\xe3\xb2wF\"\xee\xc6XwO9f\xed\xbe\x030\xf1%\xca\x85" 501 308
123.201.67.60 - - [05/Mar/2008:12:14:05 +0300] "uR\x89W\x87" 501 286
123.201.67.60 - - [05/Mar/2008:12:14:47 +0300] "O\x0fK\x92J!\x1a\xb44\xb2\x17\xdb\xc4g'y\x9b" 501 298
41.221.16.66 - - [05/Mar/2008:12:15:53 +0300] "Le\x8b\xa0\xaas\x97\xe8bW\xdd0)9\xca\xe1\xb0DO,\xfeH\xa0\x1c\x9d\x03\x95\x1f\x1e\x07S" 400 305
116.30.113.78 - - [05/Mar/2008:12:31:30 +0300] "\xea\xd3\xb2{O\xb4\xfcF\x91\xf2\x11\x87;\xdcaG\xa2\xf1m\xce[4\xf3F" 501 305

ктонить может объяснить что это этим пытались сделать?

 

ЧТо за зверь такой =\

Тоже будет интересно!

 

IP - дата - время - часовой пояс - хэш

чё не ясно?

 

какой хэш?
Это путь куда он лазил?

 

Судя по кодом состояния серваку было плохо от таких путей, мб боты долбили судя по богатому обилию ип?

 

Trieg в каком файле это было?

 

покажи форматы логов для апача

 

access.log...
Вот пример обычного лога

Code:

127.0.0.1 - - [04/Mar/2009:08:13:01 +0300] "GET /favicon.ico HTTP/1.1" 404 292
127.0.0.1 - - [04/Mar/2009:08:13:12 +0300] "GET /updater/index.php?newlang=ru HTTP/1.1" 200 8039

Code:

<IfModule log_config_module>
    LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
    LogFormat "%h %l %u %t \"%r\" %>s %b" common
    <IfModule logio_module>
      LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %I %O" combinedio
    </IfModule>
    CustomLog logs/access.log common
</IfModule>

если это и были боты то их кто то натравил, тока вот мне не вкурить что пытались сделать

 

тоже замечал такое на фиде..

 

у тебя скорей всего стоит утф-8 по дефолту кодировка в апаче.
Тебе прочитать нужно или просто узнать что это?

 

ну хотелось бы знать что это такое, а конкретней не попытка ли взлома. Так как этот веб сервер используется узким кругом людей, а судя по колву неизвестных мне IP кто то тянет ручки туда куда не следует.

 

тебе Онотоле видимо Интернет-Превед передаёт.
Вообще попробуй перевести в нормальную кодировку \xc1\xb4\xcdf\xc01\x81h\xde\xd1\x84\x02l0Y\ и посмотреть что это значит на людском языке

 

Может быть проблема и в кодировке, но если так то учитываю что в логи пишеться метод - POST или GET впереди всего - то значиться и значения символов в начале везде должны быть одинаковые - у нас это не так.

 

Тут проблема совсем не с кодировкой.
Это, похоже, на какой-то вялый ddos с посылкой мусорного траффа. Возможно, не только на порт веб-сервера такие пакеты идут - проверь.