이런 요청 보셨나요? - "이것은 아주 긴 요청입니다..."

Tech Note 정보
카테고리: [ Apache HTTP Server ]
조회수: 5565

1. 개요

Apache HTTP Server 쪽 error 로그를 보다 특이한 로그가 발견되었어요. 전 처음 봤는데요!

이런 로그에요, 한번 보실까요~ 엄청 길어서 눈에 확 띄더라구요..ㅎㅎ 뭔가 스캔했다는 거 같은데.. 참 구구절절하죠?

[Mon Dec 24 20:39:47.689718 2018] [core:error] [pid 16044:tid 54780] (OS 87)매개 변수가 틀립니다.  : [client 137.226.113.10:45727] AH00127: Cannot map GET /YesThisIsAReallyLongRequestURLbutWeAreDoingItOnPurposeWeAreScanningForResearchPurposePleaseHaveALookAtTheUserAgentTHXYesThisIsAReallyLongRequestURLbutWeAreDoingItOnPurposeWeAreScanningForResearchPurposePleaseHaveALookAtTheUserAgentTHXYesThisIsAReallyLongRequestURLbutWeAreDoingItOnPurposeWeAreScanningForResearchPurposePleaseHaveALookAtTheUserAgentTHXYesThisIsAReallyLongRequestURLbutWeAreDoingItOnPurposeWeAreScanningForResearchPurposePleaseHaveALookAtTheUserAgentTHXYesThisIsAReallyLongRequestURLbutWeAreDoingItOnPurposeWeAreScanningForResearchPurposePleaseHaveALookAtTheUserAgentTHXYesThisIsAReallyLongRequestURLbutWeAreDoingItOnPurposeWeAreScanningForResearchPurposePleaseHaveALookAtTheUserAgentTHXYesThisIsAReallyLongRequestURLbutWeAreDoingItOnPurposeWeAreScanningForResearchPurposePleaseHaveALookAtTheUserAgentTHXYesThisIsAReallyLongRequestURLbutWeAreDoingItOnPurposeWeAreScanningForResearchPurposePleaseHaveALookAtTheUserAgentTHXYesThisIsAReallyLongRequestURLbutWeAreDoingItOnPurposeWeAreScann HTTP/1.1 to file

매개 변수가 틀리다는 OS 87 에러는 뒤로 하고.. 대체 무슨 내용인지 좀 캐보려구요.(ㅋㅋ)

 

2. accesslog 확인

error 로그에서 확인한 url과 ip로 아래와 같이 accesslog에 접속이력이 확인됐습니다.

일단 요청은 403처리는 되었지만 내용이 좀 궁금해서 좀 더 살펴보기로 했습니다.

137.226.113.10 - - [24/Dec/2018:20:39:47 +0900] "GET /YesThisIsAReallyLongReques
tURLbutWeAreDoingItOnPurposeWeAreScanningForResearchPurposePleaseHaveALookAtTheU
serAgentTHXYesThisIsAReallyLongRequestURLbutWeAreDoingItOnPurposeWeAreScanningFo
rResearchPurposePleaseHaveALookAtTheUserAgentTHXYesThisIsAReallyLongRequestURLbu
tWeAreDoingItOnPurposeWeAreScanningForResearchPurposePleaseHaveALookAtTheUserAge
ntTHXYesThisIsAReallyLongRequestURLbutWeAreDoingItOnPurposeWeAreScanningForResea
rchPurposePleaseHaveALookAtTheUserAgentTHXYesThisIsAReallyLongRequestURLbutWeAre
DoingItOnPurposeWeAreScanningForResearchPurposePleaseHaveALookAtTheUserAgentTHXY
esThisIsAReallyLongRequestURLbutWeAreDoingItOnPurposeWeAreScanningForResearchPur
posePleaseHaveALookAtTheUserAgentTHXYesThisIsAReallyLongRequestURLbutWeAreDoingI
tOnPurposeWeAreScanningForResearchPurposePleaseHaveALookAtTheUserAgentTHXYesThis
IsAReallyLongRequestURLbutWeAreDoingItOnPurposeWeAreScanningForResearchPurposePl
easeHaveALookAtTheUserAgentTHXYesThisIsAReallyLongRequestURLbutWeAreDoingItOnPur
poseWeAreScann HTTP/1.1" 403 2878 109341 "-" "Mozilla/5.0 (Macintosh; Intel Mac
OS X 10_11_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.86 Safari/
537.36 Scanning for research (researchscan.comsys.rwth-aachen.de)"

내용은..매우 긴 요청이고..연구목적으로 스캔하고 있다고 하네요. 어디서 요청이 들어왔나 보죠.

researchscan.comsys.rwth-aachen.de 라고 확인되는데요~

접속해보니, 독일 RWTH Aachen University 의 연구 프로젝트 의 일부라고 하네요!

accesslog 에서 확인되는 ip인 137.226.113.10 이 포함되는 137.226.113.0/26 대역이 그 대학교 네트웍 일부라고 합니다.

 

그런데, 어떻게 이 사이트를 스캔하게 되었을까요?

그것참 궁금하네요...ㅎㅎㅎ