“allrequestsallowed.com” … Hack attempt?

Во-первых, впереди, я не знаю то, что предполагаемый взломщик пытается выполнить. Возможно, существует Сценарий PHP или версия PHP, там уязвимая для некоторого странного идентификационного нападения сессии, я не знаю. У Вас, вероятно, нет ничего для волнения о, все же.

Ваш сервер вел себя точно как ожидалось. 200 ожидаемый код в той конкретной ситуации из-за того, как Apache интерпретирует URL, передаваемый ему.

Во-первых, http://allrequestsallowed.com рассматривается как более обычный 'Хост': заголовок (отмечают, что я не думаю, что это указано в RFC и других серверах, не может интерпретировать его этот способ, которым я был неправ, это указано в RFC 2616 в разделе 5.1.2, даже при том, что клиенты редко, кажется, используют ту форму. Извините меня, я должен пойти, фиксируют реализацию сервера HTTP, которую я записал некоторое время назад...).

Теперь, по-видимому, у Вас нет сайта под названием 'allrequestsallowed.com'. Таким образом, что происходит, когда Apache получает a Host: заголовок (или эквивалентный) для имени хоста это не распознает? Это выбирает первый виртуальный хост как значение по умолчанию. Это - четко определенное и зарегистрированное поведение для Apache. Так независимо от того, что Ваш первый виртуальный хост (или просто основная конфигурация сервера, при отсутствии vhosts), вступает во владение, независимо от того, чем это называют.

Теперь, остальная часть данного URL состоит из двух частей - путь, /, и ПОЛУЧИТЬ параметр ( ?PHPSESSID... бит).

Теперь, путь / должен присутствовать на в значительной степени каждом веб-сервере там. В большинстве случаев это отображается на что-то как index.html или возможно index.php сценарий, хотя можно переопределить любое из этого, конечно.

Если это отображается на статический файл HTML, абсолютно ничего необычного не происходит - содержание файла возвращается, и это - то, что, параметр просто проигнорирован. (Принятие Вас не имеет определенного усовершенствованного набора конфигурационных директив, и Вы почти наверняка не делаете.)

С другой стороны, если это - какой-то сценарий, это PHPSESSID переменная будет передана сценарию. Если сценарий на самом деле использует ту переменную (в данном случае, только Сценарии PHP с помощью встроенной обработки сессии PHP вероятны), ее поведение будет зависеть от содержания.

По всей вероятности, однако, даже если Ваш / оказывается, отображает на использование Сценария PHP сессии, ничего замечательного не произойдет. Идентификатор сессии, вероятно, не будет существовать так или иначе и будет или проигнорирован, или сценарий покажет ошибку.

В маловероятном случае, что идентификатор сессии действительно существует, ну, в общем, взломщик мог очевидно угнать чужую сессию. Это было бы плохо, но это не действительно дыра в системе безопасности сам по себе - дыра была бы то, везде, откуда взломщик получил идентификационную информацию сессии (сниффинг беспроводной сети является хорошим кандидатом, если Вы не используете HTTPS). Они на самом деле не смогли бы сделать что-либо, что не мог сделать пользователь, сессией которого это первоначально было.

Править: Кроме того, '%5C' в SESSIONID отображается на символ обратной косой черты. Это, кажется, тест для нападений обхода каталога на хосты окон.