Webサーバに時々以下のような奇妙なアクセスがあるのですが、最近になって正体がわかりました。
85.59.152.XXX - - [22/Aug/2014:19:46:10 +0900] "\x9a\xf0\x178!\x97\xa5\x8cb\x14\x11\x84\x19\x0e\xcc\xdd:H\x07G" 501 232 "-" "-" "-"
上記のようなログはhttpのポートにhttpsでアクセスしようとして、SSL通信を素のhttpで流そうとするときに発生するそうです。
試しにpythonでソケットを作ってSSLで通信してみました。
import socket, ssl
mysock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
sslsock = ssl.wrap_socket(mysock, ssl_version=ssl.PROTOCOL_TLSv1, ciphers=
"ADH-AES256-SHA")
sslsock.connect((host, 80))
その時のログ↓
xx.xx.xx.xx - - [27/Nov/2015:23:51:33 +0900] "\x16\x03\x01" 501 215 "-" "-" "-" 303
以上
参考
SBクリエイティブ株式会社発行 大角祐介著 UNIXシェルスクリプト マスターピース132 (P.218)
