ich bekomme im Apache Log immer sowas:
Code: Select all
www.ebay.com :: 124.8.9.113 - - [07/Oct/2006:21:36:12 +0200] "GET http://www.ebay.com/ HTTP/1.1" 200 1052 "-" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"
gruß cirox
apache log Eintrag GET http
apache log Eintrag GET http
Hallo,
ich bekomme im Apache Log immer sowas:
versteh aber den Sinn nicht. Weiss jemand was das ist?
gruß cirox
ich bekomme im Apache Log immer sowas:
gruß cirox
-
khark
Re: apache log Eintrag GET http
Hast du einen Proxy auf deinem Server laufen?
Über deinen Server gehen erfolgreich HTTP-Anfragen an andere Server.
Über deinen Server gehen erfolgreich HTTP-Anfragen an andere Server.
Re: apache log Eintrag GET http
nein das ist ja das Problem:
Ich müsste doch wenn dann ein proxy drauf haben, oder ?
Oder wie soll man denn das noch überprüfen?
dann macht das doch gar keinen Sinn ? Ist doch eh kein proxy modul geladen.
Was den apache2 angeht bringt meine Prozessliste u.a das zuTage ( fast-cgi)
Per iptables ausgehende Verbindungen auf Port 80 sperren ? Ist das Sinnvoll ? Was dann mit den High Ports ? Geht doch eh nicht über Port 80 raus ...
gruß cirox
Code: Select all
a2dismod
Which module would you like to disable?
Your choices are: actions cgid fastcgi include mod_python perl rewrite ssl suexec suphp userdir
Oder wie soll man denn das noch überprüfen?
dann macht das doch gar keinen Sinn ? Ist doch eh kein proxy modul geladen.
Code: Select all
<Proxy *>
deny bla blub
</Proxy>
Code: Select all
www-data 27686 0.0 0.7 12780 7464 ? S Oct06 0:00 /usr/sbin/apache2
www-data 27687 0.0 0.7 12780 7476 ? S Oct06 0:00 /usr/sbin/fcgi-pm
web0 27688 0.0 0.3 8720 3764 ? Ss Oct06 0:00 /home/admin/php/b
web0 27689 0.0 0.3 8720 3768 ? S Oct06 0:00 /home/admin/php/b
web0 27690 0.0 0.3 8720 3768 ? S Oct06 0:00 /home/admin/php/b
web0 27691 0.0 0.3 8720 3768 ? S Oct06 0:00 /home/admin/php/b
web0 27692 0.0 0.3 8720 3768 ? S Oct06 0:00 /home/admin/php/b
gruß cirox
-
sledge0303
- Posts: 695
- Joined: 2005-09-16 00:06
- Location: Berlin-Reinickendorf
- Contact:
Re: apache log Eintrag GET http
Da versucht jemand deinen Server als Proxy zu missbrauchen. Kann man auch so machen wenn man versucht Straftaten (Betrug bei Ebay usw) jemand anderes in die Schuhe zu schieben.
Mod_security verhindert diese "Weiterleitungen" und sendet ein 500er an den Absender raus.
Mod_security verhindert diese "Weiterleitungen" und sendet ein 500er an den Absender raus.
Re: apache log Eintrag GET http
ok, bin schon dabei bei mod_security, aber jetzt ich seh in meine logs seit 1 woche ebay, ich glaub ich trink doch nen kaffe .....
am besten ich die rules hier vom forum anstatt von getroot oder wie das heisst ...
gruß cirox
am besten ich die rules hier vom forum anstatt von getroot oder wie das heisst ...
gruß cirox
Re: apache log Eintrag GET http
denke auch das da jemand versucht Deine kiste als proxy zu missbrauchen, anscheinend klappts auch weil in Deinem log steht ja "200" also OK. kommt da nur "www.ebay.com" (was ja eventuell nur ein test sein koennte) oer auch sinnvolle URLs?cirox wrote: versteh aber den Sinn nicht. Weiss jemand was das ist?
Re: apache log Eintrag GET http
hier ein Auszug:
gruß cirox
Code: Select all
5.10.197.143 :: 85.10.91.154 - - [07/Oct/2006:22:06:40 +0200] "GET / HTTP/1.0" 200 242 "-" "-"
www.ebay.com :: 124.8.9.113 - - [07/Oct/2006:22:36:42 +0200] "GET http://www.ebay.com/ HTTP/1.1" 200 1052 "-" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"
www.ebay.com :: 124.8.9.113 - - [07/Oct/2006:22:36:47 +0200] "GET http://www.ebay.com/ HTTP/1.1" 200 1052 "-" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"
www.ebay.com :: 124.8.9.113 - - [07/Oct/2006:22:36:48 +0200] "GET http://www.ebay.com/ HTTP/1.1" 200 1052 "-" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"
www.ebay.com :: 124.8.9.113 - - [07/Oct/2006:22:36:49 +0200] "GET http://www.ebay.com/ HTTP/1.1" 200 1052 "-" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"
meine.ip :: 85.201.72.22 - - [07/Oct/2006:22:36:49 +0200] "GET / HTTP/1.0" 200 242 "-" "-"
www.ebay.com :: 124.8.9.113 - - [07/Oct/2006:22:36:50 +0200] "GET http://www.ebay.com/ HTTP/1.1" 200 1052 "-" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"
www.yahoo.com :: 124.8.9.113 - - [07/Oct/2006:23:06:18 +0200] "GET http://www.yahoo.com/ HTTP/1.1" 200 1053 "-" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"
www.yahoo.com :: 124.8.9.113 - - [07/Oct/2006:23:36:18 +0200] "GET http://www.yahoo.com/ HTTP/1.1" 200 1053 "-" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"
www.ebay.com :: 124.8.9.113 - - [08/Oct/2006:00:06:25 +0200] "GET http://www.ebay.com/ HTTP/1.1" 200 1052 "-" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"
www.ebay.com :: 124.8.9.113 - - [08/Oct/2006:00:06:26 +0200] "GET http://www.ebay.com/ HTTP/1.1" 200 1052 "-" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"
www.ebay.com :: 124.8.9.113 - - [08/Oct/2006:00:06:26 +0200] "GET http://www.ebay.com/ HTTP/1.1" 200 1052 "-" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"
www.ebay.com :: 124.8.9.113 - - [08/Oct/2006:00:06:27 +0200] "GET http://www.ebay.com/ HTTP/1.1" 200 1052 "-" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"
www.yahoo.com :: 124.8.9.113 - - [08/Oct/2006:00:36:16 +0200] "GET http://www.yahoo.com/ HTTP/1.1" 200 1053 "-" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"
www.ebay.com :: 124.8.9.113 - - [08/Oct/2006:01:06:34 +0200] "GET http://www.ebay.com/ HTTP/1.1" 200 1052 "-" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:44 +0200] "GET /admin/phpmyadmin/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:44 +0200] "GET /admin/phpMyAdmin/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:45 +0200] "GET /admin/sysadmin/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:45 +0200] "GET /admin/sqladmin/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:45 +0200] "GET /admin/db/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:46 +0200] "GET /admin/web/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:46 +0200] "GET /admin/pMA/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:46 +0200] "GET /admin/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:47 +0200] "GET /admin/mysql/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:47 +0200] "GET /admin/myadmin/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:48 +0200] "GET /admin/webadmin/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:48 +0200] "GET /admin/sqlweb/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:48 +0200] "GET /admin/websql/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:49 +0200] "GET /admin/webdb/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:49 +0200] "GET /admin/mysqladmin/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:49 +0200] "GET /admin/mysql-admin/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:50 +0200] "GET /admin/phpmyadmin2/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:50 +0200] "GET /admin/php-my-admin/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:50 +0200] "GET /admin/phpMyAdmin-2.2.3/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:51 +0200] "GET /admin/phpMyAdmin-2.2.6/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:51 +0200] "GET /admin/phpMyAdmin-2.5.1/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:51 +0200] "GET /admin/phpMyAdmin-2.5.4/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:52 +0200] "GET /admin/phpMyAdmin-2.5.6/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:52 +0200] "GET /admin/phpMyAdmin-2.6.0/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:52 +0200] "GET /admin/phpMyAdmin-2.6.0-pl1/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:53 +0200] "GET /admin/phpMyAdmin-2.6.2-rc1/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:53 +0200] "GET /admin/phpMyAdmin-2.6.3/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:53 +0200] "GET /admin/phpMyAdmin-2.6.3-pl1/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:54 +0200] "GET /admin/phpMyAdmin-2.6.3-rc1/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:54 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:55 +0200] "GET /phpMyAdmin/main.php HTTP/1.0" 500 1195 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:55 +0200] "GET /db/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:55 +0200] "GET /web/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:56 +0200] "GET /PMA/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:56 +0200] "GET /admin/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:56 +0200] "GET /mysql/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:57 +0200] "GET /myadmin/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:57 +0200] "GET /webadmin/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:57 +0200] "GET /sqlweb/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:58 +0200] "GET /websql/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:58 +0200] "GET /webdb/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:58 +0200] "GET /mysqladmin/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:59 +0200] "GET /mysql-admin/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:59 +0200] "GET /phpmyadmin2/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:24:59 +0200] "GET /php-my-admin/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:25:00 +0200] "GET /phpMyAdmin-2.2.3/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:25:00 +0200] "GET /phpMyAdmin-2.2.6/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:25:00 +0200] "GET /phpMyAdmin-2.5.1/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:25:01 +0200] "GET /phpMyAdmin-2.5.4/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:25:01 +0200] "GET /phpMyAdmin-2.5.6/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:25:01 +0200] "GET /phpMyAdmin-2.6.0/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:25:02 +0200] "GET /phpMyAdmin-2.6.0-pl1/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:25:02 +0200] "GET /phpMyAdmin-2.6.2-rc1/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:25:02 +0200] "GET /phpMyAdmin-2.6.3/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:25:03 +0200] "GET /phpMyAdmin-2.6.3-pl1/main.php HTTP/1.0" 404 242 "-" "-"
meine.ip :: 66.46.87.202 - - [08/Oct/2006:01:25:03 +0200] "GET /phpMyAdmin-2.6.3-rc1/main.php HTTP/1.0" 404 242 "-" "-"
www.ebay.com :: 124.8.9.113 - - [08/Oct/2006:01:36:33 +0200] "GET http://www.ebay.com/ HTTP/1.1" 200 1052 "-" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"
Re: apache log Eintrag GET http
die phpmyadmin-scans kannst Du ignorieren (solange Du keinen phpmyadmin ungesichert irgendwo laufen hast ;)cirox wrote:hier ein Auszug:
macht doch spasshalber mal einen
Code: Select all
telnet 127.0.0.1 80
GET http://www.ebay.com/ HTTP/1.1
Re: apache log Eintrag GET http
Code: Select all
srv4:~# telnet 127.0.0.1 80
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
GET http://www.ebay.com/ HTTP/1.1
HTTP/1.1 400 Bad Request
Date: Sun, 08 Oct 2006 00:44:22 GMT
Server: Apache/2.0.54 (Debian GNU/Linux) mod_fastcgi/2.4.2 mod_python/3.1.3 Python/2.3.5 mod_ssl/2.0.54 OpenSSL/0.9.7e mod_perl/1.999.21 Perl/v5.8.4
Content-Length: 422
Connection: close
Content-Type: text/html; charset=iso-8859-1
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.<br />
</p>
<hr>
<address>Apache/2.0.54 (Debian GNU/Linux) mod_fastcgi/2.4.2 mod_python/3.1.3 Python/2.3.5 mod_ssl/2.0.54 OpenSSL/0.9.7e mod_perl/1.999.21 Perl/v5.8.4 Server at www.ebay.com Port 80</address>
</body></html>
Connection closed by foreign host.
Code: Select all
<Location />
<Limit CONNECT>
Order deny,allow
Deny from all
</Limit>
</Location>
http://bugs.php.net/bug.php?id=19113
Vergleiche auch meinen anderen Thread dazu:
http://www.rootforum.org/forum/viewtopic.php?t=42849
gruss cirox
Re: apache log Eintrag GET http
ummm....weiss jetzt nicht ob ich daneben liege, aber könnte man das nicht auch unterbinden indem man die FORWARD-policy einfach auf DROP setzt?
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: apache log Eintrag GET http
Falscher ISO/OSI-Layer. Die FORWARD-Policy von netfilter hat mit dem Apache httpd nichts zu tun und würde in diesem Fall nichts bringen.bad_brain wrote:ummm....weiss jetzt nicht ob ich daneben liege, aber könnte man das nicht auch unterbinden indem man die FORWARD-policy einfach auf DROP setzt?
-
sledge0303
- Posts: 695
- Joined: 2005-09-16 00:06
- Location: Berlin-Reinickendorf
- Contact:
Re: apache log Eintrag GET http
Boahhh, meine Audit_log Datei ist in der letzten Nacht auf gut 3MB angestiegen...
Requests zu yahoo, ebay, dutzende Warez und Modelsites. Irgendwann muss derjenige doch mal gerafft haben das mein Server das nicht erlaubt.
Das schöne an der Sache ist, es sind zwar unterschiedliche IPs drin, die meisten aber gehören alle zu Arcor (hauptsächliche Requests zu den Model- und Warezsites). Mal sehen ob sich die Polizei dafür interessiert ;)
Hab die Logs gepackt und ab per Mail an zuständige Behörde gesendet.
Requests zu yahoo, ebay, dutzende Warez und Modelsites. Irgendwann muss derjenige doch mal gerafft haben das mein Server das nicht erlaubt.
Das schöne an der Sache ist, es sind zwar unterschiedliche IPs drin, die meisten aber gehören alle zu Arcor (hauptsächliche Requests zu den Model- und Warezsites). Mal sehen ob sich die Polizei dafür interessiert ;)
Hab die Logs gepackt und ab per Mail an zuständige Behörde gesendet.
Re: apache log Eintrag GET http
so mod_security eingebunden und jetzt ist Ruhe. Frag mich bloss wieviel Rules noch gut sind. Weil so in 50 h check ich nicht die syntax ....
Hab jetzt die Rules hier vom Forum
http://www.rootforum.org/forum/viewtopic.php?t=35865
phpbb2 rules
http://www.phpbb.de/viewtopic.php?t=107 ... sc&start=0
und überlege was ich mit den hier anstellen soll
http://www.modsecurity.org/documentatio ... -rules.txt
gruss cirox
Hab jetzt die Rules hier vom Forum
http://www.rootforum.org/forum/viewtopic.php?t=35865
phpbb2 rules
http://www.phpbb.de/viewtopic.php?t=107 ... sc&start=0
und überlege was ich mit den hier anstellen soll
http://www.modsecurity.org/documentatio ... -rules.txt
gruss cirox