RootForum Community

Hallo!

Auf meinem Server wird immer eine Datei aufgerufen in der Form:

***.194.173.50 - - [13/Oct/2005:00:06:08 +0200] "GET / HTTP/1.1" 200 32438

Prima - nur welcher virtueller Webserver soll hier welche Datei ausgeben? Kein Webserver hat in seinem Startverzeichnis eine Seite mit 32438 Byte.

Nun meine Frage:

Wie kann ich herausfinden welche Datei das ist (alle 900 virtuellen Webserver schreiben ins gleiche http-log) - bzw. gibt es unter Linux irgendeine Möglichkeit nach einer Datei mit dieser Größe auf der gesamten Festplatte zu suchen?

Wäre schön wenn mir jemand helfen könnte.

Danke,
Elfchen

Elfchen wrote:Wie kann ich herausfinden welche Datei das ist (alle 900 virtuellen Webserver schreiben ins gleiche http-log) - bzw. gibt es unter Linux irgendeine Möglichkeit nach einer Datei mit dieser Größe auf der gesamten Festplatte zu suchen?

Du könntest zunächstmal damit anfangen, den VirtualHost, für den der Request ausgeführt wurde, mit in die Logs zu schreiben. Im Nachhinein kannst du eine Datei mit der genannten Größe mit `find` suchen (und evtl. auch finden).

Roger Wilco wrote:

Elfchen wrote: Du könntest zunächstmal damit anfangen, den VirtualHost, für den der Request ausgeführt wurde, mit in die Logs zu schreiben. Im Nachhinein kannst du eine Datei mit der genannten Größe mit `find` suchen (und evtl. auch finden).

Hi Du!

Ja das wäre perfekt - nur wie schreibe ich den virtuellen Server in die Logs? Wusste bisher garnicht das das geht.

Alles liebe,
Elfchen

Roger Wilco wrote:du eine Datei mit der genannten Größe mit `find` suchen (und evtl. auch finden).

Hallo!

Man beachte das "evtl." - das tat ich nämlich schon:

# find / -size 32438

lieferte als Ergebnis garnichts.

***.82.74.161 - - [13/Oct/2005:09:15:30 +0200] "GET / HTTP/1.1" 200 32438 "http://************/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

Die Datei muss aber ja da sein, da der Apache ein 200 liefert und kein 404 - wie finde ich also diese Datei - HILFÃ?Ã?Ã?!

Elfchen

Falls noch jemand gesucht hat - so geht´s:

LogFormat "%v %l %u %t "%r" %>s %b" comonvhost
CustomLog logs/access_log comonvhost

Hallo,

Elfchen wrote:Kein Webserver hat in seinem Startverzeichnis eine Seite mit 32438 Byte.

vermutlich ein (PHP-) Script welches eine Ausgabe von 32438 Byte erzeugt. Schau in den Webservern mal nach index.php.

Gruß, Wolfgang

wgot wrote:
vermutlich ein (PHP-) Script welches eine Ausgabe von 32438 Byte erzeugt. Schau in den Webservern mal nach index.php.

Hallo!

Yep da liegt eine index.php in besagtem virtuellen Webserver - allerdings wird diese PHP-Seite nicht aufgerufen (die würde dann nämlich die main.html nachladen) - jedesmal bekomme ich aber den call GET / und eine Ausgabe - verstehe das beim besten Willen nicht.

Der Witz ist das ich die Aufrufe ständig von anderen Seiten bekomme und ich aber dort im Sourcecode (auch in den x nachgeladenen Frames) nicht meine Seite finde.

[13/Oct/2005:09:44:36 +0200] "GET / HTTP/1.1" 200 32438 "http://fioricet.hey.to/

Hallo,

die betroffene Domain hast Du doch inzwischen ausfindig gemacht (wenn ich richtig verstanden habe). Dann ruf sie halt mal auf und schau was kommt und vor allem, welchen Logeintrag Dein Aufruf erzeugt.

Gruß, Wolfgang

wgot wrote:Dann ruf sie halt mal auf und schau was kommt und vor allem, welchen Logeintrag Dein Aufruf erzeugt.

Hi! Yep das hab ich gemacht:

62-55.fixip.suissenet.net - - [14/Oct/2005:07:49:59 +0200] "GET / HTTP/1.1" 200 32438 "-" "Opera/8.50 (Windows NT 5.1; U; de)"

Das ist der erste Output den diese Datei liefert - danach sollte aber eigentlich der ganze Rest kommen - sprich die eigentliche Seite - es folgen dann immer weitere 10 Einträge wenn man die Datei via Browser aufruft.

So vermute ich mal das es höchstwahrscheinlich ein gefakter Aufruf ist via wget der das Ranking des mitgesendeten Referers erhöhen soll, da es sich bei der URL http://www.infocrawler.info wo die besagte index.php liegt, um eine Suchmaschine handelt. Eine bessere Erklärung habe ich im Moment nicht. Der blosse Request reicht aber nicht, der User muss auch aktiv über die Seiten gehen - von daher bringt das doch gar nichts ....

Grübel ...

Vielen Dank und liebe Grüße
Elfchen