RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

Logeintrag in stdlog_access

https://www.rootforum.org/forum/viewtopic.php?t=42849

Page 1 of 1

Logeintrag in stdlog_access

Posted: 2006-10-04 14:12
by cirox
Hallo,

hoffentlich ist das das richtige Forum ....

beim durchforsten meiner Logs ist mir folgendes aufgefallen. Alle 5 Minuten so ein Eintrag unter /var/log/apache2/confixx/stdlog_access

msa.hinet.net :: 220.132.60.98 - - [03/Oct/2006:15:36:27 +0200] "CONNECT msa.hinet.net:25 HTTP/1.0" 200 1040 "-" "-"

Also irgendie stellt sich für mich die Frage was kann das sein (Mail Port 25 ?), wie stell ich das ab?

und vor allem ich find in sämtlichen anderen Logs nichts verdächtiges.

gruß cirox

System:
Debian
Confixx 3.2.1
Apache2

Re: Logeintrag in stdlog_access

Posted: 2006-10-04 16:29
by Roger Wilco
cirox wrote:Also irgendie stellt sich für mich die Frage was kann das sein (Mail Port 25 ?), wie stell ich das ab?
mod_proxy deaktivieren oder richtig konfigurieren. Aber eher die erste Variante.

Re: Logeintrag in stdlog_access

Posted: 2006-10-04 16:47
by cirox
hm:

Code: Select all

apache2 -l

Compiled in modules:
  core.c
  mod_access.c
  mod_auth.c
  mod_log_config.c
  mod_logio.c
  mod_env.c
  mod_setenvif.c
  worker.c
  http_core.c
  mod_mime.c
  mod_status.c
  mod_autoindex.c
  mod_negotiation.c
  mod_dir.c
  mod_alias.c
  mod_so.c

Code: Select all

a2dismod
Which module would you like to disable?
Your choices are: actions cgid fastcgi include mod_python perl rewrite ssl suexec suphp userdir
läuft kein mod_proxy, ist aber einmal mit suphp konfiguriert für confixx und fast-cgi mit php4 und php5 für die vhosts.

Mal folgendes:

Irgendwie versucht ja da jemand Spam? über meinen Server zu senden über http? Kommt aber nicht durch? - jedenfalls steht nichts in mail.log, falls da überhaupt Einträge geloggt werden, die über apache2 ausgeführt werden.

Von einem anderen Server habe ich mich mal connected:

Code: Select all

CONNECT xxx.xxxxxxxxx.de:25 HTTP/1.0

Connected to xxx.xxxxxxx.de.
Escape character is '^]'.

CONNECT xxx.xxxxxxxxx.de:25 HTTP/1.0

jetzt folgendes:

HTTP/1.1 400 Bad Request
Date: Wed, 04 Oct 2006 13:45:06 GMT
Server: Apache/2.0.54 (Debian GNU/Linux) mod_fastcgi/2.4.2 mod_python/3.1.3 Python/2.3.5 mod_ssl/2.0.54 OpenSSL/0.9.7e mod_perl/1.999.21 Perl/v5.8.4
Content-Length: 226
Connection: close
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.<br />
</p>
</body></html>
Connection closed by foreign host.
Warum bekomm ich kein?:

HTTP/1.1 405 Method Not Allowed

Also irgendwie bin ich dem Übeltäter ja auf der Spur, aber komme nicht weiter. Jedesmal wenn der obige "Logeintrag" kommt mit dem ".....::25 HTTP/1.0" 200 1040 "-" "-"" wird bei mir eine ".php" Seite laut Log aufgerufen. In diesem Fall gehts nach /confixx/gesperrt, also in das html Verzeichniss und suphp springt auch an.

Und warum eigentlich ausgerechnet /confixx/gesperrt ?

PS: EDIT 5 h später : weil /confixx das Document Root von Apache2 ist und die domain nicht auf dem server gehostet ist, folglich gehts nach ../gesperrt

Das sieht dann im suphp.log so aus:

Code: Select all

[Wed Oct 04 16:47:36 2006] [info] Executing "/var/www/confixx/html/gesperrt/index.php" as UID 641, GID 500
Was kann man machen, da ja mod_proxy anscheinend nicht aktiviert ist. Oder ist es so, dass nur die Logs zugemüllt werden, der Spammer einfach nicht durchkommt und ich per iptables oder mod_security oder auch mit einem einfachen:

Code: Select all

<Location ""> 
Deny from 220.132.60.98
</Location>
in der apache2.conf arbeiten muss?

gruß cirox

Re: Logeintrag in stdlog_access

Posted: 2006-10-05 01:07
by cirox
Hallo,

ich habe erstmal mit iptables die IP gesperrt und nach Stunden die Auflösung gefunden und entsprechende Regel gesetzt in der apache2.conf siehe Bug:

PHP Bug auch ohne mod_proxy loaded
http://bugs.php.net/bug.php?id=19113

allerdings hab ich mod_php gar nicht enabled bei mir, sondern benutze suphp, also als cgi, jedenfalls für confixx, das verstehe ich schon wieder nichtm ich denke der bug bezieht sich auf mod_php anno .... :?: - also mit meinem selbstkompilierten php 4.4.4 + 5.1.6 mit fast cgi auch auf dem Server passiert der Schwachfug nicht ...

vielleicht auch ganz interessant:

Spam per HTTP (?) - wie Server absichern
http://listi.jpberlin.de/pipermail/post ... 11084.html
da ist man seit Monaten glücklich, dass sein Postfix mit smtp-auth
läuft und läuft - bis man plötzlich feststellt, dass man plötzlich
recht viele Logfile-Einträge der Art (siehe unten) in einem http access
Logfile findet.
Erster Gedanke - Spam - die Frage ist nun, wie absichern bzw. senden
die wirklich? Denn das access_log füllt sich sekündlich, aber im
maillog ist davon nichts zu merken.
Die grosse Frage ist jetzt aber sicherlich:

1. Wurde tatsächlich Spam über meinen Server versendet?

2. Das mit dem Absichern ist mir noch nicht so klar. Ok log beobachten, IP s sperren, und laut der Bugbeschreibung, siehe oben, den Eintrag vornehmen in der apache.conf ( jetzt gibts wenigstens keinen gültigen http request mehr über "telnet" und dann über "connect"
All times are UTC+01:00
Page 1 of 1