Merkwürdige Webserverlogs

Post by **mcneilxp** » 2006-11-12 19:31

Hallo,
vor einigen Minuten starteten unzählige Webserver-Prozesse auf meinem Server.

In den Logs finden sich Einträge wie folgt:
217.107.218.220 - - [12/Nov/2006:19:26:15 +0100] "GET http://ad.webm.tbn.ru/cgi-bin/iframe/maxhost?12254& HTTP/1.0" 404 1177 "http://html.maxhost.ru/" "mozilla/4.0 (compatible; msie 6.0; windows nt 5.1; sv1)"
211.238.241.154 - - [12/Nov/2006:19:26:15 +0100] "GET http://ad.marketingsector.com/imp?z=0&s ... l&r=1&y=30 HTTP/1.1" 404 1101 "http://www.pralaw.com/index.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 2.0.40"
66.246.252.157 - - [12/Nov/2006:19:26:16 +0100] "POST http://www.revecess.com/htsrv/trackback.php?tb_id=275 HTTP/1.1" 404 1095 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows 98)"
220.160.42.212 - - [12/Nov/2006:19:26:16 +0100] "GET http://ad.bannerconnect.net/imp?z=0&s=7417&r=1&y=29 HTTP/1.0" 404 1099 "http://www.ffgame.net/" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
211.233.12.55 - - [12/Nov/2006:19:26:16 +0100] "GET http://ad.globalinteractive.com/imp?z=0 ... 15616&y=30 HTTP/1.1" 404 1103 "http%3A%2F%2Fwww.toponesite.com%2Findex.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 2.0.40"
66.246.252.157 - - [12/Nov/2006:19:26:16 +0100] "POST http://66.29.83.160/proxy_check.php HTTP/1.1" 404 1091 "-" "-"
210.92.244.68 - - [12/Nov/2006:19:26:16 +0100] "GET http://ad.marketingsector.com/imp?z=0&Z ... 38208&y=30 HTTP/1.1" 404 1101 "http%3A%2F%2Fwww.toponesite.com%2Findex.html" "Mozilla/4.0 (compatible; MSIE 5.5; AOL 6.0; Windows 98; Win 9x 4.90)"
210.92.244.68 - - [12/Nov/2006:19:26:17 +0100] "GET http://ad.marketingsector.com/imp?z=0&Z ... 38251&y=30 HTTP/1.1" 404 1101 "http%3A%2F%2Fwww.firststoponlinedegree.com%2Findex.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; MyIE2; TencentT"
61.172.64.132 - - [12/Nov/2006:19:26:17 +0100] "GET http://www.0ads0.com/banner/598/17370%26dp=0 HTTP/1.1" 404 1092 "http://www.idebtclear.com/" "Mozilla/4.0 (compatible; MSIE 5.22; Mac_PowerPC)"
220.160.42.212 - - [12/Nov/2006:19:26:17 +0100] "GET http://content.infinite-ads.com/rmtag3.js HTTP/1.0" 404 1103 "http://www.illshop.us/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705)"
219.145.168.122 - - [12/Nov/2006:19:26:18 +0100] "GET http://media.fastclick.net/w/get.media? ... =5&d=j&t=s HTTP/1.0" 404 1098 "http://www.comebalkan.com/" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)"
222.75.70.41 - - [12/Nov/2006:19:26:18 +0100] "GET http://media.fastclick.net/w/pop.cgi?si ... v=1.8&c=13 HTTP/1.0" 404 1098 "http://www.tourlist.net/accommodations.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
125.240.162.70 - - [12/Nov/2006:19:26:18 +0100] "GET http://ad.marketingsector.com/imp?z=0&s ... l&r=1&y=28 HTTP/1.1" 404 1101 "http%3A%2F%2Fwww.usaefinance.com%2Findex.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 2.0.40"
125.240.162.70 - - [12/Nov/2006:19:26:18 +0100] "GET http://ad.marketingsector.com/imp?z=0&s ... l&r=1&y=28 HTTP/1.1" 404 1101 "http%3A%2F%2Fwww.mytravelrate.com%2Findex.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
123.49.161.22 - - [12/Nov/2006:19:26:18 +0100] "GET http://www.cookiesbase.org/ HTTP/1.0" 200 1098 "http://www.cookiesbase.org" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
220.160.39.167 - - [12/Nov/2006:19:26:18 +0100] "GET http://ad.displayadsmedia.com/getad.js HTTP/1.0" 404 1101 "http://www.Mytravelrate.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
211.196.52.197 - - [12/Nov/2006:19:26:19 +0100] "GET http://ad.marketingsector.com/imp?z=0&s ... l&r=1&y=30 HTTP/1.1" 404 1101 "http://www.fxcm.com/index.html" "Mozilla/4.0 (compatible; MSIE 5.01; Windows 98)"
220.160.42.212 - - [12/Nov/2006:19:26:19 +0100] "GET http://content.bannerconnect.net/rmtag3.js HTTP/1.0" 404 1104 "http://www.club240.com/" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
220.160.42.212 - - [12/Nov/2006:19:26:19 +0100] "GET http://content.infinite-ads.com/rmtag3.js HTTP/1.0" 404 1103 "http://www.illshop.us/" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
218.95.186.204 - - [12/Nov/2006:19:26:20 +0100] "GET http://media.fastclick.net/w/get.media? ... =5&d=j&t=n HTTP/1.0" 404 1098 "http://www.illshop.us/" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
74.52.72.210 - - [12/Nov/2006:19:26:19 +0100] "POST http://morris52.exblog.jp/tb/3589406 HTTP/1.1" 404 1097 "-" "-"
221.234.209.208 - - [12/Nov/2006:19:26:20 +0100] "GET http://xml.nbcsearch.com/xml.php?Terms= ... 227.79.116 HTTP/1.0" 404 1096 "-" "LWP::Simple/5.79"
211.189.18.145 - - [12/Nov/2006:19:26:20 +0100] "GET http://ad.marketingsector.com/imp?z=0&Z ... 38208&y=30 HTTP/1.1" 404 1101 "http%3A%2F%2Fwww.toponesite.com%2Findex.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR 2.0.40"
66.246.252.157 - - [12/Nov/2006:19:26:21 +0100] "POST http://ws.m2m-dc.ne.jp/cgi-bin/shin/mt-tb.cgi/77 HTTP/1.1" 404 1047 "-" "Opera/7.0 (Windows NT 5.0; U) [en]"
61.41.138.131 - - [12/Nov/2006:19:26:21 +0100] "GET http://ad.marketingsector.com/imp?z=0&s ... l&r=1&y=28 HTTP/1.1" 404 1101 "http%3A%2F%2Fwww.usafinangete.com%2Findex.html" "Mozilla/4.0 (compatible; MSIE 4.5; Mac_PowerPC)"
211.175.163.17 - - [12/Nov/2006:19:26:21 +0100] "GET http://ad.marketingsector.com/imp?z=0&Z ... 26325&y=30 HTTP/1.1" 404 1101 "http%3A%2F%2Fwww.bbwq.com%2Findex.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

Hat jemand ne Erklärung dafür? Die Domains die dort aufgerufen werden, liegen ja garnicht auf dem Server? Noch nie gesehen sowas ...

Wie kann denn der Webserver fremde Anfragen entgegen nehmen? Also
welche für Domains die garnicht auf der Maschine liegen?

Hab den Apache jetzt erstmal abgeschaltet ...

Viele Grüße

Post by **daemotron** » 2006-11-12 19:38

Don't panic - Dein Apache hat die Anfragen ja gar nicht beantwortet (bzw mit dem Fehler-Code 404). Solche Anfragen kommen i. d. R. von irgendwelchen Zombie-PCs, die versuchen, Lücken diverser Webserver auszunutzen (z. B. alte Apache-Versionen, IIS etc.). Wenn Dein Indianer einigermaßen auf Stand ist und Du keine anfälligen Skripte (Mambo/Joomla, phpBB, selbstgestricktes) laufen hast, kannst Du Dich entspannt zurücklehnen und logrotate die Logs entmüllen lassen.

Wenn Du für SQL-Injection, HTTP-Header-Injection etc. sensible Anwendungen (wie oben genannt) auf der Kiste hostet, solltest Du mal über mod_security nachdenken - damit werden solche "illegalen" Anfragen schon geblockt, bevor irgendein PHP-Skript versehentlich in Kontakt damit gerät...

EDIT
Ooops, eine hatte ich übersehen:

Code: Select all

123.49.161.22 - - [12/Nov/2006:19:26:18 +0100] "GET http://www.cookiesbase.org/ HTTP/1.0" 200 1098 "http://www.cookiesbase.org" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

Sagt Dir das was? Im Allgemeinen sollte so eine Anfrage nicht akzeptiert werden, hinter dem GET müsste eine absolute Pfadangabe, nicht aber eine URL kommen! Da missbraucht jemand Deinen Indianer als Proxy... solltest Du schleunigst unterbinden. Prüf mal nach, ob mod_proxy bei Dir geladen ist...

Post by **mcneilxp** » 2006-11-13 07:31

hey.
hab mod_proxy deaktiviert, die anfragen kommen aber immer noch.

125.240.162.70 - - [13/Nov/2006:07:30:19 +0100] "GET http://ad.marketingsector.c
om/imp?z=0&s=38208&u=http%3A%2F%2Fwww.toponesite.com%2Findex.html&r=1&y=28 HTTP/
1.1" 404 1101 "http%3A%2F%2Fwww.toponesite.com%2Findex.html" "Mozilla/4.76 [en]
(X11; U; HP-UX B.10.20 9000/782)"
222.208.183.49 - - [13/Nov/2006:07:30:19 +0100] "GET http://domain.siteparker.co
m/index.php?dom=editorialboard.net HTTP/1.1" 200 1100 "-" "Mozilla/4.0 (compatib
le; MSIE6.0; Windows NT 5.1; SV1; TencentTraveler ; .NET CLR 1.1.4322; Alexa Too
lbar)"
222.82.90.73 - - [13/Nov/2006:07:30:20 +0100] "GET http://log.cpc.sohu.com:90/?p
v.png HTTP/1.0" 200 1098 "http://adsence.sogou.com/index.html?pid=wahysf&ww=145&
dc=1&dir=0&num=4&color=1&charset=gb" "Mozilla/4.0 (compatible; MSIE 6.0; Windows
NT 5.1)"
222.82.154.28 - - [13/Nov/2006:07:30:22 +0100] "GET http://adsence.sogou.com/ind
ex.html?pid=haoziyuan&ww=145&dc=1&dir=0&num=5&color=4&charset=gb HTTP/1.0" 404 1
096 "http://haoziyuan.net" "Mozilla/4.0 (compatible; MSIE 4.01; Windows 98)"
219.140.152.250 - - [13/Nov/2006:07:30:24 +0100] "GET http://adsence.sogou.com/i
ndex.html?pid=siziromeo&ww=120&dc=1&dir=0&num=4&color=1&charset=gb HTTP/1.0" 404
1096 "http://www.chinasludge.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows
NT 5.0)"
222.82.154.28 - - [13/Nov/2006:07:30:25 +0100] "GET http://adsence.sogou.com/ind
ex.html?pid=edchina&ww=145&dc=1&dir=0&num=5&color=4&charset=gb HTTP/1.0" 404 109
6 "http://www.edchina.net" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

z.T. beantwortet der Webserver die ja auch mit 200, wie ist es denn sowas ansonsten noch möglich?

Post by **daemotron** » 2006-11-13 08:30

Hmm, schau Dir mal folgendes an:
http://bugs.php.net/bug.php?id=19113
http://www.rootforum.org/forum/viewtopic.php?t=42904

HTH

Post by **mcneilxp** » 2006-11-13 18:03

Danke erstmal für deine Hilfe,
hab entsprechend deiner Links die Apache-Config angepasst, jetzt wurden zumindest alle Anfragen mit 404 rejected.

Habe auch mod_security auf dem Apache, weißt du hier zufällig eine Anweisung um die Anfragen automatisiert zu blocken? Der müllt mir die ganzen Logs voll, möchte mal wissen wann die Jungs endlich realisieren das ´ne 404 response nicht unbedingt zum weitermachen motivieren sollte... Also ehrlich, 5 Anfragen / Sek. ...

Post by **mcneilxp** » 2006-11-13 18:06

81.57.24.236 - - [13/Nov/2006:18:02:39 +0100] "GET http://clickingagent.com/proxycheck.php ... rt=80&loc= HTTP/1.0" 404 1096 "-" "mozilla/4.0 (compatible; msie 5.5; windows 98; win 9x 4.90)"
66.246.252.157 - - [13/Nov/2006:18:02:52 +0100] "POST http://66.29.83.160/proxy_check.php HTTP/1.1" 404 1091 "-" "-"
66.246.252.157 - - [13/Nov/2006:18:02:52 +0100] "POST http://66.29.83.160/proxy_check.php HTTP/1.1" 404 1091 "-" "-"
66.246.252.157 - - [13/Nov/2006:18:02:55 +0100] "POST http://66.29.83.160/proxy_check.php HTTP/1.1" 404 1091 "-" "-"
66.246.252.157 - - [13/Nov/2006:18:02:55 +0100] "POST http://66.29.83.160/proxy_check.php HTTP/1.1" 404 1091 "-" "-"
66.246.218.176 - - [13/Nov/2006:18:02:57 +0100] "POST http://66.29.113.96/proxy_check.php HTTP/1.1" 404 1091 "-" "-"
66.246.218.176 - - [13/Nov/2006:18:02:57 +0100] "POST http://66.29.113.96/proxy_check.php HTTP/1.1" 404 1091 "-" "-"
124.90.37.249 - - [13/Nov/2006:18:03:19 +0100] "GET http://clickingagent.com/proxycheck.php ... rt=80&loc= HTTP/1.0" 404 1096 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
61.172.64.132 - - [13/Nov/2006:18:03:44 +0100] "GET http://www.eadexchange.com/show2.php?id=11169&bid=27447 HTTP/1.1" 404 1098 "http://www.homeeasyloan.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
66.246.218.176 - - [13/Nov/2006:18:03:50 +0100] "POST http://66.29.113.96/proxy_check.php HTTP/1.1" 404 1091 "-" "-"
66.246.218.176 - - [13/Nov/2006:18:03:50 +0100] "POST http://66.29.113.96/proxy_check.php HTTP/1.1" 404 1091 "-" "-"

vor allem dieses proxy_check, das soll doch wahrscheinlich prüfen ob der proxy noch offen ist?

Post by **sledge0303** » 2006-11-14 01:03

Du kannst bei einer bestimmten Anzahl von Requests innerhalb kürzester Zeit die betreffende IP blacklisten.

RootForum Community

Merkwürdige Webserverlogs

Merkwürdige Webserverlogs

Re: Merkwürdige Webserverlogs

Re: Merkwürdige Webserverlogs

Re: Merkwürdige Webserverlogs

Re: Merkwürdige Webserverlogs

Re: Merkwürdige Webserverlogs

Re: Merkwürdige Webserverlogs