Merkwürdige Zugriffe von 127.0.0.1

[tofa]

Hallo zusammen,

mir bereiten folgende Log-Einträge meines Apache 2 Kopfzerbrechen:

Code: Select all

[Mon Jul 09 21:07:38 2007] [error] [client 127.0.0.1] File does not exist: /htdocs
[Mon Jul 09 21:07:39 2007] [error] [client 127.0.0.1] File does not exist: /htdocs
[Mon Jul 09 21:07:47 2007] [error] [client 127.0.0.1] File does not exist: /htdocs
[Mon Jul 09 21:35:31 2007] [error] [client 127.0.0.1] File does not exist: /htdocs
[Mon Jul 09 21:35:55 2007] [error] [client 127.0.0.1] File does not exist: /htdocs
[Mon Jul 09 21:35:58 2007] [error] [client 127.0.0.1] File does not exist: /htdocs
[Tue Jul 10 03:45:52 2007] [error] [client 127.0.0.1] File does not exist: /htdocs
[Tue Jul 10 03:45:53 2007] [error] [client 127.0.0.1] File does not exist: /htdocs
[Tue Jul 10 03:45:54 2007] [error] [client 127.0.0.1] File does not exist: /htdocs
[Tue Jul 10 10:02:38 2007] [error] [client 127.0.0.1] File does not exist: /htdocs

Einträge wie diese finden sich seit einigen Tagen immer wieder in den Logfiles. Mich verwundert daran, dass die Zugriffe scheinbar vom localhost aus erfolgen. Ich habe ein bisschen Sorge, dass es ein Backdoor auf dem Server geben könnte - denn prinzipiell sollten keine Zugriffe von localhost aus erfolgen.

Habe ich eine Möglichkeit herauszufinden, welcher Prozess die Zugriffe verursacht?

Viele Grüße
Tom

[dotme]

Vielleicht eine Erklärung

http://wiki.apache.org/httpd/InternalDummyConnection

[tofa]

Gute Idee! Danke für den Hinweis. Tatsächlich fehlen die Dummy-Einträge im access.log, seitdem die Fehlermeldung auftritt. Was mich jedoch verwundert ist der Umstand, dass eigentlich /htdocs niemals in den Logfiles erscheinen sollte.
Denn wenn ich z.B. bei telnet GET /htdocs HTTP/1.0 ausführe, wird als Wurzelverzeichnis das DocumentRoot meines default-Host genommen. Im Lgfile steht dann:

Code: Select all

[Tue Jul 10 15:20:56 2007] [error] [client 127.0.0.1] File does not exist: /var/www/htdocs

Darum kann ich mir noch immer nicht erklären, wie solche Logeinträge verursacht werden.

Code: Select all

[Tue Jul 10 15:08:54 2007] [error] [client 127.0.0.1] File does not exist: /htdocs

Gruß
Tom

[dotme]

Ich hatte die Vermutung, daß Du ein mod_rewrite basiertes VHosting oder ein spezielles externes Modul verwendest?!

[tofa]

Mhm, geladen habe ich folgende Module:

Code: Select all

Loaded Modules:
 core_module (static)
 log_config_module (static)
 logio_module (static)
 mpm_prefork_module (static)
 http_module (static)
 so_module (static)
 alias_module (shared)
 auth_basic_module (shared)
 authn_dbd_module (shared)
 authn_file_module (shared)
 authz_default_module (shared)
 authz_groupfile_module (shared)
 authz_host_module (shared)
 authz_user_module (shared)
 cgi_module (shared)
 dir_module (shared)
 env_module (shared)
 mime_module (shared)
 chroot_module (shared)
 php5_module (shared)
 rewrite_module (shared)
 setenvif_module (shared)
 ssl_module (shared)
 status_module (shared)
 suexec_module (shared)

mod_rewrite kommt allerdings nur für ein paar kleine URL-Verschönerungen zum Einsatz.

[dotme]

Ok, ab hier fängt raten an. 8)

mod_rewrite kommt allerdings nur für ein paar kleine URL-Verschönerungen zum Einsatz.

Prüfst Du in irgendwelchen globalen RewriteConds auf die Existenz von Verzeichnissen oder Dateien?

[lufthansen]

*fg* ich will auch raten, also ich werfe folgendes in den raum:
Hast du monitoring scripte laufen, die zb auf den apache connecten um zu gucken wie lange einzugriff dauert ?