Merkwürdige Zugriffe von 127.0.0.1

Apache, Lighttpd, nginx, Cherokee
tofa
Posts: 19
Joined: 2006-01-18 17:29

Merkwürdige Zugriffe von 127.0.0.1

Post by tofa » 2007-07-10 11:05

Hallo zusammen,

mir bereiten folgende Log-Einträge meines Apache 2 Kopfzerbrechen:

Code: Select all

[Mon Jul 09 21:07:38 2007] [error] [client 127.0.0.1] File does not exist: /htdocs
[Mon Jul 09 21:07:39 2007] [error] [client 127.0.0.1] File does not exist: /htdocs
[Mon Jul 09 21:07:47 2007] [error] [client 127.0.0.1] File does not exist: /htdocs
[Mon Jul 09 21:35:31 2007] [error] [client 127.0.0.1] File does not exist: /htdocs
[Mon Jul 09 21:35:55 2007] [error] [client 127.0.0.1] File does not exist: /htdocs
[Mon Jul 09 21:35:58 2007] [error] [client 127.0.0.1] File does not exist: /htdocs
[Tue Jul 10 03:45:52 2007] [error] [client 127.0.0.1] File does not exist: /htdocs
[Tue Jul 10 03:45:53 2007] [error] [client 127.0.0.1] File does not exist: /htdocs
[Tue Jul 10 03:45:54 2007] [error] [client 127.0.0.1] File does not exist: /htdocs
[Tue Jul 10 10:02:38 2007] [error] [client 127.0.0.1] File does not exist: /htdocs
Einträge wie diese finden sich seit einigen Tagen immer wieder in den Logfiles. Mich verwundert daran, dass die Zugriffe scheinbar vom localhost aus erfolgen. Ich habe ein bisschen Sorge, dass es ein Backdoor auf dem Server geben könnte - denn prinzipiell sollten keine Zugriffe von localhost aus erfolgen.

Habe ich eine Möglichkeit herauszufinden, welcher Prozess die Zugriffe verursacht?

Viele Grüße
Tom

dotme
Posts: 150
Joined: 2004-12-15 16:48

Re: Merkwürdige Zugriffe von 127.0.0.1

Post by dotme » 2007-07-10 14:06


tofa
Posts: 19
Joined: 2006-01-18 17:29

Re: Merkwürdige Zugriffe von 127.0.0.1

Post by tofa » 2007-07-10 16:00

Gute Idee! Danke für den Hinweis. Tatsächlich fehlen die Dummy-Einträge im access.log, seitdem die Fehlermeldung auftritt. Was mich jedoch verwundert ist der Umstand, dass eigentlich /htdocs niemals in den Logfiles erscheinen sollte.
Denn wenn ich z.B. bei telnet GET /htdocs HTTP/1.0 ausführe, wird als Wurzelverzeichnis das DocumentRoot meines default-Host genommen. Im Lgfile steht dann:

Code: Select all

[Tue Jul 10 15:20:56 2007] [error] [client 127.0.0.1] File does not exist: /var/www/htdocs
Darum kann ich mir noch immer nicht erklären, wie solche Logeinträge verursacht werden.

Code: Select all

[Tue Jul 10 15:08:54 2007] [error] [client 127.0.0.1] File does not exist: /htdocs
Gruß
Tom

dotme
Posts: 150
Joined: 2004-12-15 16:48

Re: Merkwürdige Zugriffe von 127.0.0.1

Post by dotme » 2007-07-10 22:39

Ich hatte die Vermutung, daß Du ein mod_rewrite basiertes VHosting oder ein spezielles externes Modul verwendest?!

tofa
Posts: 19
Joined: 2006-01-18 17:29

Re: Merkwürdige Zugriffe von 127.0.0.1

Post by tofa » 2007-07-10 23:43

Mhm, geladen habe ich folgende Module:

Code: Select all

Loaded Modules:
 core_module (static)
 log_config_module (static)
 logio_module (static)
 mpm_prefork_module (static)
 http_module (static)
 so_module (static)
 alias_module (shared)
 auth_basic_module (shared)
 authn_dbd_module (shared)
 authn_file_module (shared)
 authz_default_module (shared)
 authz_groupfile_module (shared)
 authz_host_module (shared)
 authz_user_module (shared)
 cgi_module (shared)
 dir_module (shared)
 env_module (shared)
 mime_module (shared)
 chroot_module (shared)
 php5_module (shared)
 rewrite_module (shared)
 setenvif_module (shared)
 ssl_module (shared)
 status_module (shared)
 suexec_module (shared)
mod_rewrite kommt allerdings nur für ein paar kleine URL-Verschönerungen zum Einsatz.

dotme
Posts: 150
Joined: 2004-12-15 16:48

Re: Merkwürdige Zugriffe von 127.0.0.1

Post by dotme » 2007-07-11 00:54

Ok, ab hier fängt raten an. 8)
tofa wrote: mod_rewrite kommt allerdings nur für ein paar kleine URL-Verschönerungen zum Einsatz.
Prüfst Du in irgendwelchen globalen RewriteConds auf die Existenz von Verzeichnissen oder Dateien?

lufthansen
Posts: 390
Joined: 2002-09-24 17:31
Location: NRW

Re: Merkwürdige Zugriffe von 127.0.0.1

Post by lufthansen » 2007-07-11 01:18

*fg* ich will auch raten, also ich werfe folgendes in den raum:
Hast du monitoring scripte laufen, die zb auf den apache connecten um zu gucken wie lange einzugriff dauert ?