Seltsame Einträge in meiner Apache accss.log [Archiv] - linuxforen.de -- User helfen Usern

Archiv verlassen und diese Seite im Standarddesign anzeigen : Seltsame Einträge in meiner Apache accss.log

Katana

05.08.11, 21:09

Hi

Ich betreibe seit einer Weile einen Webserver auf meinem alten Notebook Zuhause.
In der access.log habe ich folgende Einträge vorgefunden:

178.33.114.203 - - [04/Aug/2011:01:09:41 +0200] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 480 "-" "ZmEu"
178.33.114.203 - - [04/Aug/2011:01:09:41 +0200] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu"
178.33.114.203 - - [04/Aug/2011:01:09:41 +0200] "GET /pma/scripts/setup.php HTTP/1.1" 404 475 "-" "ZmEu"
178.33.114.203 - - [04/Aug/2011:01:09:41 +0200] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu"
178.33.114.203 - - [04/Aug/2011:01:09:41 +0200] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu"
122.155.10.193 - - [05/Aug/2011:00:19:26 +0200] "GET /roundcubemail/README HTTP/1.1" 404 474 "-" "Morfeus strikes again."
122.155.10.193 - - [05/Aug/2011:00:19:27 +0200] "GET /rc/README HTTP/1.1" 404 469 "-" "Morfeus strikes again."
122.155.10.193 - - [05/Aug/2011:00:19:27 +0200] "GET /webmail/README HTTP/1.1" 404 473 "-" "Morfeus strikes again."
122.155.10.193 - - [05/Aug/2011:00:19:27 +0200] "GET /roundcube/README HTTP/1.1" 404 471 "-" "Morfeus strikes again."
122.155.10.193 - - [05/Aug/2011:00:19:28 +0200] "GET /mail/README HTTP/1.1" 404 470 "-" "Morfeus strikes again."
122.155.10.193 - - [05/Aug/2011:00:19:28 +0200] "GET /README HTTP/1.1" 404 467 "-" "Morfeus strikes again."
31.44.184.50 - - [05/Aug/2011:19:27:49 +0200] "GET http://allrequestsallowed.com/?PHPSESSID=5gh6ncjh00043PU%5BHTV%40Y%40%40DJDS%5E HTTP/1.1" 200 2387 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12"
31.44.184.245 - - [05/Aug/2011:21:37:22 +0200] "POST http://myinfo.any-request-allowed.com/?strGet=get1534 HTTP/1.1" 200 4654 "-" "-"Die mit 404 beantworteten machem mir eher wenig sorgen.
Aber sind es Angriffe? Wenn nein, was ist das? Wenn ja, was für welche?

Die zwei unteren verstehe ich ehrlich gesagt nicht so richtig.
Die werden mit dem code 200 beantwortet, also akzeptiert. :eek:

Normalerweise folgt ja auf das GET ein ordner "GET /ordner/ordner/....
Warum folgt in diesem Fall auf das GET eine URL?

Und was hat es mit dem "POST http://... auf sich ?

DrunkenFreak

05.08.11, 21:41

Es sind normale Bruteforceangriffe. Irgendwelche Kiddies scannen deinen Server nach den üblichen Schwachstellen. Fail2ban hilft hier ein bisschen um die Logs sauber zu halten.

Die anderen Aktionen sind wahrscheinlich auch irgendwelche Einbruchsversuche oder Scanattacken. Wenn der Server vernünftig gesichert ist, würde ich mir auch hier wenig Sorgen machen.

fubar

06.08.11, 03:21

UIuiui,
ich wuerde Deinen Server-Status mal als normales "Internet-Rauschen" interpretieren. DrunkenFreak hat schon Recht, schau Dir mal Fail2Ban an, macht die Logs deutlich lesbarer...

regards
Fubar

Katana

06.08.11, 22:13

Mich hat hauptsächlich irritiert das die Einträge mit dem code 200 "Akzeptiert" werrden.

Ich habe erstmal die IPs über iptables blockiert.

Wenn das wieder kommt und ich Zeit habe schaue ich mir Fail2Ban an.

Wobei ich ehrlich sagen muss das ich nicht wirklich einen Plan habe wie man einen Server absichert.

Das Teil steht wie gesagt bei mir Zuhause hinter einem gewöhnlichen Hardware Router.
Es wird nur port 80 an den server geleitet, was Angriffe über andere Ports unmöglich machen sollte.
Darum habe ich auch bis jetzt auf iptables komplett verzichtet.

Ach ja da läuft ein regelmäßig aktualisiertes Ubuntu 10.04 drauf.
Die Apache configs sind praktisch unverändert.
Der server wird hauptsächlich zum Dateienaustausch benutzt.
Also kein PHP, MySQL oder sowas, nur gewöhnliches HTML.

nopes

07.08.11, 18:09

kuckst du hier: http://www.mail-archive.com/freebsd-questions@freebsd.org/msg232797.html

fl4kus

07.08.11, 19:10

Mich hat hauptsächlich irritiert das die Einträge mit dem code 200 "Akzeptiert" werrden.

könnte es sein dass du ProxyRequests erlaubst? das würde die 200er erklären.

Warning

Do not enable proxying with ProxyRequests until you have secured your server. Open proxy servers are dangerous both to your network and to the Internet at large.http://httpd.apache.org/docs/2.0/mod/mod_proxy.html
http://wiki.apache.org/httpd/ProxyAbuse

Katana

07.08.11, 21:04

Habe mal in die "/etc/apache2/mods-available/proxy.conf reingeguckt".
Da steht "ProxyRequests Off". Die Datei ist auch nicht nach "mods-enebled" verlinkt.

Der versuch, wie im zweiten Link vorgeschlagen, meine domain als Proxy im Browser einzutragen und Google aufzurufen brachte folgenden Logeintrag:

[Meine IP Adresse] - - [07/Aug/2011:21:33:54 +0200] "GET http://www.google.de/ HTTP/1.1" 200 2368 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:5.0) Gecko/20100101 Firefox/5.0"Dabei hat sich meine index.html geladen und nicht Google.

Also scheinbar alles im grünen Bereich, mein http Server ist kein proxy. ;)