Hallo,
was bedeutet es, wenn in meinem access File von Apache regelmässig solche Einträge sind:
61.168.62.9 - - [07/Mar/2004:17:57:25 +0100] "GET / HTTP/1.1" 200 4569
218.25.64.34 - - [07/Mar/2004:18:05:16 +0100] "GET / HTTP/1.1" 200 4569
81.218.236.208 - - [07/Mar/2004:18:27:20 +0100] "GET / HTTP/1.1" 200 4569
151.196.244.84 - - [07/Mar/2004:18:40:28 +0100] "GET / HTTP/1.1" 200 4569
211.59.53.243 - - [07/Mar/2004:18:51:32 +0100] "GET / HTTP/1.1" 200 4569
80.58.53.42 - - [07/Mar/2004:19:18:31 +0100] "GET / HTTP/1.0" 200 4569
218.0.210.90 - - [07/Mar/2004:20:09:42 +0100] "GET / HTTP/1.1" 200 4569
141.157.192.85 - - [07/Mar/2004:20:10:00 +0100] "GET / HTTP/1.1" 200 4569
220.170.14.186 - - [07/Mar/2004:20:29:51 +0100] "GET / HTTP/1.1" 200 4569
68.23.217.241 - - [07/Mar/2004:20:33:15 +0100] "GET / HTTP/1.1" 200 4569
206.214.235.68 - - [07/Mar/2004:20:47:49 +0100] "GET / HTTP/1.1" 200 4569
80.103.151.107 - - [07/Mar/2004:21:04:13 +0100] "GET / HTTP/1.1" 200 4569
218.169.3.109 - - [07/Mar/2004:21:23:04 +0100] "GET / HTTP/1.1" 200 4569
68.74.146.145 - - [07/Mar/2004:22:02:20 +0100] "GET / HTTP/1.1" 200 4569
221.205.158.76 - - [07/Mar/2004:22:06:36 +0100] "GET / HTTP/1.1" 200 4569
67.64.7.64 - - [07/Mar/2004:22:43:59 +0100] "GET / HTTP/1.1" 200 4569
209.86.113.208 - - [07/Mar/2004:22:47:08 +0100] "GET / HTTP/1.1" 200 4569
Ich versteh nicht ganz, warum immer nur die Hauptseite aufgerufen wird?!
Ein Spider kann es ja dann nicht sein, oder?
Hab ein paar Domains mit nslookup nachgekuckt:
Name: as18-pix-pa-206-214-235-68.rasserver.net
Address: 206.214.235.68
Name: 218-169-3-109.HINET-IP.hinet.net
Address: 218.169.3.109
Name: user-v8lcseg.dialup.mindspring.com
Address: 209.86.113.208
*** 211.59.53.243 wurde von UnKnown nicht gefunden: Non-existent domain
*** 211.59.53.243 wurde von UnKnown nicht gefunden: Non-existent domain
Hat mich aber auch nicht wesentlich weiter gebracht?! :S
Bye and THX,
Stefan
Immer nur "GET / HTTP/1.1" Einträge im Apache Log File?!
Re: Immer nur
Ach ja, man könnte jetzt denken, dass ich nur solche Einträge hab, aber ich hab auch normale andere Einträge. Also mein Apache funktioniert! 
Bye,
Stefan
Bye,
Stefan
-
joersch
Re: Immer nur
Mahlzeit,
suchmaschienen-roboter? (hast du eine robots.txt?)
cracker, die die version/os deines webserves/rechners "checken" wollen?
Gruss
suchmaschienen-roboter? (hast du eine robots.txt?)
cracker, die die version/os deines webserves/rechners "checken" wollen?
Gruss
Re: Immer nur
Ja, ne robots.txt hab ich, aber dann sehen die Einträge so aus:
64.140.49.66 - - [03/Mar/2004:15:08:25 +0100] "GET /robots.txt HTTP/1.0" 200 637
64.140.49.66 - - [03/Mar/2004:15:10:01 +0100] "GET / HTTP/1.0" 200 4569
Meine robots.txt sieht so aus:
User-agent: *
Disallow:
Mehr hab ich nicht rein geschrieben.
Bye,
Stefan
64.140.49.66 - - [03/Mar/2004:15:08:25 +0100] "GET /robots.txt HTTP/1.0" 200 637
64.140.49.66 - - [03/Mar/2004:15:10:01 +0100] "GET / HTTP/1.0" 200 4569
Meine robots.txt sieht so aus:
User-agent: *
Disallow:
Mehr hab ich nicht rein geschrieben.
Bye,
Stefan
-
joersch
Re: Immer nur
Mahlzeit,
tja, schaut so aus, als ob da jemand was checkt.
<paranoia on>
ist dein webserver so wichtig/toll/bekannt, das du besuch von diesen adressen erwartest?
und die connecten immer nur soweit, das die erste seite (index.html) anzieht?
seltsam.
was passiert, wenn du die logs deiner firewall auswertest? werden da noch andere port "gecheckt"?
(smtp,ftp,finger,https)?
<paranoia off>
Gruss
tja, schaut so aus, als ob da jemand was checkt.
<paranoia on>
ist dein webserver so wichtig/toll/bekannt, das du besuch von diesen adressen erwartest?
und die connecten immer nur soweit, das die erste seite (index.html) anzieht?
seltsam.
was passiert, wenn du die logs deiner firewall auswertest? werden da noch andere port "gecheckt"?
(smtp,ftp,finger,https)?
<paranoia off>
Gruss
Re: Immer nur
Ob der so wichtig ist?!
Naja... nein...
Is halt mein privater Webserver... (www.c-x-b.de.vu)
Zu den Logs... die bringen mir nix, weil bis auf Port 80
wird alles von außen rein gesperrt. (über Router)
Also bis auf Port 80 kann keiner rein.
Und des geht ja nicht so leicht?! Oder?!
> und die connecten immer nur soweit, das die erste seite (index.html) anzieht?
ja... versteh ich auch nicht ganz...
bis auf:
HTTP/1.1 200 OK
Date: Mon, 08 Mar 2004 13:12:29 GMT
Server: Apache/1.3.29 (Unix)
Last-Modified: Tue, 02 Mar 2004 15:58:33 GMT
ETag: "85c2-11d9-4044af29"
Accept-Ranges: bytes
Content-Length: 4569
Content-Type: text/html
Finden sie auch nicht mehr raus, und des ist doch nicht allzu spektakulär, oder?
Leider (zumindest im positiven Sicherheitssinn "Leider") habe ich noch nicht allzu viel Erfahrung mit hacken, daher habe ich viel zu wenig Ahnung, ob ich bedenken haben sollte, oder nicht.
Bye,
Stefan
Naja... nein...
Is halt mein privater Webserver... (www.c-x-b.de.vu)
Zu den Logs... die bringen mir nix, weil bis auf Port 80
wird alles von außen rein gesperrt. (über Router)
Also bis auf Port 80 kann keiner rein.
Und des geht ja nicht so leicht?! Oder?!
> und die connecten immer nur soweit, das die erste seite (index.html) anzieht?
ja... versteh ich auch nicht ganz...
bis auf:
HTTP/1.1 200 OK
Date: Mon, 08 Mar 2004 13:12:29 GMT
Server: Apache/1.3.29 (Unix)
Last-Modified: Tue, 02 Mar 2004 15:58:33 GMT
ETag: "85c2-11d9-4044af29"
Accept-Ranges: bytes
Content-Length: 4569
Content-Type: text/html
Finden sie auch nicht mehr raus, und des ist doch nicht allzu spektakulär, oder?
Leider (zumindest im positiven Sicherheitssinn "Leider") habe ich noch nicht allzu viel Erfahrung mit hacken, daher habe ich viel zu wenig Ahnung, ob ich bedenken haben sollte, oder nicht.
Bye,
Stefan
-
joersch
Re: Immer nur
Mahlzeit,
>HTTP/1.1 200 OK
>Date: Mon, 08 Mar 2004 13:12:29 GMT
>Server: Apache/1.3.29 (Unix)
ist doch schonmal gut zu wissen: welche bugs hat apache 1.3.29 und hat der admin diese vielleicht nicht gepatcht?
>Also bis auf Port 80 kann keiner rein.
>Und des geht ja nicht so leicht?! Oder?!
ich kenne deinen router nicht - aber wenn DU sicher bist ...
>Leider (zumindest im positiven Sicherheitssinn "Leider") habe ich noch nicht allzu viel Erfahrung mit hacken, daher habe ich viel zu >wenig Ahnung, ob ich bedenken haben sollte, oder nicht.
erfahrung kann man sammeln (zb wenn man seine logs beobachtet und wenn man etwas nicht versteht, einfach fragt).
im i-net ist paranoia immer angesagt, es sind soviele "bad boys" unterwegs (siehe spam/mailviren_und_würmer)...
vielleicht ist alles ganz harmlos und nix passiert, vielleicht "pingt" jemand aber gezielt ip-addressen/bereiche ab um zu sehen,
ob er da einen rechner übernehmen kann - den man dann zu spamversenden nutzen kann (nicht immer ist der dienst, der gehackt wurde auch der, den der angreifer benutzen will)
also - weiterhin logs beobachten und den rechner immer auf dem aktuellsten stand halten.
admin (seines eigenen rechners) zu sein, heisst VERANTWORTUNG zu haben - es reicht, wenn die win....-rechner viren_und_würmer streuen
Gruss
>HTTP/1.1 200 OK
>Date: Mon, 08 Mar 2004 13:12:29 GMT
>Server: Apache/1.3.29 (Unix)
ist doch schonmal gut zu wissen: welche bugs hat apache 1.3.29 und hat der admin diese vielleicht nicht gepatcht?
>Also bis auf Port 80 kann keiner rein.
>Und des geht ja nicht so leicht?! Oder?!
ich kenne deinen router nicht - aber wenn DU sicher bist ...
>Leider (zumindest im positiven Sicherheitssinn "Leider") habe ich noch nicht allzu viel Erfahrung mit hacken, daher habe ich viel zu >wenig Ahnung, ob ich bedenken haben sollte, oder nicht.
erfahrung kann man sammeln (zb wenn man seine logs beobachtet und wenn man etwas nicht versteht, einfach fragt).
im i-net ist paranoia immer angesagt, es sind soviele "bad boys" unterwegs (siehe spam/mailviren_und_würmer)...
vielleicht ist alles ganz harmlos und nix passiert, vielleicht "pingt" jemand aber gezielt ip-addressen/bereiche ab um zu sehen,
ob er da einen rechner übernehmen kann - den man dann zu spamversenden nutzen kann (nicht immer ist der dienst, der gehackt wurde auch der, den der angreifer benutzen will)
also - weiterhin logs beobachten und den rechner immer auf dem aktuellsten stand halten.
admin (seines eigenen rechners) zu sein, heisst VERANTWORTUNG zu haben - es reicht, wenn die win....-rechner viren_und_würmer streuen
Gruss
-
nostra
Re: Immer nur
Hallo!
Diese Einträge sind ganz normal. Die hat jeder.
Nur ein kleiner Tip:
Apache/1.3.29 ist nicht gerade aktuell. Ein Update wäre empfehlenswert.
Witers in httpd.conf:
ServerTokens Prod
und
ServerSignature Off
einstellen. Dann gibt der Apache weniger Infos preis.
Diese Einträge sind ganz normal. Die hat jeder.
Nur ein kleiner Tip:
Apache/1.3.29 ist nicht gerade aktuell. Ein Update wäre empfehlenswert.
Witers in httpd.conf:
ServerTokens Prod
und
ServerSignature Off
einstellen. Dann gibt der Apache weniger Infos preis.
Re: Immer nur
Hallo,
also den Punkt "ServerTokens" hab ich net, und "ServerSignature" hab ich ausgeschaltet.
Kann man bei der "Zusammenfassung"
HTTP/1.1 200 OK
Date: Tue, 09 Mar 2004 15:41:24 GMT
Server: Apache/1.3.29 (Unix)
Last-Modified: Tue, 02 Mar 2004 15:58:33 GMT
ETag: "85c2-11d9-4044af29"
Accept-Ranges: bytes
Content-Length: 4569
Content-Type: text/html
den Servernamen irgendwie ändern / ausblenden?
Bye,
Stefan
also den Punkt "ServerTokens" hab ich net, und "ServerSignature" hab ich ausgeschaltet.
Kann man bei der "Zusammenfassung"
HTTP/1.1 200 OK
Date: Tue, 09 Mar 2004 15:41:24 GMT
Server: Apache/1.3.29 (Unix)
Last-Modified: Tue, 02 Mar 2004 15:58:33 GMT
ETag: "85c2-11d9-4044af29"
Accept-Ranges: bytes
Content-Length: 4569
Content-Type: text/html
den Servernamen irgendwie ändern / ausblenden?
Bye,
Stefan