Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
Immer nur "GET / HTTP/1.1" Einträge im Apache Log File?!

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Netzwerk
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
cxb



Anmeldungsdatum: 03.09.2002
Beiträge: 46

BeitragVerfasst am: 07. März 2004 23:59   Titel: Immer nur "GET / HTTP/1.1" Einträge im Apache Log File?!

Hallo,

was bedeutet es, wenn in meinem access File von Apache regelmässig solche Einträge sind:
61.168.62.9 - - [07/Mar/2004:17:57:25 +0100] "GET / HTTP/1.1" 200 4569
218.25.64.34 - - [07/Mar/2004:18:05:16 +0100] "GET / HTTP/1.1" 200 4569
81.218.236.208 - - [07/Mar/2004:18:27:20 +0100] "GET / HTTP/1.1" 200 4569
151.196.244.84 - - [07/Mar/2004:18:40:28 +0100] "GET / HTTP/1.1" 200 4569
211.59.53.243 - - [07/Mar/2004:18:51:32 +0100] "GET / HTTP/1.1" 200 4569
80.58.53.42 - - [07/Mar/2004:19:18:31 +0100] "GET / HTTP/1.0" 200 4569
218.0.210.90 - - [07/Mar/2004:20:09:42 +0100] "GET / HTTP/1.1" 200 4569
141.157.192.85 - - [07/Mar/2004:20:10:00 +0100] "GET / HTTP/1.1" 200 4569
220.170.14.186 - - [07/Mar/2004:20:29:51 +0100] "GET / HTTP/1.1" 200 4569
68.23.217.241 - - [07/Mar/2004:20:33:15 +0100] "GET / HTTP/1.1" 200 4569
206.214.235.68 - - [07/Mar/2004:20:47:49 +0100] "GET / HTTP/1.1" 200 4569
80.103.151.107 - - [07/Mar/2004:21:04:13 +0100] "GET / HTTP/1.1" 200 4569
218.169.3.109 - - [07/Mar/2004:21:23:04 +0100] "GET / HTTP/1.1" 200 4569
68.74.146.145 - - [07/Mar/2004:22:02:20 +0100] "GET / HTTP/1.1" 200 4569
221.205.158.76 - - [07/Mar/2004:22:06:36 +0100] "GET / HTTP/1.1" 200 4569
67.64.7.64 - - [07/Mar/2004:22:43:59 +0100] "GET / HTTP/1.1" 200 4569
209.86.113.208 - - [07/Mar/2004:22:47:08 +0100] "GET / HTTP/1.1" 200 4569

Ich versteh nicht ganz, warum immer nur die Hauptseite aufgerufen wird?!
Ein Spider kann es ja dann nicht sein, oder?

Hab ein paar Domains mit nslookup nachgekuckt:

Name: as18-pix-pa-206-214-235-68.rasserver.net
Address: 206.214.235.68

Name: 218-169-3-109.HINET-IP.hinet.net
Address: 218.169.3.109

Name: user-v8lcseg.dialup.mindspring.com
Address: 209.86.113.208

*** 211.59.53.243 wurde von UnKnown nicht gefunden: Non-existent domain

*** 211.59.53.243 wurde von UnKnown nicht gefunden: Non-existent domain

Hat mich aber auch nicht wesentlich weiter gebracht?! :S

Bye and THX,
Stefan
 
Benutzer-Profile anzeigen Private Nachricht senden

cxb



Anmeldungsdatum: 03.09.2002
Beiträge: 46

BeitragVerfasst am: 08. März 2004 0:00   Titel: Re: Immer nur

Ach ja, man könnte jetzt denken, dass ich nur solche Einträge hab, aber ich hab auch normale andere Einträge. Also mein Apache funktioniert! :)

Bye,
Stefan
 
Benutzer-Profile anzeigen Private Nachricht senden

joersch
Gast





BeitragVerfasst am: 08. März 2004 10:04   Titel: Re: Immer nur

Mahlzeit,

suchmaschienen-roboter? (hast du eine robots.txt?)
cracker, die die version/os deines webserves/rechners "checken" wollen?

Gruss
 

cxb



Anmeldungsdatum: 03.09.2002
Beiträge: 46

BeitragVerfasst am: 08. März 2004 11:11   Titel: Re: Immer nur

Ja, ne robots.txt hab ich, aber dann sehen die Einträge so aus:

64.140.49.66 - - [03/Mar/2004:15:08:25 +0100] "GET /robots.txt HTTP/1.0" 200 637
64.140.49.66 - - [03/Mar/2004:15:10:01 +0100] "GET / HTTP/1.0" 200 4569

Meine robots.txt sieht so aus:

User-agent: *
Disallow:

Mehr hab ich nicht rein geschrieben.

Bye,
Stefan
 
Benutzer-Profile anzeigen Private Nachricht senden

joersch
Gast





BeitragVerfasst am: 08. März 2004 12:58   Titel: Re: Immer nur

Mahlzeit,

tja, schaut so aus, als ob da jemand was checkt.
<paranoia on>
ist dein webserver so wichtig/toll/bekannt, das du besuch von diesen adressen erwartest?
und die connecten immer nur soweit, das die erste seite (index.html) anzieht?
seltsam.
was passiert, wenn du die logs deiner firewall auswertest? werden da noch andere port "gecheckt"?
(smtp,ftp,finger,https)?
<paranoia off>

Gruss
 

cxb



Anmeldungsdatum: 03.09.2002
Beiträge: 46

BeitragVerfasst am: 08. März 2004 14:14   Titel: Re: Immer nur

Ob der so wichtig ist?!
Naja... nein... Wink
Is halt mein privater Webserver... (www.c-x-b.de.vu)

Zu den Logs... die bringen mir nix, weil bis auf Port 80
wird alles von außen rein gesperrt. (über Router)
Also bis auf Port 80 kann keiner rein.
Und des geht ja nicht so leicht?! Oder?!

> und die connecten immer nur soweit, das die erste seite (index.html) anzieht?
ja... versteh ich auch nicht ganz...
bis auf:

HTTP/1.1 200 OK
Date: Mon, 08 Mar 2004 13:12:29 GMT
Server: Apache/1.3.29 (Unix)
Last-Modified: Tue, 02 Mar 2004 15:58:33 GMT
ETag: "85c2-11d9-4044af29"
Accept-Ranges: bytes
Content-Length: 4569
Content-Type: text/html

Finden sie auch nicht mehr raus, und des ist doch nicht allzu spektakulär, oder?


Leider (zumindest im positiven Sicherheitssinn "Leider") habe ich noch nicht allzu viel Erfahrung mit hacken, daher habe ich viel zu wenig Ahnung, ob ich bedenken haben sollte, oder nicht.

Bye,
Stefan
 
Benutzer-Profile anzeigen Private Nachricht senden

joersch
Gast





BeitragVerfasst am: 08. März 2004 15:14   Titel: Re: Immer nur

Mahlzeit,

>HTTP/1.1 200 OK
>Date: Mon, 08 Mar 2004 13:12:29 GMT
>Server: Apache/1.3.29 (Unix)
ist doch schonmal gut zu wissen: welche bugs hat apache 1.3.29 und hat der admin diese vielleicht nicht gepatcht?

>Also bis auf Port 80 kann keiner rein.
>Und des geht ja nicht so leicht?! Oder?!
ich kenne deinen router nicht - aber wenn DU sicher bist ...

>Leider (zumindest im positiven Sicherheitssinn "Leider") habe ich noch nicht allzu viel Erfahrung mit hacken, daher habe ich viel zu >wenig Ahnung, ob ich bedenken haben sollte, oder nicht.
erfahrung kann man sammeln (zb wenn man seine logs beobachtet und wenn man etwas nicht versteht, einfach fragt).
im i-net ist paranoia immer angesagt, es sind soviele "bad boys" unterwegs (siehe spam/mailviren_und_würmer)...
vielleicht ist alles ganz harmlos und nix passiert, vielleicht "pingt" jemand aber gezielt ip-addressen/bereiche ab um zu sehen,
ob er da einen rechner übernehmen kann - den man dann zu spamversenden nutzen kann (nicht immer ist der dienst, der gehackt wurde auch der, den der angreifer benutzen will)
also - weiterhin logs beobachten und den rechner immer auf dem aktuellsten stand halten.
admin (seines eigenen rechners) zu sein, heisst VERANTWORTUNG zu haben - es reicht, wenn die win....-rechner viren_und_würmer streuen


Gruss
 

nostra
Gast





BeitragVerfasst am: 09. März 2004 13:34   Titel: Re: Immer nur

Hallo!

Diese Einträge sind ganz normal. Die hat jeder.
Nur ein kleiner Tip:
Apache/1.3.29 ist nicht gerade aktuell. Ein Update wäre empfehlenswert.
Witers in httpd.conf:
ServerTokens Prod
und
ServerSignature Off
einstellen. Dann gibt der Apache weniger Infos preis.
 

cxb



Anmeldungsdatum: 03.09.2002
Beiträge: 46

BeitragVerfasst am: 09. März 2004 16:54   Titel: Re: Immer nur

Hallo,

also den Punkt "ServerTokens" hab ich net, und "ServerSignature" hab ich ausgeschaltet.
Kann man bei der "Zusammenfassung"

HTTP/1.1 200 OK
Date: Tue, 09 Mar 2004 15:41:24 GMT
Server: Apache/1.3.29 (Unix)
Last-Modified: Tue, 02 Mar 2004 15:58:33 GMT
ETag: "85c2-11d9-4044af29"
Accept-Ranges: bytes
Content-Length: 4569
Content-Type: text/html

den Servernamen irgendwie ändern / ausblenden?

Bye,
Stefan
 
Benutzer-Profile anzeigen Private Nachricht senden

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Netzwerk Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy