[apache] Wat betekent deze melding in de log? - Serversoftware en clouddiensten

woensdag 9 maart 2005 19:47

Acties:

Topicstarter

Ik ben de laatste tijd wat aan het spelen met Apache en houd daarom de access.log extra in de gaten; altijd interessant. Zojuist viel mijn oog op het onderstaande:

code:

83.248.x.x - - [09/Mar/2005:18:28:50 +0100] "GET //cgi-bin/awstats/awstats.pl?configdir=|%20id%20| HTTP/1.1" 404 304
83.248.x.x - - [09/Mar/2005:18:28:51 +0100] "GET //cgi-bin/awstats.pl?configdir=|%20id%20| HTTP/1.1" 404 296
83.248.x.x - - [09/Mar/2005:18:28:51 +0100] "GET //cgi/awstats.pl?configdir=|%20id%20| HTTP/1.1" 404 292
83.248.x.x - - [09/Mar/2005:18:28:52 +0100] "GET //cp/awstats/awstats.pl?configdir=|%20id%20| HTTP/1.1" 404 299
83.248.x.x - - [09/Mar/2005:18:28:52 +0100] "GET //stat-cgi/awstats.pl?configdir=|%20id%20| HTTP/1.1" 404 297
83.248.x.x - - [09/Mar/2005:18:28:53 +0100] "GET //awstats/awstats.pl?configdir=|%20id%20| HTTP/1.1" 404 296
83.248.x.x - - [09/Mar/2005:18:28:53 +0100] "GET //awstats/perl/awstats.pl?configdir=|%20id%20| HTTP/1.1" 404 301

Ik weet zeker dat ik geen statistieken aan heb gezet of dat ik van buitenaf heb geprobeerd om iets dergelijks te benaderen. Het IP-adres (welke ik gecensureerd heb) komt me overigens ook helemaal niet bekend voor. Uiteraard heb ik de getoond URLs geprobeerd op te vragen, maar die werken geen van allen. Daarnaast heb ik op Google gezocht naar een mogelijke betekenis, maar daar schiet ik niet veel mee op.

Iemand enig idee waar dit soort meldingen vandaan komen?

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

woensdag 9 maart 2005 19:49

Acties:

alt-92

ye olde farte

Iemand die een awstats vulnerability wil misbruiken die op versies < 6.2 werkt.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 9 maart 2005 19:50

Acties:

Spider.007

* Tetragrammaton

Dit is iemand die je webserver probeert te kraken door bekende exploits erop te bereiken. Er zijn zeer veel tools die dit kunnen maar zolang je geen awstats draait of andere vulnerable zaken is dit geen probleem

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

woensdag 9 maart 2005 19:59

Acties:

pven

Topicstarter

Ok, dank voor de info!

Hoe kan ik dit soort informatie zelf vinden; is er ergens een overzicht van dit soort logmeldingen?
(Ik bedoel dus zelf achterhalen wat deze meldingen betekenen, niet het testen van exploits; ik heb geGooglet, maar dan komt er niet veel terug behalve errug veel logfiles.)

_{Ik heb overigens Apache 2.53 draaien, dat zou stabiel en zo goed als vulnerable-vrij moeten zijn.}

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||

woensdag 9 maart 2005 20:04

Acties:

Spider.007

* Tetragrammaton

Volgens mij is het gewoon common knowledge dat dit exploit tests zijn; en of deze werken vind je op de bekende bugpagina's zoals http://secunia.com/

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

woensdag 9 maart 2005 20:04

Acties:

Millennium

Bug free !!!

Je had bijvoorbeeld kunnen zoeken op de grootst gemene deler, in dit geval
awstats. Had je vanzelf bij http://www.awstats.org/ uitgekomen. Daarna is het een kwestie van afwegen. Was het iemand die je awstats wou bekijken, of iemand die op zoek was naar een exploit.

Rampen bak 2004

woensdag 9 maart 2005 20:14

Acties:

pven

Topicstarter

Ok, duidelijk. Nogmaals dank;nu hoef ik niet meer van dit soort topics te openen!

$_/-\o_$

|| Marktplaats-meuk. Afdingen mag! ;-) || slotje.com for sale || Dank pven! ||