Toon posts:

[apache] Sommige IP's in de access_log verborgen?

Pagina: 1
Acties:

donderdag 24 juli 2008 12:08

Acties:
  • HarmoniousVibe
  • Registratie: September 2001
  • Laatst online: 19-01 10:48

HarmoniousVibe

Topicstarter
Laatst was ik wat data uit mijn access_log aan het crossreferencen met wat andere data vanwege een ondergespamd forum. Mij viel toen op dat er een aantal log-entries begonnen met een . (punt) in plaats van het ip waarmee de pagina is opgevraagd.

Het gaat wel steeds om 3 of 4 dezelfde pagina's (of iig dezelfde vhosts/userdir), maar volgens mij niet om dezelfde clients. De UA is namelijk steeds verschillend.

LogFormat:
code:
1

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined


Log entry:
code:
1

. - - [24/Jul/2008:06:39:03 +0200] "GET / HTTP/1.0" 200 14263 "http://blabla.nl/dir/phpBB2/posting.php?mode=reply&t=1" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; FDM)"


Heeft iemand enig idee waardoor dit wordt veroorzaakt?

12 × LG 330Wp (Enphase) | Daikin FTXM-N 3,5+2,0+2,0kW | Panasonic KIT-WC03J3E5 3kW

donderdag 24 juli 2008 14:12

Acties:
  • gertvdijk
  • Registratie: November 2003
  • Laatst online: 22:51

gertvdijk

Heeft niet een spammer geprobeerd zijn sporen te wissen door zicht toegang te verschaffen tot je server en de logs heeft aangepast?
Immers:
(%h)
This is the IP address of the client (remote host) which made the request to the server. If HostnameLookups is set to On, then the server will try to determine the hostname and log it in place of the IP address. However, this configuration is not recommended since it can significantly slow the server. Instead, it is best to use a log post-processor such as logresolve to determine the hostnames. The IP address reported here is not necessarily the address of the machine at which the user is sitting. If a proxy server exists between the user and the server, this address will be the address of the proxy, rather than the originating machine.
Dus er moet in elk geval een ip adres vermeld staan. Anders zouden er requests komen van machines die geen ip adres hebben.

[ Voor 75% gewijzigd door gertvdijk op 24-07-2008 14:19 ]

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

donderdag 24 juli 2008 14:36

Acties:
  • HarmoniousVibe
  • Registratie: September 2001
  • Laatst online: 19-01 10:48

HarmoniousVibe

Topicstarter
gertvdijk schreef op donderdag 24 juli 2008 @ 14:12:
Heeft niet een spammer geprobeerd zijn sporen te wissen door zicht toegang te verschaffen tot je server en de logs heeft aangepast?
Immers:

[...]

Dus er moet in elk geval een ip adres vermeld staan. Anders zouden er requests komen van machines die geen ip adres hebben.
Precies. Ik had dat ook al nagezocht. Het is natuurlijk altijd mogelijk dat iemand zich toegang heeft verschaft tot de server, maar er zijn geen aanwijzingen die hierop wijzen. De server draait op een up-to-date Debian Stable versie met een dichtgetimmerde firewall. Ook heb ik geen verdachte processen of rootkits kunnen vinden. De permissies van de logs zijn root:root@0600, dus dat betekent dat de spammer root access zou moeten hebben. Maar ik zal nog wel eens dieper gaan graven.

12 × LG 330Wp (Enphase) | Daikin FTXM-N 3,5+2,0+2,0kW | Panasonic KIT-WC03J3E5 3kW

donderdag 24 juli 2008 14:42

Acties:
  • gertvdijk
  • Registratie: November 2003
  • Laatst online: 22:51

gertvdijk

LB06 schreef op donderdag 24 juli 2008 @ 14:36:
Precies. Ik had dat ook al nagezocht. Het is natuurlijk altijd mogelijk dat iemand zich toegang heeft verschaft tot de server, maar er zijn geen aanwijzingen die hierop wijzen. De server draait op een up-to-date Debian Stable versie met een dichtgetimmerde firewall. Ook heb ik geen verdachte processen of rootkits kunnen vinden. De permissies van de logs zijn root:root@0600, dus dat betekent dat de spammer root access zou moeten hebben. Maar ik zal nog wel eens dieper gaan graven.
Als iemand root access heeft en het slim aanpakt kan je er ook niet achter komen dat hij toegang heeft verschaft en rootkits zijn dan natuurlijk goed verborgen. :P
Mooie cover story/artikelen erover in Linux Magazine van Juli, met uitleg/kennismaking met tools die zijn ontwikkeld voor de Nederlandse politie. 'Going Dutch' heet ook een artikel.

[ Voor 7% gewijzigd door gertvdijk op 24-07-2008 14:43 ]

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

donderdag 24 juli 2008 14:42

Acties:
  • benoni
  • Registratie: November 2003
  • Niet online

benoni

Gebruik je de HostnameLookups directive, of een postprocessing die van de IP-nummers in de logfiles hostnames maakt?

Waar ik voor die gevallen aan zat te denken: stel dat iets met de DNS resolving niet helemaal lekker werkt, dat bij een onsuccesvolle reverse lookup een lege string gegenereerd zou worden (in plaats van een error) dan zou je alleen het puntje overhouden dat achter het tld hoort... zoiets kan dus lokaal bij de client gebeuren, of misschien wel op de DNS server zelf.
Kun je wellicht testen door zelf wat lookups te doen.

donderdag 24 juli 2008 14:43

Acties:
  • deadinspace
  • Registratie: Juni 2001
  • Laatst online: 23:23

deadinspace

The what goes where now?

gertvdijk schreef op donderdag 24 juli 2008 @ 14:12:
Heeft niet een spammer geprobeerd zijn sporen te wissen door zicht toegang te verschaffen tot je server en de logs heeft aangepast?
Niet dat het onmogelijk is, maar als dat het geval was, waarom zou hij dan alleen het IP adres aanpassen en niet gewoon de hele regel verwijderen uit de logfile?

Wel een raar probleem verder, ik heb zoiets nooit eerder gezien.

donderdag 24 juli 2008 14:46

Acties:
  • gertvdijk
  • Registratie: November 2003
  • Laatst online: 22:51

gertvdijk

benoni schreef op donderdag 24 juli 2008 @ 14:42:
Waar ik voor die gevallen aan zat te denken: stel dat iets met de DNS resolving niet helemaal lekker werkt, dat bij een onsuccesvolle reverse lookup een lege string gegenereerd zou worden (in plaats van een error) dan zou je alleen het puntje overhouden dat achter het tld hoort... zoiets kan dus lokaal bij de client gebeuren, of misschien wel op de DNS server zelf.
Je kan het inderdaad ook eens doen met een %a i.p.v. %h. In principe is het hetzelde zolang je het niet laat resolven natuurlijk.

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq