[Webserver] Komische logs (was ist das?)

G

GenosseMzK

kennt sich schon aus
Komische logs (was ist das?)

Moin!
Seit einiger Zeit tauchen in meinen Logs anfragen auf, die ich mir nicht wirklich erklären kann..ich frage mich was das ist..
Für ein einfaches "ist da ein Pc mit Serverprozessen hinter dieser ip" ist mir das zu viel..oder versucht jemand einen schlecht eingerichteten Server anzugreifen, in dem er guckt ob irgendwelche Verzeichnisse freigegeben sind? Oder was soll das? Nicht das es mich groß stören würde, verstopft letztendlich nur die logs...

Hier mal ein Auszug
2006-05-13 22:00:12 66.221.192.186 38217 Guest Default - 192.168.0.2 - GET /a1b2c3d4e5f6g7h8i9/nonexistentfile.php 404 - 1025 0 249
2006-05-13 22:00:12 66.221.192.186 38217 Guest Default - 192.168.0.2 - - /adxmlrpc.php 501 - 1025 0 9
2006-05-13 22:00:12 66.221.192.186 38217 Guest Default - 192.168.0.2 - - /adserver/adxmlrpc.php 501 - 1025 0 0
2006-05-13 22:00:12 66.221.192.186 38217 Guest Default - 192.168.0.2 - - /phpAdsNew/adxmlrpc.php 501 - 1025 0 10
2006-05-13 22:00:12 66.221.192.186 38363 Guest Default - 192.168.0.2 - GET /adxmlrpc.php 404 - 1025 0 9
2006-05-13 22:00:12 66.221.192.186 38363 Guest Default - 192.168.0.2 - - /adserver/adxmlrpc.php 501 - 1025 0 10
2006-05-13 22:00:12 66.221.192.186 38363 Guest Default - 192.168.0.2 - - /phpAdsNew/adxmlrpc.php 501 - 1025 0 0
2006-05-13 22:00:12 66.221.192.186 38363 Guest Default - 192.168.0.2 - - /phpadsnew/adxmlrpc.php 501 - 1025 0 9
2006-05-13 22:00:12 66.221.192.186 38451 Guest Default - 192.168.0.2 - GET /adserver/adxmlrpc.php 404 - 1025 0 9
2006-05-13 22:00:13 66.221.192.186 38451 Guest Default - 192.168.0.2 - - /phpAdsNew/adxmlrpc.php 501 - 1025 0 9
2006-05-13 22:00:13 66.221.192.186 38451 Guest Default - 192.168.0.2 - - /phpadsnew/adxmlrpc.php 501 - 1025 0 0
2006-05-13 22:00:13 66.221.192.186 38451 Guest Default - 192.168.0.2 - - /phpads/adxmlrpc.php 501 - 1025 0 10
2006-05-13 22:00:13 66.221.192.186 38551 Guest Default - 192.168.0.2 - GET /phpAdsNew/adxmlrpc.php 404 - 1025 0 10
2006-05-13 22:00:13 66.221.192.186 38551 Guest Default - 192.168.0.2 - - /phpadsnew/adxmlrpc.php 501 - 1025 0 9
2006-05-13 22:00:13 66.221.192.186 38551 Guest Default - 192.168.0.2 - - /phpads/adxmlrpc.php 501 - 1025 0 0
2006-05-13 22:00:13 66.221.192.186 38551 Guest Default - 192.168.0.2 - - /Ads/adxmlrpc.php 501 - 1025 0 9
2006-05-13 22:00:13 66.221.192.186 38649 Guest Default - 192.168.0.2 - GET /phpadsnew/adxmlrpc.php 404 - 1025 0 9
2006-05-13 22:00:13 66.221.192.186 38649 Guest Default - 192.168.0.2 - - /phpads/adxmlrpc.php 501 - 1025 0 0
2006-05-13 22:00:13 66.221.192.186 38649 Guest Default - 192.168.0.2 - - /Ads/adxmlrpc.php 501 - 1025 0 10
2006-05-13 22:00:13 66.221.192.186 38649 Guest Default - 192.168.0.2 - - /ads/adxmlrpc.php 501 - 1025 0 9
2006-05-13 22:00:14 66.221.192.186 38732 Guest Default - 192.168.0.2 - GET /phpads/adxmlrpc.php 404 - 1025 0 9
2006-05-13 22:00:14 66.221.192.186 38732 Guest Default - 192.168.0.2 - - /Ads/adxmlrpc.php 501 - 1025 0 9
2006-05-13 22:00:14 66.221.192.186 38732 Guest Default - 192.168.0.2 - - /ads/adxmlrpc.php 501 - 1025 0 0
2006-05-13 22:00:14 66.221.192.186 38732 Guest Default - 192.168.0.2 - - /xmlrpc.php 501 - 1025 0 9
2006-05-13 22:00:14 66.221.192.186 38732 Guest Default - 192.168.0.2 - - /xmlrpc/xmlrpc.php 501 - 1025 0 0
2006-05-13 22:00:14 66.221.192.186 38832 Guest Default - 192.168.0.2 - GET /Ads/adxmlrpc.php 404 - 1025 0 0
2006-05-13 22:00:14 66.221.192.186 38832 Guest Default - 192.168.0.2 - - /ads/adxmlrpc.php 501 - 1025 0 10
2006-05-13 22:00:14 66.221.192.186 38832 Guest Default - 192.168.0.2 - - /xmlrpc.php 501 - 1025 0 9
2006-05-13 22:00:14 66.221.192.186 38832 Guest Default - 192.168.0.2 - - /xmlrpc/xmlrpc.php 501 - 1025 0 0
2006-05-13 22:00:14 66.221.192.186 38832 Guest Default - 192.168.0.2 - - /xmlsrv/xmlrpc.php 501 - 1025 0 9
2006-05-13 22:00:15 66.221.192.186 38920 Guest Default - 192.168.0.2 - GET /ads/adxmlrpc.php 404 - 1025 0 0
2006-05-13 22:00:15 66.221.192.186 38920 Guest Default - 192.168.0.2 - - /xmlrpc.php 501 - 1025 0 9
2006-05-13 22:00:15 66.221.192.186 38920 Guest Default - 192.168.0.2 - - /xmlrpc/xmlrpc.php 501 - 1025 0 0
2006-05-13 22:00:15 66.221.192.186 38920 Guest Default - 192.168.0.2 - - /xmlsrv/xmlrpc.php 501 - 1025 0 10
2006-05-13 22:00:15 66.221.192.186 38920 Guest Default - 192.168.0.2 - - /blog/xmlrpc.php 501 - 1025 0 9
2006-05-13 22:00:15 66.221.192.186 39016 Guest Default - 192.168.0.2 - GET /xmlrpc.php 404 - 1025 0 9
2006-05-13 22:00:15 66.221.192.186 39016 Guest Default - 192.168.0.2 - - /xmlrpc/xmlrpc.php 501 - 1025 0 0
2006-05-13 22:00:15 66.221.192.186 39016 Guest Default - 192.168.0.2 - - /xmlsrv/xmlrpc.php 501 - 1025 0 9
2006-05-13 22:00:15 66.221.192.186 39016 Guest Default - 192.168.0.2 - - /blog/xmlrpc.php 501 - 1025 0 0
2006-05-13 22:00:15 66.221.192.186 39016 Guest Default - 192.168.0.2 - - /drupal/xmlrpc.php 501 - 1025 0 9
2006-05-13 22:00:15 66.221.192.186 39116 Guest Default - 192.168.0.2 - GET /xmlrpc/xmlrpc.php 404 - 1025 0 10
2006-05-13 22:00:15 66.221.192.186 39116 Guest Default - 192.168.0.2 - - /xmlsrv/xmlrpc.php 501 - 1025 0 0
2006-05-13 22:00:15 66.221.192.186 39116 Guest Default - 192.168.0.2 - - /blog/xmlrpc.php 501 - 1025 0 9
2006-05-13 22:00:15 66.221.192.186 39116 Guest Default - 192.168.0.2 - - /drupal/xmlrpc.php 501 - 1025 0 9
2006-05-13 22:00:16 66.221.192.186 39202 Guest Default - 192.168.0.2 - GET /xmlsrv/xmlrpc.php 404 - 1025 0 9
2006-05-13 22:00:16 66.221.192.186 39202 Guest Default - 192.168.0.2 - - /blog/xmlrpc.php 501 - 1025 0 9
2006-05-13 22:00:16 66.221.192.186 39202 Guest Default - 192.168.0.2 - - /drupal/xmlrpc.php 501 - 1025 0 0
2006-05-13 22:00:16 66.221.192.186 39202 Guest Default - 192.168.0.2 - - /community/xmlrpc.php 501 - 1025 0 10
2006-05-13 22:00:16 66.221.192.186 39295 Guest Default - 192.168.0.2 - GET /blog/xmlrpc.php 404 - 1025 0 51
2006-05-13 22:00:16 66.221.192.186 39295 Guest Default - 192.168.0.2 - - /drupal/xmlrpc.php 501 - 1025 0 0
2006-05-13 22:00:16 66.221.192.186 39295 Guest Default - 192.168.0.2 - - /community/xmlrpc.php 501 - 1025 0 30
2006-05-13 22:00:16 66.221.192.186 39295 Guest Default - 192.168.0.2 - - /blogs/xmlrpc.php 501 - 1025 0 0
2006-05-14 12:42:36 210.196.66.253 37392 Guest Default - 192.168.0.2 - GET //README 404 - 1025 0 10
2006-05-14 12:42:37 210.196.66.253 37434 Guest Default - 192.168.0.2 - GET /horde//README 404 - 1025 0 30
2006-05-14 12:42:38 210.196.66.253 37490 Guest Default - 192.168.0.2 - GET /horde2//README 404 - 1025 0 10
2006-05-14 12:42:39 210.196.66.253 37536 Guest Default - 192.168.0.2 - GET /horde3//README 404 - 1025 0 9
 
da versucht ein Bot Zugriffe auf bestimmte Dateien zu bekommen, die höchstwahrscheinlich zu einer alten Horde Version gehören. 404 steht für "Datei nicht gefunden", 501 kenne ich leider nicht aber wird wohl in eine ähnliche Richtung gehen ("Zugriff verweigert" oder so)

Wenn das zutrifft was ich vermute dann wird hier versucht eine mögliche Sicherheitslücke auszunutzen um sich dann einen Vorteil davon zu beschaffen. Zum Glück hast du Horde nicht installiert ...


FormA
David
 
Status 501: Not Implemented

Die Anfrage enthält Anforderungen, die der Server nicht bearbeiten kann, weil die Voraussetzungen dazu nicht implementiert sind. Die angeforderten Daten können deshalb nicht gesendet werden.
Habe alle Status-Codes (ziemlich versteckt) auf meiner Webseite unter
http://kdv.ath.cx/Pages/html-statuscodes.htm

Gruss Heinz
 
ah..danke :)
Der Server hat die Konfigfiles von vor dem neuinstallieren einfach nur teilweise beachtet..und in den Standardeinstellungen sind für php/perl sonstwas pfade zu den jew. plugins eingetragen. Nur das ich die absichtlich nicht installiert hatte..
Bleibt immer noch das "Problem" das ich dauernd bekloppte Anfragen bekomme..muss mal nachgucken ob ich da nicht eine Regeln einfügen kann die sowas nach 3 Versuchen auf die ban-liste setzt..hmmmm..
 
lustige quellen sind das
z.b. 210.196.66.253 = shinano-system.co.jp
bzw.66.221.192.186= This site is under construction and will be available soon.

Ansonsten ist das ein ganz normaler Angriff, nix ungewöhnliches, dicht machen und gut
 
Ich würde dar gar nichts machen aus dem einfachen Grund, das derjenige immer einen 404 bzw. 501 kriegt. Solange du keine Performanceprobleme oder derjenige doch irgendwann was findet was ihm nützt (Dann direkt dichtmachen!!!), passiert da im Grunde nichts. Ansonsten einfach mal sporadisch die Logs überprüfen, es sei denn du hast da sensible Daten liegen...


:)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben