accesslog Auswertung?!

[IckZ]

Hallo,
nachdem ich heute in meine access- und errorlogs geschaut habe, bin ich etwas verwirrt, da mir ein paar Einträge nicht gerade "logisch" erscheinen:

Auszug aus der access log:

212.175.222.189 - - [04/Apr/2007:11:04:32 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 404 961 "-" "-"
212.175.222.189 - - [04/Apr/2007:11:04:32 +0200] "GET /PMA/main.php HTTP/1.0" 404 961 "-" "-"
212.175.222.189 - - [04/Apr/2007:11:04:32 +0200] "GET /mysql/main.php HTTP/1.0" 404 961 "-" "-"
87.118.112.102 - - [04/Apr/2007:11:35:56 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 311 "-" "-"

Auszug aus der error log:

[Wed Mar 21 21:08:27 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpmyadmin
[Wed Mar 21 21:08:31 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpMyAdmin
[Wed Mar 21 21:08:31 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/db
[Wed Mar 21 21:08:35 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/web
[Wed Mar 21 21:08:35 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/PMA
[Wed Mar 21 21:08:36 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/admin
[Wed Mar 21 21:08:37 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/dbadmin
[Wed Mar 21 21:08:37 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/PMA2006
[Wed Mar 21 21:08:38 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/pma2006
[Wed Mar 21 21:08:38 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/sqlmanager
[Wed Mar 21 21:08:39 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/mysqlmanager
[Wed Mar 21 21:08:39 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/p
[Wed Mar 21 21:08:40 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/PMA2005
[Wed Mar 21 21:08:40 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/pma2005
[Wed Mar 21 21:08:40 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpmanager
[Wed Mar 21 21:08:41 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/php-myadmin
[Wed Mar 21 21:08:41 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpmy-admin
[Wed Mar 21 21:08:42 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/mysql
[Wed Mar 21 21:08:43 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/myadmin
[Wed Mar 21 21:08:43 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/webadmin
[Wed Mar 21 21:08:44 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/sqlweb
[Wed Mar 21 21:08:44 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/websql
[Wed Mar 21 21:08:47 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/webdb
[Wed Mar 21 21:08:48 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/mysqladmin
[Wed Mar 21 21:08:48 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/mysql-admin
[Wed Mar 21 21:08:49 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpmyadmin2
[Wed Mar 21 21:08:49 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpMyAdmin2
[Wed Mar 21 21:08:49 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpMyAdmin-2
[Wed Mar 21 21:08:50 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/php-my-admin
[Wed Mar 21 21:08:50 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpMyAdmin-2.2.3
[Wed Mar 21 21:08:54 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpMyAdmin-2.2.6
[Wed Mar 21 21:08:55 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpMyAdmin-2.5.1
[Wed Mar 21 21:08:58 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpMyAdmin-2.5.4
[Wed Mar 21 21:08:59 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpMyAdmin-2.5.5-rc1
[Wed Mar 21 21:09:02 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpMyAdmin-2.5.5-rc2
[Wed Mar 21 21:09:02 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpMyAdmin-2.5.5
[Wed Mar 21 21:09:03 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpMyAdmin-2.5.5-pl1
[Wed Mar 21 21:09:03 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpMyAdmin-2.5.6-rc1
[Wed Mar 21 21:09:04 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpMyAdmin-2.5.6-rc2
[Wed Mar 21 21:09:07 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpMyAdmin-2.5.6
[Wed Mar 21 21:09:08 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpMyAdmin-2.5.7
[Wed Mar 21 21:09:08 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpMyAdmin-2.5.7-pl1
[Wed Mar 21 21:09:09 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpMyAdmin-2.6.0-alpha
[Wed Mar 21 21:09:12 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpMyAdmin-2.6.0-alpha2
[Wed Mar 21 21:09:12 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpMyAdmin-2.6.0-beta1
[Wed Mar 21 21:09:13 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpMyAdmin-2.6.0-beta2
[Wed Mar 21 21:09:13 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpMyAdmin-2.6.0-rc1
[Wed Mar 21 21:09:14 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpMyAdmin-2.6.0-rc2
[Wed Mar 21 21:09:14 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpMyAdmin-2.6.0-rc3
[Wed Mar 21 21:09:14 2007] [error] [client 164.58.152.158] File does not exist: /srv/www/vhosts/nightventure.de/httpdocs/phpMyAdmin-2.6.0

Meine Seiten sind bis auf 2 html Seiten und einer durch htaccess geschützen Testumgebung noch nicht online. Mein Server hat jedoch schon im April (1-4.)

Eingehender IP-Traffic: 137,13 MByte
Ausgehender IP-Traffic: 99,77 MByte
Gesamt-Traffic für den aktuellen Monat: 236,90 MByte

verbraucht und deswegen kam ich auf die Logfiles. Es wurde diesen Monat nix geuppt und die Zugriffe auf .nightventure - style up your night and be connected. und Schüleraustausche welweit - Auslandserfahrung als Austauschschüler: Schüleraustauschangebot können im Grunde nicht so hoch sein, dass 100mb verbraucht wurden.

Kann mir vielleicht jm. etwas Klarheit geben?

Gruß

 

[Mordor]

Da sucht nur jemand nach Scripts, die Sicherheitslücken haben. Solange das mit einem 4xx zurück geht, brauchst du dir da nicht wirklich Sorgen zu machen.

Ich würde so vorgehen, dass ich an die IPs die die Anfragen verursachen Abuse-Mailsschreiben würde, das hilft manchmal schon etwas. Ausserdem würde ich über mod_security und mod_evasive nachdenken. Da kannst du mit Sicherheit auch was gut machen.

Sorgen machen brauchst du dir da aber ned so viel, soweit ich sehen kann. Wie gesagt, es kommt immer darauf an, mit was der Webserver die Anfragen quitiert.
Ich würde aber mal nachsehen, ob einer der IPs eine Anfrage geschickt hat, die doch durchgekommen ist. Dies kann zum Beispiel der Fall sein, wenn du eine veraltete Version von phpMyAdmin drauf hast, oder ein CMS was Lücken hat.

 

[IckZ]

mh... das hört sich ja gut an.

ich dachte nur auf Grund dieses Befehls: "212.175.222.189 - - [04/Apr/2007:11:04:32 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 404 961 "-" "-"" dass doch jm. durchgekommen ist.

Ich werde mich nach Ostern mal deinen Ratschlägen antun. Vielen Dank schon mal.

 

[Mordor]

"212.175.222.189 - - [04/Apr/2007:11:04:32 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 404 961 "-" "-""

An dem 404 kannst du sehen, dass der Server die Anfrage zurückgegeben hat, und die Anfrage mit einem Fehler quitiert hat. Alle Anfragen die mit 4xx zurück gegeben werden, sind Fehler, die der Server nicht beantwortet hat bzw. konnte.

Schau dir in der Apache -Doku einfach mal die Codes an, wie Anfragen quitiert werden. Dann tut man sich schon um einiges leichter beim Logfilelesen.

Gruß Mordor

Ps Was ich auch noch empfehlen kann ist SRVreport. Das Tool kann dir ziemlich genau zeigen, welcher Dienst deines Servers den Traffic verursacht hat.

 

[IckZ]

wow cooles Tool! Vielen Dank. Auch damit werde ich mich leider erst nach Ostern beschäftigen können, aber da ich mich mit Cronjobs eh noch nicht wirklich auskenne, kann ich das WE nutzen und Lektüre lesen

Gruß

 

[Mordor]

Na dann viel Spaß!!!

 

[IckZ]

Hi,
ich habe jetzt SRVReport (ich denke) erfolgreich installiert.

In der Mail sind am Ende nur ein paar Fehler, worauf ich keine Antwort habe. Wieso findet er die Dateien nicht?

[main:317] Error while executing 'webserver' Could not open /var/log/apache2/srvreport_2007-04-09 at /********/HttpdReport.pm line 102. (No such file or directory)
[main:317] Error while executing 'ftpserver' Could not open /var/log/xferlog at /********/HttpdReport.pm line 102. (No such file or directory)
[main:317] Error while executing 'ftplogs' Could not open /var/log/xferlog at /********/LogReport.pm line 99. (No such file or directory)
[main:317] Error while executing 'postfix' Could not open /var/log/mail at /********/PostfixReport.pm line 159. (No such file or directory)

Gruß

 

[Mordor]

[main:317] Error while executing 'webserver' Could not open /var/log/apache2/srvreport_2007-04-09 at /********/HttpdReport.pm line 102. (No such file or directory)

Hast du den Eintrag in die httpd.conf gemacht, wie es in der Installationsanweisung steht? Wenn ja, dann kann es sein, dass die Dateisrvreport_xxxx-xx-xx nicht existiert. Diese wird nur erstellt, wenn an dem Tag auch wirklich jemand deinen Webserver angesurvt hat.
Also einfach mal auf deine Seite gehen, und dann sollte in var/log/apach2 auch die Datei drin sein.

[main:317] Error while executing 'ftpserver' Could not open /var/log/xferlog at /********/HttpdReport.pm line 102. (No such file or directory)

Sieht auch ganz so aus, als wäre da ein Konfigurationsfehler. Bzw. stellt sich die Frage, ob dein FTP-Server mir Srvreport arbeiten kann. Auch hier fehlt die dementsprechende Datei

[main:317] Error while executing 'ftplogs' Could not open /var/log/xferlog at /********/LogReport.pm line 99. (No such file or directory)

Auch hier können die FTP-Logs nicht ausgewertet werden. Auch hier ein Konfigurationsfehler

[main:317] Error while executing 'postfix' Could not open /var/log/mail at /********/PostfixReport.pm line 159. (No such file or directory)

Ebenfalls ein Konfigurationsfehler. Hast du die Logfilenamen in der SRVreport-Konfigurationsdatei richtig angepasst? Wenn nicht ist klar, dass er die Logfiles nicht auswerwten konnte.

Ich hoffe ich konnte weiter helfen.

 

[IckZ]

mh... das dachte ich mir

ich habe in die httpd config folgendes geschrieben :

#SrvReport Eintrag
LogFormat "%v \"%{Host}i\" %h %t \"%r\" %>s %b" srvreport
CustomLog |/srv/progis/srvreport/bin/pipelog.pl srvreport
~

stimmt damit etwas nicht? In der config habe ich eigentlich alle Pfade richtig angegeben...

Außerdem verwundert mich in der Mail folgendes:

Apr 9 21:02:14 h****** pop3d:
Apr 9 21:02:17 h****** pop3d:
Apr 9 21:12:32 h****** pop3d:
Apr 9 21:12:33 h****** pop3d:
Apr 9 21:12:33 h****** pop3d:
Apr 9 21:12:39 h****** pop3d:
Apr 9 21:12:40 h****** pop3d:
Apr 9 21:22:40 h****** pop3d:
Apr 9 21:32:40 h****** pop3d:

solche einträge finde ich unter "Warnings" mehrfach. Was hat das zu bedeuten?

 

[Mordor]

Der Eintrag in die httpd.conf müsste so stimmen. Funktioniert es jetzt eigentlich?

Und die Einträge wegen den Mails sehe ich zum ersten mal. Wo tauchen die auf? In der Mail von SRVreport?

Normalerweise ist die Dokumentation von SRVreport ziemlich gut. Schau dir einfach die Install und Setupanweisung nochmal genau an. Ich hatte auch zu anfangs ein paar Fehler, und durch nochmaliges durchsehen und quälen von Google gings dann endlich. Die Probleme mit den Mails kenne ich aber nicht.

 

[IckZ]

Hi,
ne funktioniert leider immernoch nicht.
Die Einträge bezüglich der Mail kommen aus dem "Warnings"-Teil der Mail von SRVReport.

Gruß

edit: mh... irgendwie scheint die http.config plötzlich doch zu funktionieren. Es werden Zugriffe auf meine .com Domain angezeigt. Aber die anderen 3 Fehler sind leider immernoch vorhanden und die Requests auf die .de oder sonst eine Domain werden gar nich angezeigt. Auch verwundert mich wieso das Teil heute Abend schon ~40mb Traffic anzeigt, wobei der Server nur eine HTML-Seite und eine Testumgebung mit htaccess beherbergt.

Kann das vielleicht mit dem Befehl zusammenhängen, mitder ich dir Mail anfordere?!
/srv/progis/srvreport/bin/srvreport.pl --test=1

PS: Mir fällt gerade auf, dass er auch nicht alle domains bzw. die Zugriffe auf die Domains anzeigt. Es fehlen die kompletten Vhosts, nur die Domains die Weitergeleitet werden, funktionieren.
Gruß

 

[Mordor]

Lassen sich zu den Maileinträgen irgendwelche Einträge in den Maillogs finden? Normalerweise sollte SRVreport nicht einfach was schreiben, sondern die Logfiles aus den Maillogs verwenden.

Hast du das mit dem HTTP-Problem mal probiert? Deine eigene Seite aufrufen und dann nachsehen ob SRVreport die Datei erstellt hat? Außerdem musst du den Apache neu starten nachdem du die Einträge in httpd.conf gemacht hast.

 

[IckZ]

Ich habe alle Domains aufgerufen, die ich habe, allerdings ist mir dabei aufgefallen, dass nur die Domains, die weiterleiten in der Statistik angezeigt werden. Die einzelnnen Vhosts leider nicht. Ich dachte eigentlich, dass die httpd der Vhosts auf die globale zurückgreift.
Den Apache habe ich natürlich restartet

Das mit den Mails ist seeeeehr komisch. Ich habe auch schon gegoogelt aber leider nichts gefunden

Gruß

 

[Mordor]

Wäre mal interessant, ob man SRVreport so manipulieren kann, dass es für jeden vhost den Traffix einzeln anzeigt. Wobei es doch eigentlich schon reichen müsste, den Traffic für jede Domain anzuzeigen. Ausser mehrere Domains greifen auf den selben vhost zu.

 

[IckZ]

mir würde schon der gesamte Traffic reichen, da mehr oder weniger nur ein Projekt auf dem Server laufen wird. Die restlichen kleinen sind überschaubarer.

Aber wieso werden nur die Domains die weiterleiten angezeigt und die einzellnen Vhosts nicht. Z.b. domain.com leitet auf domain.de um. Wenn ich beide besuche, wird leider nur die .com in dem Bericht von SrvReport angezeigt :-(

Gruß

 

[Mordor]

Ich denk mal du musst den Eintrag den du für SRVreport in den Globalen Servereinstellungen der httpd.conf gemacht hast, auch in den vhosts machen. sonst können die nicht in SRVreport-Log reinschreiben.

 

[IckZ]

hi,
also ich habe jetzt auch in die vhost configs die paar Zeilen reingeschrieben. Leider tut sich immer noch nix. Außerdem habe ich leider auch mit google noch keine Lösung für meine Fehler gefunden:

Die Log-Dateien
/var/log/xferlog und /var/log/mail sind unauffindbar. Natürlich habe ich vorher auch eine Mail verschickt und mich mal auf den FTP eingewählt, aber trotzdem leider nix.

Vielleicht hast du(ihr) ja eine Lösung?!

Gruß

 

[Mordor]

Hm, das prob ist mir neu. Normalerweise funtzt das relativ einfach.

1. Werden eigentlich die Cronjobs sauber ausgeführt?
2. Die Einträge in der Config von SRVreport stimmen alle?
3. Sind es noch die gleichen Probleme wie vorher oder hat sich was geändert? Bekommst du auch noch für http in der E-Mail Fehler angezeigt?

 

[IckZ]

Den cronjob konnte ich noch nicht testen, ich habe dummerweise genau um 00.00 getestet und mir mehrere Mails zukommen lassen und da hab ich den Überblick verloren, ob eine automatische dabei war.
Ich wollte heute Abend den Server eh mal neu aufsetzen und mich mal mit Debian auseinander setzen. Dann installiere ich srvReport auch nochmal neu. Vielleicht hab ich irgendwo nen Fehler in der config gemacht und finde ihn nicht.

Der http Fehler ist nicht mehr vorhanden, leider werden die vhosts jedoch nicht unterstützt, auch wenn ich den Befehl in die jeweilige vhost httpd schreibe. Außschließlich die 3 Fehler:

[main:317] Error while executing 'ftpserver' Could not open /var/log/xferlog at /********/HttpdReport.pm line 102. (No such file or directory)
[main:317] Error while executing 'ftplogs' Could not open /var/log/xferlog at /********/LogReport.pm line 99. (No such file or directory)
[main:317] Error while executing 'postfix' Could not open /var/log/mail at /********/PostfixReport.pm line 159. (No such file or directory)

sind noch da. Natürlich sollten die Einträge in der Config stimmen, aber vielleicht werde ich eines besseren belehrt, wenn ich das System neu aufsetze.

Ist awstats eigentlich vergleichbar gut?

Gruß

 

[Mordor]

Mit awstat hab ich noch nicht gearbeitet. Da müsste sich jemand anderes mal dazu auslassen.

Wenn du das System eh neu aufsetzt, stellt sich vieleicht der Fehler von ganz alleine ein, bzw. man findet ihn eher.