Fragwürdige logeinträge

S

sbr2d2

Registered User
Hallo,

ich habe in der datei /var/log/user.log folgende Einträge.

Code: 
Mar 22 13:28:25 servername suhosin[21422]: ALERT - configured GET variable value length limit exceeded - dropped variable 'text' (attacker '173.44.37.226', file '/var/www/vhosts/domain.tld/httpdocs/mainpage/index.php')
Mar 22 14:10:57 servername suhosin[21421]: ALERT - configured GET variable value length limit exceeded - dropped variable 'text' (attacker '96.47.225.178', file '/var/www/vhosts/domain.tld/httpdocs/mainpage/index.php')
Mar 22 14:23:39 servername suhosin[5946]: ALERT - configured GET variable value length limit exceeded - dropped variable 'text' (attacker '96.47.225.170', file '/var/www/vhosts/domain.tld/httpdocs/mainpage/index.php')
Mar 22 14:40:36 servername suhosin[5946]: ALERT - configured GET variable value length limit exceeded - dropped variable 'text' (attacker '173.44.37.234', file '/var/www/vhosts/domain.tld/httpdocs/mainpage/index.php')
Mar 22 15:03:57 servername suhosin[21421]: ALERT - configured GET variable value length limit exceeded - dropped variable 'text' (attacker '68.169.86.222', file '/var/www/vhosts/domain.tld/httpdocs/mainpage/index.php')

Muss ich mir dabei sorgen machen oder zählt das unter Grundrauschen? Für mich sieht es ein wenig nach einem oder mehreren Spambots aus, es sei denn Ihr habt was anderes für mich.

Gruß s.b.
 
Du setzt auf deinem Server unter PHP anscheinend die Erweiterung Suhosin ein, die PHP mehr Sicherheit bringt. Allerdings sind die voreingestellten Limits für einige Scripte recht knapp (habe da selber Probleme im Zusammenhang mit einem Woltlab Burning Board 3.0 beobachtet).
Ohne zusätzlliche Informationen ist es sehr schwer, jetzt zu beurteilen, ob Handlungsbedarf besteht. Hat Suhosin hier was schädliche Zugriffe blockiert oder gewollte? Letztendlich mußt du schauen, ob deine index.php Werte per GET in der Variablen "text" annehmen soll und ob die ggfl. umfangreicher sein dürften - wenn ja, mußt du evtl. Suhosin anders konfigurieren.
 
Die Page die drauf läuft,wurde des öfteren von Spambots heimgesucht.Diese elendigen mit ihren Pharma-links usw...
Ich habe dann alles was man Kommentieren kann nur für Registrierte frei geschaltet.Gäste können somit nichts mehr posten.Zusätzlich habe ich die Register.php entfernt ,da sich dort sowieso keine Unbekannten registrieren sollen.Ich werde mal die access-logs der Domain zu den zeiten durchgehen.


edit: Jop,sind wieder mal Spambots die der meinung sind,die Logs voll zu stopfen.Mal schauen wie ich die ausgesperrt bekomme.
 
Last edited by a moderator:
Auch wenn du jetzt weißt, dass es Bots sind, hat die Länge der GET-Variablen nichts mit dem Status deiner PHP-App bzw. deiner Clients zu tun. Wenn sich z.B. jemand legal angemeldet hat und einen zu langen Text posten will, erhältst du genau die gleiche Fehlermeldung.
 
Wer GET statt POST für grössere Datenmengen verwendet, gehört verprügelt!
Suhosin lässt per Default schon grosszügige 512 Zeichen zu, das reicht für jede vernünftige WebApp.
 
You must log in or register to reply here.
Back
Top