Logfile Verständnissfrage

L

LearningByDoing

Registered User
Mahlzeit allerseits,

da ich ja noch fleißig dabei bin das mir suspekte Linux zu begreifen habe ich einmal eine Frage zum Inhalt meiner Logfiles.

Code: 
83.16.183.194 - - [20/Apr/2006:08:35:54 +0200] "GET /thisdoesnotexistahaha.php HTTP/1.1" 404 1046 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
83.16.183.194 - - [20/Apr/2006:08:35:54 +0200] "GET /horde/services/help/ HTTP/1.1" 404 1046 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
83.16.183.194 - - [20/Apr/2006:08:35:54 +0200] "GET /horde-cvs/horde/services/help/ HTTP/1.1" 404 1046 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
83.16.183.194 - - [20/Apr/2006:08:35:55 +0200] "GET /pub/horde-cvs/horde/services/help/ HTTP/1.1" 404 1046 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
Das ist ein kleiner Auszug aus meiner Accesslog Datei.

Was ist da bitte vor sich gegangen bzw wer hat da auf meinen Server zugegriffen. Ich war zu derzeit weder online noch habe ich hier ihrgendwo win98 in Betrieb. Ich habe eine andere IP und die oben genannten Files und Ordner habe ich nicht auf meinem Server respektive finde sie nicht.

Würde mich freuen wenn man mir das erklären könnte.

so long
learningbydoing (der, der Linux immer noch begreifen will;))
 
Code: 
83.16.183.194 [COLOR="DeepSkyBlue"]-[/COLOR][COLOR="#0000ff"] - [/COLOR][COLOR="Sienna"][20/Apr/2006:08:35:54 +0200][/COLOR] "[COLOR="DarkOliveGreen"]GET[/COLOR] [COLOR="DarkGreen"]/thisdoesnotexistahaha.php[/COLOR] [COLOR="DarkSlateBlue"]HTTP/1.1[/COLOR]" [COLOR="DarkSlateGray"]404[/COLOR] [COLOR="#8b0000"]1046[/COLOR] [COLOR="Red"]"-"[/COLOR] [COLOR="DarkOrange"]"Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"[/COLOR]

83.16.183.194 - IP des Clients
- - Remote logname
- - Remote user
[20/Apr/2006:08:35:54 +0200] - Datum, Uhrzeit des Zugriffs
GET - Methode der Anfrage
/thisdoesnotexistahaha.php - Angefragte Datei/Verzeichnis
HTTP/1.1 - Header Version
404 - Statusreturncode; in diesem Fall wurde die Datei nicht gefunden (404=not found)
1064 - kann ich gerade nicht sagen. Muesste die Groesse der Uebertragung sein.
"-" - Da steht der Referer drin, so es denn einen gibt; in diesem Fall gibt es keinen
"Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)" - Sagt was ueber den Client aus.

[edit] Diese Aufteilung muss nicht immer so sein. Das wird in einer Config Datei (Server Config) festgelegt.

Zum selber nachgucken: http://httpd.apache.org/docs/1.3/mod/mod_log_config.html
Dein Logformat wird irgendwie so aussehen
Code: 
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\""
 
Last edited by a moderator:
Hallo Guin,

ok , soweit hatte ich mir es zusammengereimt, bleibt mir jetzt noch die Frage " Ist das etwas schlimmes?" Muss ich mir sorgen machen oder ist das normal das so etwas in den logs steht? Davon gibt es nämlich jede Menge verschiedene.

Warum will jemand diese Dateien von meinem Server haben?:confused::confused:

so long
 
Das sind meistens automatische Programm, die deinen Server nach lueckenhaften Programmen absuchen.

Solange ein 404 kommt, ist die Anfrage gescheitert.
Ich habe soetwas massenhaft bei "phpmyadmin" (in verschiedensten Versionen).
Da musst du dir keine Sorgen machen. Es sei denn du nutzt Software, die abgefragt wird. In dem Fall muss man sich mal erkundigen, ob die eingesetzte Software aktuell ist und ob sie Sicherheitsloecher hat. (HP des Herstellers, Security Mailinglisten)
 
na prima, dann geht es mir schon etwas besser. Parallel zu den Accesslogs, 404 nicht gefunden, gibt es dann zwangsläufig diese Einträge im Errorlog:
Code: 
[Thu Apr 20 08:35:54 2006] [error] [client 83.16.183.194] script '/srv/www/confixx/html/thisdoesnotexistahaha.php' not found or unable to stat
[Thu Apr 20 08:35:54 2006] [error] [client 83.16.183.194] File does not exist: /srv/www/confixx/html/horde
[Thu Apr 20 08:35:54 2006] [error] [client 83.16.183.194] File does not exist: /srv/www/confixx/html/horde-cvs
[Thu Apr 20 08:35:55 2006] [error] [client 83.16.183.194] File does not exist: /srv/www/confixx/html/pub
Das bestätigt also die 404 aus dem Accesslog und auch hier muss ich mir keine Sorgen machen, puh, dann bin ich erstmal froh.

THX a lot guin, bin schon wieder etwas weiter.

so long
 
So wie es aussieht, greifen die Schnueffelprogramm alle ueber die IP des Servers zu.
Ich habe es bei mir so eingerichtet, dass alle Aufrufe ueber die IP in ein leeres Verzeichnis umgeleitet werden (ganz leer ist es nicht, aber vom Prinziep her egal).

Nehmen wir mal an 85.25.155.999 ist deine Server IP.
Wenn Du die im Browser aufrufst, wirst du wahrscheinlich zum Confixx Login kommen. Bei mir kommt eben nur eine Error Meldung.
Auf diese Weise grieffen die Schnueffler auch ins Leere, wenn sie mal auf gut Glueck ein fehlerhaftes Programm getroffen haetten.

Wie das geht? Kein Geheimnis.. aber das ist eine gute Aufgabe fuer dich, die du selber loesen kannst. Das Ganze ist ja nicht akut.
 
Wie das geht? Kein Geheimnis.. aber das ist eine gute Aufgabe fuer dich
Click to expand...

bor wie gemein;), ne kein Problem auch da werde ich mich reinfuchsen und wenn ich nicht weiter komme dann.....


Danke erstmal soweit, achja, wenn du vieleicht noch 5 min Zeit hättest, kann ich dich mal kurz über ICQ anschreiben? Kurze Frage die hier ot wäre und ein Thread nicht lohnt.

so long
 
kann ich dich mal kurz über ICQ anschreiben?
Click to expand...
Kein Thema, dafuer habe ich meine ICQ eingetragen. Momentan habe ich nur Verbindungsschwierigkeiten mit ICQ.
 
You must log in or register to reply here.
Back
Top