Was ist passiert?

O

Ogad

New Member
access.log Auszug:
Code: 
87.230.... - - [18/Jul/2008:04:16:19 +0000] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 305 "-" "-"
81.88..... - - [18/Jul/2008:07:58:33 +0000] "GET http://www.intel.com/ HTTP/1.1" 302 299 "-" "Mozilla/4.0 (compatible; MSIE 4.01; Windows 98)"
124.217.... - - [18/Jul/2008:10:58:42 +0000] "POST http://www.ocnar.com/cgi-bin/textenv.pl HTTP/1.1" 404 294 "-" "-"
124.217.... - - [18/Jul/2008:10:58:42 +0000] "POST http://www.ocnar.com/cgi-bin/textenv.pl HTTP/1.1" 404 294 "-" "-"
81.88..... - - [18/Jul/2008:13:35:07 +0000] "CONNECT 64.12.161.185:443 HTTP/1.0" 302 304 "-" "-"

Das sagt mir absolut nichts. Eine mögliche Vermutung von mir wäre: dFind Scan, textenv.pl Script(Was auch immer das ist) installiert.

Was ist passiert?

Danke,
Gruß,
Ogad :)
 
Last edited by a moderator:
Das sind die üblichen Angriffsversuche, die täglich stattfinden. Normalerweise sind sie harmlos und werden vom Webserver mit einer Fehlermeldung (Code 3xx, 4xx) quittiert. Du solltest Deine Logfiles regelmäßig überprüfen und schauen, wo solche Anfragen erfolgreich (Code 2xx) verarbeitet wurden. Das kann dann u.U. auf einen Schwachstelle hinweisen.
 
Hallo,

OK, und was heisst das jetzt in meinem konkreten Fall?
Da ja in dem von mir zitiertem Ausschnitt auch 2xx Codes drin waren, heisst das jetzt fuer mich, das der Angriff geglueckt ist? (Ist ein standard Apache, ohne irgendwelche Mods etc., so wie er vom Hoster geliefert wurde).

Gruesse,
Ogad (der gerade mit Sonnenbrand auf einer englischen Tastatur tippt) :)
 
Wahrscheinlich nur mit der Länge verwechselt. :)

Also Ogad, in den fuenf von dir zitierten Zeilen wurde keine Anfrage laut Log ausgefuehrt.
 
Hallo,
Wo ist denn da bitte ein 2xx Code zu finden?
Click to expand...


Code: 
81.88..... - - [18/Jul/2008:07:58:33 +0000] "GET http://www.intel.com/ HTTP/1.1" 302 [B]299[/B] "-" "Mozilla/4.0 (compatible; MSIE 4.01; Windows 98)"
124.217.... - - [18/Jul/2008:10:58:42 +0000] "POST http://www.ocnar.com/cgi-bin/textenv.pl HTTP/1.1" 404 [B]294[/B] "-" "-"
124.217.... - - [18/Jul/2008:10:58:42 +0000] "POST http://www.ocnar.com/cgi-bin/textenv.pl HTTP/1.1" 404 [B]294[/B] "-"

da?

Grüße,
Ogad (der nun wohlgebräunt auf einer deutschen Tastatur schreibt) :)
 
Ogad said:
da?
Click to expand...
Hast du mal die Beiträge oben drüber gelesen? Da steht die Antwort nämlich schon.
Nein, da sind keine 2xx HTTP Status Codes.

Das was du als 2xx Code anschaust, ist kein Code sondern die Größe der Daten (in Byte) welche an den Client gesendet wurden.

Edit: Hach, da war mal wieder jemand schneller, tztztz. :)
 
Das was du als 2xx Code anschaust, ist kein Code sondern die Größe der Daten (in Byte) welche an den Client gesendet wurden.
Click to expand...

Das ist nur die Laenge.
Der Antwortcode steht davor.
Click to expand...

Danke! Hach, ich könnte euch alle knuddeln :D

Gruß,
Ogadchen
 
You must log in or register to reply here.
Back
Top