Apache Friends Support Forum

[drfaustus]

91.121.xxx.yyy - - [29/Jul/2008:02:02:53 +0200] "GET /phpmyadmin/index.php HTTP/1.0" 403 318 "-" "-"

Hallo zusammen.

Ich habe vermehrte Einträge wie oben im Apache2 access.log.

Sollte der Fehler 403 nicht nur kommen wenn die Datei vorhanden ist?
Das komplette Verzeichnis phpmyadmin ist nicht vorhanden, sollte dann nicht ein 404 kommen?
Wurde da etwas gehackt?

Vielen Dank für eure Hilfe.

[deepsurfer]

Benutzt du XAMPP ???

Die Fehlermeldung erscheint auch wenn jemand einfach versucht dein URI mit /phpmadmin auf zu rufen.

Lösche mal deinen Browser CACHE, kann sein das dort eine Anfrage immer wieder gestaret wird wenn du deine URI ansurfst und versucht wird dem phpmyadmin ein Passwort zu übergeben daher auch der 403, bedeutet aber auch das Du weiterhinein phpmyadmin im System hast.

Wenn Du XAMPP benutzt so ist es richtig das phpmyadmin nicht innerhalb /htdocs ist, denn der phpmyadmin wird im XAMPP durch einen ALIAS definiert und liegt separat. Aber sobald http://domain/phpmyadmin angesprochen wird weiss der APACHE durch den ALIAS das er diese Anfrage in ein anderen Pfad hervorholen soll.

[drfaustus]

92.48.109.xx - - [03/Aug/2008:17:43:10 +0200] "GET /PMA/main.php HTTP/1.0" 403 311 "-" "-"
92.48.109.xx - - [03/Aug/2008:17:43:10 +0200] "GET /mysql/main.php HTTP/1.0" 403 313 "-" "-"

Ich benutze Apache2 auf einem Linux basierenden System. Aber PhpMyadmin ist nicht installiert. Eventuell war es das mal. Aber in /etc/apache2/sites-enabled/000-default steht nichts dazu drin.

<Directory /var/www/>
Options -Indexes -FollowSymLinks MultiViews
AllowOverride None
Order deny,allow
Deny from all
...

Eventuell hängts damit zusammen?

Danke für deine Unterstützung

[sari42]

... das sieht nach "Hackversuchen" (auf gut Glück) z.B. aus Indien aus, 92.48.109.xx : PoundHost Internet Services / host.co.in

[deepsurfer]

Grep mal nach dieser IP die logs durch, wenn derjenige weiter als diesen Aufruf bei Dir hineingekommen ist (zumindest in bereiche die er nicht sollte)

Dann einfach mal einen DENY auf diese Ip setzen und ruhe ist

Ansonsten ist es normal, gibt tausende SpamBots die Domains abgrasen und alles mögliche testen.

[drfaustus]

https://issues.apache.org/bugzilla/show ... i?id=40301
http://mail-archives.apache.org/mod_mbo ... gzilla/%3E

Habe jetzt noch diesen Bug entdeckt, ob der eventuell was damit zu tun hat?
Die Frage, die sich mir nach wie vor stellt, da ich nicht an einen erfolgreichen Einbruch glaube:
Kann es trotz nicht vorhandenem Verzeichnis zu einem 403er kommen?

[drfaustus]

Zur Info:
Soweit ich in Erfahrung bringen konnte liegt es daran, dass in der Apache Config alle Ip Adressen bis auf einen bestimmten Bereich geblockt werden:
Deny from all
Allow from xxx.xxx.xxx.xxx/28

Und wenn jemand der nicht in der Allow Liste drin steht ein Verzeichnis oder eine Datei requestet die nicht existiert bekommt er einen 403 und keinen 404er. Denn der Apache geht den Weg des geringsten Aufwands und sieht dass er keine Berechtigung hat, egal ob das Verzeichnis existiert oder nicht. Somit greift er erst gar nicht auf das Filesystem zu und wirft einen Access denied -403- zurück.

Hoffe das war soweit verständlich
Danke für eure Infos.