Hilfe bei Auswertung von Logdatei..

Alles, was den Apache betrifft, kann hier besprochen werden.

Hilfe bei Auswertung von Logdatei..

Postby schnacker » 17. April 2009 19:25

Hallo,

ich habe folgendes Problem, meine Domaine ist einem "Schädling" zum Opfer gefahlen, durch einen Automatismus werden ständig Seitenzugriffe produziert. ca 250 pro Stunde das 24h am Tag. Es versucht ungemein viel Traffic.. Ich habe ein Vserver mit Suse 10.3 und Apache2.. Ich poste einige Auszüge aus meiner access_log vielleicht kann mir jemand sagen was das ist..
Ich habe bis jetzt folgendes Unternommen...
Vserver neuinstalliert und die domain nur eingerichtet, noch nicht die Seite hochgeladen. Trotzdem wird traffic über diese Domain verursacht..
Auszüge:

Hier war die Seite noch online, auffällig immer die IP und die uhrzeit..
Die Zugriffe kommen alle drei Minuten, immer verschiede IP..

94.23.8.157 - - [14/Apr/2009:15:50:07 +0200] "GET /modules.php?name=Your_Account HTTP/1.1" 404 1058 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
94.23.8.157 - - [14/Apr/2009:15:50:07 +0200] "POST /modules.php?name=Your_Account HTTP/1.1" 404 1257 "http://www.fsv-kemnitz.de/modules.php?name=Your_Account" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
94.23.8.157 - - [14/Apr/2009:15:50:07 +0200] "GET /modules.php?name=News&file=article&sid=163 HTTP/1.1" 404 1257 "http://www.fsv-kemnitz.de/modules.php?name=Your_Account" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
94.23.8.157 - - [14/Apr/2009:15:50:07 +0200] "POST /modules.php?name=News&file=comments HTTP/1.1" 404 1283 "http://www.fsv-kemnitz.de/modules.php?name=News&file=article&sid=163" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
94.23.8.157 - - [14/Apr/2009:15:50:07 +0200] "GET /modules.php?name=News&file=article&sid=163 HTTP/1.1" 404 1058 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

Hier das selbe:

94.23.8.150 - - [14/Apr/2009:15:56:09 +0200] "GET /modules.php?name=Your_Account HTTP/1.1" 404 1058 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
94.23.8.150 - - [14/Apr/2009:15:56:09 +0200] "POST /modules.php?name=Your_Account HTTP/1.1" 404 1257 "http://www.fsv-kemnitz.de/modules.php?name=Your_Account" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
94.23.8.150 - - [14/Apr/2009:15:56:09 +0200] "GET /modules.php?name=News&file=article&sid=73 HTTP/1.1" 404 1257 "http://www.fsv-kemnitz.de/modules.php?name=Your_Account" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
94.23.8.150 - - [14/Apr/2009:15:56:09 +0200] "POST /modules.php?name=News&file=comments HTTP/1.1" 404 1281 "http://www.fsv-kemnitz.de/modules.php?name=News&file=article&sid=73" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
94.23.8.150 - - [14/Apr/2009:15:56:09 +0200] "GET /modules.php?name=News&file=article&sid=73 HTTP/1.1" 404 1058 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"


Das sind so die letzten Einträge ohne Seite:

69.42.62.106 - - [17/Apr/2009:18:45:32 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 302 "-" "-"
89.19.28.219 - - [17/Apr/2009:18:46:36 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 302 "-" "-"
69.42.62.106 - - [17/Apr/2009:18:51:51 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 302 "-" "-"
89.19.28.219 - - [17/Apr/2009:19:00:21 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 302 "-" "-"
87.106.206.169 - - [17/Apr/2009:19:11:00 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 302 "-" "-"
89.19.28.219 - - [17/Apr/2009:19:13:24 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 302 "-" "-"
87.106.206.169 - - [17/Apr/2009:19:18:06 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 302 "-" "-"
85.14.216.250 - - [17/Apr/2009:19:23:05 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 302 "-" "-"
69.42.62.106 - - [17/Apr/2009:19:26:00 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 302 "-" "-"
89.19.28.219 - - [17/Apr/2009:19:27:17 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 302 "-" "-"
85.14.216.250 - - [17/Apr/2009:19:29:23 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 302 "-" "-"
69.42.62.106 - - [17/Apr/2009:19:32:21 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 302 "-" "-"
69.42.62.106 - - [17/Apr/2009:20:07:20 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 302 "-" "-"
89.19.28.219 - - [17/Apr/2009:20:11:36 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 302 "-" "-"
69.42.62.106 - - [17/Apr/2009:20:13:38 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 302 "-" "-"


Ich bin um jede Hilfe Dankbar!

Mit freundlichen grüßen

Christian
schnacker
 
Posts: 2
Joined: 17. April 2009 19:14

Re: Hilfe bei Auswertung von Logdatei..

Postby Wiedmann » 17. April 2009 20:00

Ich bin um jede Hilfe Dankbar!

Wie willst du verhindern, dass irgendjemand irgendwelche URIs auf deinem Server aufruft?
Wiedmann
AF Moderator
 
Posts: 17102
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Re: Hilfe bei Auswertung von Logdatei..

Postby schnacker » 17. April 2009 20:32

In dem ich erstmal herausfinde was es genau ist, es kommt immer so regelmäßig, dass es keine Person sein kann. Es ist ein Programm, aber was will das erreichen? bzw. was könnte es sein? bringt es was die Domain komplett zu löschen und einfach Abzuwarten? IP Blocken bringt auch nichts sie ändert sich leider immer.. Ich bin bestimmt nicht der einzige mit dem Problem, vielleicht hat jemand schonmal was davon gehört..
schnacker
 
Posts: 2
Joined: 17. April 2009 19:14

Re: Hilfe bei Auswertung von Logdatei..

Postby Wiedmann » 17. April 2009 21:00

In dem ich erstmal herausfinde was es genau ist,

Na simple GET/POST Requests halt.
a) Da will einer/etwas die Datei "modules.php" aufrufen, und bekommt eine simple "nicht gefunden" Meldung zurück.

b) der Request ist einfach fehlerhaft und bekommt ein noch simpleres "falsche Anfrage" zurück.

Wirklich machen kannst du dagegen nichts (nicht viel). Gerade im 2. Fall hast du ja das selbe in grün auch im "error.log". Die Aufgabe eines Webservers ist halt http requests anzunehmen.
Wiedmann
AF Moderator
 
Posts: 17102
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany


Return to Apache

Who is online

Users browsing this forum: itnant and 215 guests