nach update auf apache2 kommt das im access_log.....

Alles, was den Apache betrifft, kann hier besprochen werden.

nach update auf apache2 kommt das im access_log.....

Postby sys » 15. December 2004 18:33

bevor man mich steinigt, ich habe die suche betätigt uind ich habe auch auf apache.org gesucht, leider kann ich das nicht abstellen.

xxx.xxx.xxx.xxx - - [15/Dec/2004:18:14:19 +0100] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\
x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\x
b1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x0
2\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1
\x02\xb1\x02\ u.s.w. u.s.w............

wie bekomme ich das aus meiner access_log.
sys
 
Posts: 14
Joined: 15. December 2004 18:29

Postby Wiedmann » 15. December 2004 18:38

ich habe die suche betätigt

Wirklich?
http://community.apachefriends.org/f/viewtopi ... search+x90

leider kann ich das nicht abstellen.

a) Trenn die Verbindung zum Internet.
oder
b) Lass solche Anfragen nicht loggen.
oder
c) einfach ignorieren
Wiedmann
AF Moderator
 
Posts: 17102
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby sys » 15. December 2004 19:19

zuerst mal danke für die antwort.

den thread habe ich neben den anderen auch gefunden, es steht nur leider nicht dabei, wie man den eintrag wegbekommt. ich weiss wohl auch, dass es sich um windows-angriffe handelt. ich dachte nur, man könne sowas eventuell aus den logfiles filtern.

das problem: der webalizer hängt sich bei den einträgen auf.

.... lass solche anfragen nicht loggen.....


das wäre es, was ich suche (wozu ich nichts in der suche gefunden habe).
sys
 
Posts: 14
Joined: 15. December 2004 18:29

Postby Wiedmann » 15. December 2004 19:30

Das dürfte dich auf den richtigen Weg bringen:
http://community.apachefriends.org/f/viewtopic.php?t=5546
Wiedmann
AF Moderator
 
Posts: 17102
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby sys » 15. December 2004 21:59

danke, der tip war nicht schlecht, habe es aber doch anders gelöst.
ich habe es so gemacht.

in der mod_log_config.conf habe ich mir einen neuen log-nick angelegt der so aussieht:

LogFormat "%h %l %u %t \" \" %>s %b \
\"%{Referer}i\" \"%{User-Agent}i\"" mynewlog


in der /etc/sysconfig/apache2 habe ich den entsprechenden eintrag dann so geändert:

APACHE_ACCESS_LOG="/var/log/apache2/access_log mynewlog"

der unterschied besteht darin, dass ich einfach die erste zeile der anfrage nicht mitlogge, also das %r mit einem abstand ersetzt habe.

statt
LogFormat "%h %l %u %t \"%r\" %>s %b \
\"%{Referer}i\" \"%{User-Agent}i\""

nun
LogFormat "%h %l %u %t \" \" %>s %b \
\"%{Referer}i\" \"%{User-Agent}i\""

die einträge der iie angreifer sehenh nun so aus:
xxx.xxx.xxx.xxx - - [15/Dec/2004:21:54:27 +0100] " " 414 336 "-" "-"

ich habe also die ip derer, die was von mir wollen, aber der ganze datenmüll kommt nicht mehr mit.
mir wäre ja eine art preg_replace() lieber gewesen, aber was soll man machen. vielleicht finde ich ja noch eine lösung....
:roll:
eventuell könnte man sich ja noch ein perl-script bauen, dass solche einträge eleminiert.

jedenfalls danke.
sys
 
Posts: 14
Joined: 15. December 2004 18:29


Return to Apache

Who is online

Users browsing this forum: No registered users and 28 guests