Proxy Mißbrauch ??

Alles, was den Apache betrifft, kann hier besprochen werden.

Proxy Mißbrauch ??

Postby Vössli » 28. October 2005 11:23

Hallo zusammen
Ich habe ein paar ungeklärte Fragen zum Bereich Log-files.
Wie kommt es daß eine Get Anfrage sich auf eine Datei bezieht, die nicht auf meinem Server liegt:
GET http://218.150.110.122/index.htm HTTP/1.0 404 290 - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
sogar: GET http://www.ebay.com/ :evil:

218.150.110.122 ist nicht meine Adresse, ich dachte man kann nur Dataien anfordern, die auch tatsächlich auf meinem Server liegen.

Ich hätte da den Verdacht, daß irgendjemand meinen Server als Proxy mißbraucht. Wenn ja, kann ich das unterbinden?

Gruß
Voslli
Vössli
 
Posts: 18
Joined: 26. July 2005 15:03

Postby Wiedmann » 28. October 2005 11:28

ich dachte man kann nur Dataien anfordern, die auch tatsächlich auf meinem Server liegen.

Anfordern kann man alles. Ob man es auch bekommt ist wieder was anderes... ;-)

GET http://218.150.110.122/index.htm HTTP/1.0 404 290 - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

Und das 404 zeigt dir ja das er nichts bekommen hat.

Ich hätte da den Verdacht, daß irgendjemand meinen Server als Proxy mißbraucht.

Zumindest hat's einer versucht.

Wenn ja, kann ich das unterbinden?

Aktivier keinen Proxy, häng deinen Server nicht ans Internet, usw. Je nachdem was du unterbinden willst.

Und les dich in der Apache Doku ein, was die Logeinträge bedeuten.
Wiedmann
AF Moderator
 
Posts: 17102
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany

Postby deepsurfer » 28. October 2005 11:37

Wenn du DSL / ISDN benutzt wo du bei jeden neu Login eine andere IP erhältst ist es im normal fall so, das derjenige der Sekunden (sogar im im minuten bereich) vorher mit dieser IP unterwges war, etwas gemacht hatte.

Jetzt hast du die IP und nun kommt aus heiterem Himmel die Elektronische Antwort vom jemand anders.

der gegencheck der IP besagt das es aus Korea kommt:
[ ISP Organization Information ]
Org Name : Korea Telecom
Service Name : KORNET
Org Address : 206, Jungja-dong, Bundang-gu, Sungnam-ci

Taucht denn diese IP 218.150.x.x öfters bei dir auf ?
chirio Deep
Wie sagte einst der MCP aus Tron auf dem Bildschirm zu schreiben Pflegte
" ... end of communication ... "
User avatar
deepsurfer
AF Moderator
 
Posts: 6440
Joined: 23. November 2004 10:44
Location: Cologne
Operating System: Win-XP / Win7 / Linux -Debian

Postby Vössli » 28. October 2005 12:14

Aktivier keinen Proxy, häng deinen Server nicht ans Internet, usw. Je nachdem was du unterbinden willst.

Also ich habe Plesk als Admin Tool und einen Root-zugriff. Proxies hab ich da nicht eingestellt. Die Ausgangskonfiguration ist dann wohl so, daß kein Proxie geschaltet ist, nehm ich mal an. (hoffentlich)
Der Server ist natürlich am Internet, soll er ja auch, gemietet bei Strato. :D
Vössli
 
Posts: 18
Joined: 26. July 2005 15:03

Postby Vössli » 28. October 2005 12:25

deepsurfer wrote:Jetzt hast du die IP und nun kommt aus heiterem Himmel die Elektronische Antwort vom jemand anders.

Mit anderen Worten, ein Koreaner nimmt meine IP als Proxy?
Daß 218.150.x.x vor dem GET steht sagt mir aber doch, daß diese Adresse die Ziel IP (oder Server IP) ist und nicht die Ip des Clients ist :?:
Ingesamt hab ich nur 2 Einträge von dieser Adresse und einige andere mit dem gleichen Muster: GET andereIP HTTP 1.0 ...ect.
Vössli
 
Posts: 18
Joined: 26. July 2005 15:03

Postby Vössli » 28. October 2005 12:51

deepsurfer wrote:Taucht denn diese IP 218.150.x.x öfters bei dir auf ?


Ich seh gerade daß die Ip fast identisch mit der augerufenen Adresse ist; 218.150.y.y

Nochmal ein Frage zu den Logs. Ich habe viele von solchen Einträgen:

.. POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1 404 323 - -
und darauf folgend:
.. SEARCH /\x90\x04H\x04H\x04H\x04H\x04H\x04H\x90\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x0
4H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x
04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04 ................ect.

Außerdem taucht hier und dann der Hinweis "HEAD" auf
... HEAD /02.GIF HTTP/1.1 200 ...


Sind das eventuell relevante Informationen?
Vössli
 
Posts: 18
Joined: 26. July 2005 15:03

Postby Wiedmann » 28. October 2005 13:32

Wieviel Threads brauchst du noch zu einem Thema?

Nochmal ein Frage zu den Logs. Ich habe viele von solchen Einträgen:

Auch dazu findet sich schon was im Forum... Letztendlich sind das versuchte "Angriffe" auf einen IIS.

Mit einem HEAD - Request überprüft ein Browser wie aktuell die Datei auf dem Server ist. --> Doku zu HTTP lesen.
Wiedmann
AF Moderator
 
Posts: 17102
Joined: 01. February 2004 12:38
Location: Stuttgart / Germany


Return to Apache

Who is online

Users browsing this forum: No registered users and 34 guests