[HaBo]
| Internet Allgemein Flatrates, Webspace, Protokolle und alles rund ums Internet hier rein. |
Fremde URLs in HTTP-Server-Log
Diskussion: Fremde URLs in HTTP-Server-Log im Forum Internet Allgemein, in der Kategorie Web, Network & Multimedia Palace; Hallo, kann mir bitte irgendjemand erklären, was Einträge wie 18:40:25 IP: 60.190.59.240 App: Mozilla/4.0 (compatible; MSIE 4.01; Windows 95) GET ...
 |
15.01.10, 10:46
| #1 (permalink) |
| Registriert seit: 18.03.07  Likes: 0 |  Fremde URLs in HTTP-Server-Log Hallo, kann mir bitte irgendjemand erklären, was Einträge wie 18:40:25 IP: 60.190.59.240 App: Mozilla/4.0 (compatible; MSIE 4.01; Windows 95) GET http://www.sina.com.cn/ oder 23:06:59 IP: 84.201.11.210 App: Mozilla/4.0 (compatible; MSIE 4.01; Windows 95) GET http://www.login.indiayahoo.com/ in meiner Server-Log zu suchen haben? Ich hoste aussschließlich meine Homepage (die natürlich eine feste Adresse hat) auf meinem PC. Die Adressauflösung übernimmt DynDns. Greets Geändert von freefall (15.01.10 um 10:47 Uhr) Grund: Auto-url-Tags entfernt |
|  |
|
15.01.10, 12:03
| #2 (permalink) |
| Senior Member Registriert seit: 26.03.06  Likes: 12 | Hi, wie dir da reinkommen kann ich dir zeigen: Code: mathias@mini:~$ telnet www 80 Trying 10.0.0.31... Connected to www.mathias-ewald.invalid. Escape character is '^]'. GET http://www.google.de <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN"> <html> <head> <title>Index of /</title> </head> <body> <h1>Index of /</h1> <table><tr><th><img src="/icons/blank.gif" alt="[ICO]"></th><th><a href="?C=N;O=D">Name</a></th><th><a href="?C=M;O=A">Last modified</a></th><th><a href="?C=S;O=A">Size</a></th><th><a href="?C=D;O=A">Description</a></th></tr><tr><th colspan="5"><hr></th></tr> <tr><td valign="top"><img src="/icons/folder.gif" alt="[DIR]"></td><td><a href="drupal-6.14/">drupal-6.14/</a></td><td align="right">26-Dec-2007 09:46 </td><td align="right"> - </td></tr> <tr><td valign="top"><img src="/icons/unknown.gif" alt="[ ]"></td><td><a href="esx-02.ks">esx-02.ks</a></td><td align="right">09-Dec-2009 18:32 </td><td align="right">1.5K</td></tr> <tr><td valign="top"><img src="/icons/unknown.gif" alt="[ ]"></td><td><a href="esx-03.ks">esx-03.ks</a></td><td align="right">09-Dec-2009 18:35 </td><td align="right">1.5K</td></tr> <tr><td valign="top"><img src="/icons/folder.gif" alt="[DIR]"></td><td><a href="esx40/">esx40/</a></td><td align="right">09-Dec-2009 17:15 </td><td align="right"> - </td></tr> <tr><th colspan="5"><hr></th></tr> </table> <address>Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny4 with Suhosin-Patch Server at www.google.de Port 80</address> </body></html> Connection closed by foreign host. mathias@mini:~$ ssh mathias@www tail -n 10 /var/log/apache2/access.log tail: cannot open `/var/log/apache2/access.log' for reading: Permission denied mathias@mini:~$ ssh root@www tail -n 10 /var/log/apache2/access.log root@www's password: 127.0.1.1 - - [15/Jan/2010:05:00:01 +0100] "GET /drupal-6.14/cron.php HTTP/1.0" 200 - "-" "Wget/1.11.4" 127.0.1.1 - - [15/Jan/2010:06:00:01 +0100] "GET /drupal-6.14/cron.php HTTP/1.0" 200 - "-" "Wget/1.11.4" 127.0.1.1 - - [15/Jan/2010:07:00:01 +0100] "GET /drupal-6.14/cron.php HTTP/1.0" 200 - "-" "Wget/1.11.4" 127.0.1.1 - - [15/Jan/2010:08:00:01 +0100] "GET /drupal-6.14/cron.php HTTP/1.0" 200 - "-" "Wget/1.11.4" 127.0.1.1 - - [15/Jan/2010:09:00:01 +0100] "GET /drupal-6.14/cron.php HTTP/1.0" 200 - "-" "Wget/1.11.4" 127.0.1.1 - - [15/Jan/2010:10:00:01 +0100] "GET /drupal-6.14/cron.php HTTP/1.0" 200 - "-" "Wget/1.11.4" 127.0.1.1 - - [15/Jan/2010:11:00:01 +0100] "GET /drupal-6.14/cron.php HTTP/1.0" 200 - "-" "Wget/1.11.4" 10.0.0.248 - - [15/Jan/2010:11:59:30 +0100] "GET http://google.de" 200 1300 "-" "-" 10.0.0.248 - - [15/Jan/2010:11:59:48 +0100] "GET http://www.google.de" 200 1304 "-" "-" 127.0.1.1 - - [15/Jan/2010:12:00:01 +0100] "GET /drupal-6.14/cron.php HTTP/1.0" 200 - "-" "Wget/1.11.4" mathias@mini:~$ |
|
| |
| HaBOT | |
|
|
15.01.10, 14:15
| #3 (permalink) |
| Member of Honour   Registriert seit: 14.09.07  Likes: 60 | die gucken nach ob da nen proxy drauf rennt. zb mit dem apache mod redirect oder so. siehe hier: Code: x2:~# telnet pluto 800
Trying 192.168.112.1...
Connected to pluto.kosmos.
Escape character is '^]'.
GET http://www.google.de/
<!doctype html><html><head><meta http-equiv="content-type" content="text/html; charset=ISO-8859-1"><title>Google</title><script>window.google={kEI:"E2pQS4bKKsn5_AaMiJnLAg",kEXPI:"17259,23303",kCSI:{e:"17259,23303",ei:"E2pQS4bKKsn5_AaMiJnLAg"},kHL:"de",time:function(){return(new Date).getTime()},log:function(b,d,c){var a=new Image,e=google,g=e.lc,f=e.li;a.onerror=(a.onload=(a.onabort=function(){delete g[f]}));g[f]=a;c=c||"/gen_204?atyp=i&ct="+b+"&cad="+d+"&zx="+google.time();a.src=c;e.li=f+1},lc:[],li:0,Toolbelt:{}};
window.google.sn="webhp";window.google.timers={load:{t:{start:(new Date).getTime()}}};try{}catch(u){}window.google.jsrt_kill=1;
var _gjwl=location;function _gjuc(){var e=_gjwl.href.indexOf("#");if(e>=0){var a=_gjwl.href.substring(e);if(a.indexOf("&q=")>0||a.indexOf("#q=")>=0){a=a.substring(1);if(a.indexOf("#")==-1){for(var c=0;c<a.length;){var d=c;if(a.charAt(d)=="&")++d;var b=a.indexOf("&",d);if(b==-1)b=a.length;var f=a.substring(d,b);if(f.indexOf("fp=")==0){a=a.substring(0,c)+a.substring(b,a.length);b=c}else if(f=="cad=h")return 0;c=b}_gjwl.href="/search?"+a+"&cad=h";return 1}}}return 0}function _gjp(){!(window._gjwl.hash&&
window._gjuc())&&setTimeout(_gjp,500)};
window._gjp && _gjp()</script><style>td{line-height:.8em;}.gac_m td{line-height:17px;}form{margin-bottom:20px;}body,td,a,p,.h{font-family:arial,sans-serif}.h{color:#36c;font-size:20px}.q{color:#00c}.ts td{padding:0}.ts{border-collapse:collapse}em{font-weight:bold;font-style:normal}.lst{font:17px arial,sans-serif;margin-bottom:.2em;vertical-align:bottom;}input{font-family:inherit}.lsb,.gac_sb{font-size:15px;height:1.85em!important;margin:.2em;}#gbar{float:left;height:22px}.gbh,.gbd{border-top:1px solid #c9d7f1;font-size:1px}.gbh{height:0;position:absolute;top:24px;width:100%}#gbs,.gbm{background:#fff;left:0;position:absolute;text-align:left;visibility:hidden;z-index:1000}.gbm{border:1px solid;border-color:#c9d7f1 #36c #36c #a2bae7;z-index:1001}#guser{padding-bottom:7px !important;text-align:right}#gbar,#guser{font-size:13px;padding-top:1px !important}.gb1{margin-right:.5em}.gb1,.gb3{zoom:1}.gb2{display:block;padding:.2em .5em}.gb2,.gb3{text-decoration:none}a.gb1,a.gb2,a.gb3,a.gb4{color:#00c !important}a.gb2:hover{background:#36c;color:#fff !important}</style><script>google.y={};google.x=function(e,g){google.y[e.id]=[e,g];return false};window.gbar={qs:function(){},tg:function(e){var o={id:'gbar'};for(i in e)o[i]=e[i];google.x(o,function(){gbar.tg(o)})}};</script></head><body bgcolor=#ffffff text=#000000 link=#0000cc vlink=#551a8b alink=#ff0000 onload="document.f.q.focus();if(document.images)new Image().src='/images/nav_logo7.png'" topmargin=3 marginheight=3><textarea id=csi style=display:none></textarea><div id=ghead><div id=gbar><nobr><b class=gb1>Web</b> <a href="http://images.google.de/imghp?hl=de&tab=wi" onclick=gbar.qs(this) class=gb1>Bilder</a> <a href="http://video.google.de/?hl=de&tab=wv" onclick=gbar.qs(this) class=gb1>Videos</a> <a href="http://maps.google.de/maps?hl=de&tab=wl" onclick=gbar.qs(this) class=gb1>Maps</a> <a href="http://news.google.de/nwshp?hl=de&tab=wn" onclick=gbar.qs(this) class=gb1>News</a> <a href="http://www.google.de/prdhp?hl=de&tab=wf" onclick=gbar.qs(this) class=gb1>Shopping</a> <a href="http://mail.google.com/mail/?hl=de&tab=wm" class=gb1>E-Mail</a> <a href="http://www.google.de/intl/de/options/" onclick="this.blur();gbar.tg(event);return !1" aria-haspopup=true class=gb3><u>Mehr</u> <small>▼</small></a><div class=gbm id=gbi><a href="http://books.google.de/bkshp?hl=de&tab=wp" onclick=gbar.qs(this) class=gb2>B▒cher</a> <a href="http://translate.google.de/?hl=de&tab=wT" onclick=gbar.qs(this) class=gb2>▒bersetzer</a> <a href="http://blogsearch.google.de/?hl=de&tab=wb" onclick=gbar.qs(this) class=gb2>Blogs</a> <div class=gb2><div class=gbd></div></div><a href="http://www.youtube.com/?hl=de&tab=w1&gl=DE" onclick=gbar.qs(this) class=gb2>YouTube</a> <a href="http://www.google.com/calendar/render?hl=de&tab=wc" class=gb2>Kalender</a> <a href="http://picasaweb.google.de/home?hl=de&tab=wq" onclick=gbar.qs(this) class=gb2>Fotos</a> <a href="http://docs.google.com/?hl=de&tab=wo" class=gb2>Text & Tabellen</a> <a href="http://www.google.de/reader/view/?hl=de&tab=wy" class=gb2>Reader</a> <a href="http://sites.google.com/?hl=de&tab=w3" class=gb2>Sites</a> <a href="http://groups.google.de/grphp?hl=de&tab=wg" onclick=gbar.qs(this) class=gb2>Groups</a> <div class=gb2><div class=gbd></div></div><a href="http://www.google.de/intl/de/options/" class=gb2>und noch mehr »</a> </div></nobr></div><div id=guser width=100%><nobr><a href="/url?sa=p&pref=ig&pval=3&q=http://www.google.de/ig%3Fhl%3Dde%26source%3Diglk&usg=AFQjCNFjfPavRPBJrOKJS3MB2uzhpfN6zw" class=gb4>iGoogle</a> | <a href="/preferences?hl=de" class=gb4>Sucheinstellungen</a> | <a href="https://www.google.com/accounts/Login?hl=de&continue=http://www.google.de/" class=gb4>Anmelden</a></nobr></div><div class=gbh style=left:0></div><div class=gbh style=right:0></div></div> <center><br clear=all id=lgpd><img alt="Google" height=110 src="/intl/de_de/images/logo.gif" width=301 id=logo onload="window.lol&&lol()"><br><br><form action="/search" name=f><table cellpadding=0 cellspacing=0><tr valign=top><td width=25%> </td><td align=center nowrap><input name=hl type=hidden value=de><input name=source type=hidden value=hp><input type=hidden name=ie value="ISO-8859-1"><input autocomplete="off" maxlength=2048 name=q size=55 class=lst title="Google-Suche" value=""><br><input name=btnG type=submit value="Google-Suche" class=lsb><input name=btnI type=submit value="Auf gut Gl▒ck!" class=lsb></td><td nowrap width=25% align=left><font size=-2> <a href=/advanced_search?hl=de>Erweiterte Suche</a><br> <a href=/language_tools?hl=de>Sprachtools</a></font></td></tr><tr><td align=center colspan=3><font size=-1><span style="text-align:left">Suche: <input id=all type=radio name=meta value="" checked><label for=all> Das Web </label> <input id=lgr type=radio name=meta value="lr=lang_de"><label for=lgr> Seiten auf Deutsch </label> <input id=cty type=radio name=meta value="cr=countryDE"><label for=cty> Seiten aus Deutschland </label> </span></font></td></tr></table></form><br><span id=footer><center id=fctr><br><font size=-1><a href="/intl/de/ads/">Werben mit Google</a> - <a href="/services/">Unternehmensangebote</a> - <a href="/intl/de/about.html">▒ber Google</a> - <a href="http://www.google.com/ncr">Google.com in English</a></font><p><font size=-2>©2010 - <a href="/intl/de/privacy.html">Datenschutz</a></font></p></center></span> <div id=xjsd></div><div id=xjsi><script>if(google.y)google.y.first=[];if(google.y)google.y.first=[];google.dstr=[];google.rein=[];window.setTimeout(function(){var a=document.createElement("script");a.src="/extern_js/f/CgJkZRICZGUgACswCjhBQB0sKzAOOAssKzAWOBcsKzAXOAUsKzAYOAUsKzAZOA0sKzAlOMmIASwrMCY4CSwrMCc4BCwrMDw4AiwrMEU4ASw/EI9pvcKtsTI.js";(document.getElementById("xjsd")||document.body).appendChild(a);if(google.timers&&google.timers.load.t)google.timers.load.t.xjsls=(new Date).getTime();},0);
;google.neegg=1;google.y.first.push(function(){google.ac.b=true;google.ac.i(document.f,document.f.q,'','')});if(google.j&&google.j.en&&google.j.xi){window.setTimeout(google.j.xi,0);google.fade=null;}</script></div><script>(function(){
function a(){google.timers.load.t.ol=(new Date).getTime();google.report&&google.timers.load.t.xjs&&google.report(google.timers.load,google.kCSI)}if(window.addEventListener)window.addEventListener("load",a,false);else if(window.attachEvent)window.attachEvent("onload",a);google.timers.load.t.prt=(new Date).getTime();
})();
</script>Connection closed by foreign host.
__________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <| 2 AMD Opterons 2384@ 8x3,2ghz | Tyan S2915 | 10GB | 2x 8800GT | 8400GS | Dell 3008WFP + 2x2007FP |> |
|
| |
|
15.01.10, 15:48
| #4 (permalink) |
| Themenstarter Registriert seit: 18.03.07 Likes: 0 | Ah, ergibt Sinn. Danke. Und ja, bei mir kommt das auch einem GET / gleich... |
|
| |
|
11.11.10, 09:48
| #5 (permalink) |
| Registriert seit: 11.11.10 Likes: 0 | Hallo, ich bin gerade auf diesen Eintrag gestoßen, weil ich gerade mit apache experimentiere und bereits nach kürzester Zeit auch fremde urls in der log-Datei stehen habe. Allerdings werden diese bei mit dem Statuscode 200 beantwortet, was mich dazu veranlasst hat apache zunächst nicht weiter laufen zu lassen: 124.160.94.218 - - [11/Nov/2010:06:36:02 +0100] "GET http://www.sina.com.cn/ HTTP/1.1" 200 2300 "-" "Mozilla/4.0 (compatible; MSIE 4.01; Windows 95)" Woran kann das liegen? Es dürfte sich hierbei doch um eine Fehlkonfiguration handeln. Aber mod_proxy* Module sind deaktviert. Kann mir jemand helfen das Problem zu lösen? Danke schon mal! |
|
| |
|
11.11.10, 11:44
| #6 (permalink) |
| Member of Honour Registriert seit: 14.09.07 Likes: 60 | das ist bei mir genauso, wenn ich hier auf meinen localhost nen google.com requeste bekomm ich die standardseite zu gesicht, die auf meinem apache rennt. daher: Code: ::1 - - [11/Nov/2010:11:42:25 +0100] "GET http://google.com" 200 11779 "-" "-" Code: easteregg@t60:~$ telnet localhost 80
Trying ::1...
Connected to localhost.localdomain.
Escape character is '^]'.
GET http://google.com
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
*SNIP*
__________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <| 2 AMD Opterons 2384@ 8x3,2ghz | Tyan S2915 | 10GB | 2x 8800GT | 8400GS | Dell 3008WFP + 2x2007FP |> |
|
| |
|
11.11.10, 12:14
| #7 (permalink) |
| Moderator   Registriert seit: 30.09.06  Likes: 371 | Solche Einträge können aber durchaus auch Hinweise auf XSS-Lücken in einer Webapp sein. Ob man XSS-Lücken in seiner Webapp hat, kann man aber relativ einfach mit Skipfish ermitteln.
__________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+ |
| |
|
11.11.10, 12:20
| #8 (permalink) |
| Member of Honour Registriert seit: 14.09.07 Likes: 60 | inwiefern? ne xss ruft doch direkt aus dem js raus die externe seite auf, da sollte doch der host nich in meinem log auftauchen?
__________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <| 2 AMD Opterons 2384@ 8x3,2ghz | Tyan S2915 | 10GB | 2x 8800GT | 8400GS | Dell 3008WFP + 2x2007FP |> |
|
| |
|
11.11.10, 12:56
| #9 (permalink) |
| Moderator Registriert seit: 30.09.06 Likes: 371 | Ne XSS kann auch über POST- und GET-Requests an den Webserver diesen dazu bewegen, dass er eine URL aufruft und den Inhalt der aufgerufenen Seite irgendwo einbettet. Vorraussetzung ist natürlich, dass dort ein Skript/eine Webapp ist, das solchen Quatsch macht. Mag sein, dass XSS dafür nicht der richtige Begriff ist, ist mir aber nur als "Form von XSS" bekannt. Eine Joomla-Komponente hatte mal vor einiger Zeit eine solche Lücke, auf die ich auch durch seltsame GET-Requests an den Webserver aufmerksam geworden bin. Bin mir aber nicht mehr sicher, ob der Webserver da mit einer 200 oder mit einem 302, wie beim 302-Hijacking, geantwortet hat.
__________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+ |
|
| |
|
11.11.10, 13:59
| #10 (permalink) | |||||
| Registriert seit: 12.08.10 Likes: 22 | Zitat:
Im Ernst: Wovon redest du?  Zitat:
Zitat:
Zitat:
 Zitat:
Micha
__________________ http://www.openvas.org Geändert von mime (11.11.10 um 14:05 Uhr) | |||||
|
| |
|
11.11.10, 15:57
| #11 (permalink) |
| Registriert seit: 11.11.10 Likes: 0 | hallo nochmal, ich glaub ich habs jetzt kapiert: hab einfach mal meinem Browser als proxy den apache Server gegeben und nun tauchen die Requestst genau so auf GET http://www.google.de Trotzdem wird lediglich meine Startseite übertragen und nicht etwa google. Jetzt Frage ich mich ob ich das Verhalten irgendwie verändern kann oder die logs ensprechend anpassen kann, so dass entweder der Aufruf von http://google.de/datei.xyz nich automatisch an /datei.xyz weitergeleitet wird oder zumindest in der Log-Datei dann auch die angeforderte Datei (ohne das "falsche" http://xxx.xx angezeigt) wird. |
|
| |
|
11.11.10, 16:02
| #12 (permalink) |
| Moderator Registriert seit: 30.09.06 Likes: 371 | Du könntest eine Rewrite-Rule definieren, die dafür sorgt, dass alle Aufrufe, die nicht deine Domain betreffen auf einen 403-Error geleitet werden. @mime: Ich versuch das nochmal rauszusuchen. Müsste noch irgendwo in meinem Mailarchiv sein.
__________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+ |
|
| |
|
11.11.10, 16:30
| #13 (permalink) | |
| Registriert seit: 12.08.10 Likes: 22 | Zitat:
HTH Micha
__________________ http://www.openvas.org | |
|
| |
|
| | |
|
|
[HaBo] » Web, Network & Multimedia Palace » Internet Allgemein » Fremde URLs in HTTP-Server-Log
| Themen-Optionen | |
| Ansicht | |
Linear-Darstellung
| |
