Komische Apache 2 log Einträge

[ViktorII]

Hallo zusammen

ich habe seit einiger Zeit Apache 2 unter Suse 9.1 laufen.
Nun habe ich einige komische Eintäge in der log Datei gesehen:

218.150.163.30 - - [01/Oct/2004:14:38:52 +0200] "GET http://umsky.com/sproxy.php HTTP/1.0" 404 1041 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
217.124.27.132 - - [01/Oct/2004:14:54:17 +0200] "GET /.hash=87cb0b68cd5b2b226fc66daff294b2a4e7108802 HTTP/1.1" 404 1047 "-" "-"

Wenn man die obere IP mal im Browser eingibt kommt man auf eine Seite mit ein paar ostasiatischen Zeichen. Bei der zweiten IP passiert nichts.
Was bedeuten diese Eintäge und was hat es mit http://umsky.com/sproxy.php auf sich?

Vielen Dank
Viktor

 

[ViktorII]

Sind noch ein paar dazu gekommen:

4.60.20.115 - - [02/Oct/2004:09:51:14 +0200] "OPTIONS / HTTP/1.1" 200 - "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
217.238.237.66 - - [02/Oct/2004:18:33:30 +0200] "OPTIONS / HTTP/1.1" 200 - "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
217.238.152.19 - - [03/Oct/2004:12:26:14 +0200] "OPTIONS / HTTP/1.1" 200 - "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
217.238.152.19 - - [03/Oct/2004:12:37:42 +0200] "OPTIONS / HTTP/1.1" 200 - "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
217.238.152.19 - - [03/Oct/2004:15:10:47 +0200] "OPTIONS / HTTP/1.1" 200 - "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
217.238.242.180 - - [03/Oct/2004:18:18:36 +0200] "OPTIONS / HTTP/1.1" 200 - "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
217.238.185.95 - - [03/Oct/2004:21:14:34 +0200] "OPTIONS / HTTP/1.1" 200 - "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"

Habe 'Microsoft-WebDAV-MiniRedir/5.1.2600' zwar mit Google in vielen Statistiken gefunden, aber niergends eine Erlärung was das ist.

 

[Dr. Glastonbury]

Tut mir leid, ich kann auch nicht zur Lösung beitragen - vielmehr hab ich dasselbe lästige Problem!

Bei mir kommen auch zu Haufen immer Nachts zwischen 1Uhr und 6Uhr in der Früh Logeinträge, wie diese hier:

211.90.241.110 - - [03/Mar/2006:01:13:06 +0100] "GET http://sun.sunok.org:80/prx.php HTTP/1.1" 200 627 "http://www.liftseek.com/onesearch/index.php" "Mozilla/4.0 (compatible; MSIE 5.01; Windows 98)"
211.90.241.110 - - [03/Mar/2006:01:28:08 +0100] "GET http://sun.sunok.org:80/prx.php HTTP/1.1" 200 627 "http://www.searchresouce.com/search/index.php" "Mozilla/4.0 (compatible; MSIE 5.0; Windows NT 5.0)"
211.90.241.110 - - [03/Mar/2006:01:28:13 +0100] "GET http://sun.sunok.org:80/prx.php HTTP/1.1" 200 627 "http://searchresouce.com/gig/index.php" "Mozilla/4.0 (compatible; MSIE 5.5; AOL 6.0; Windows 98; Hotbar 2.0)"

Wie auch schon beim Threadersteller führt das ganze auf dubiose asiatische Seiten.

Habe jetzt mal versucht mit einer .htaccess das Errordokument für 627 festzulegen, nachdem dieser Code (was auch immer er bedeutet) immer noch hinter der 200 steht.

Bitte erklärt das doch mal irgend n Guru, was das für eine Bewandnis mit diesen Einträgen hat.

 

[nbkr]

Das Problem ist auch mir unbekannt. Hier meine Vermutung.

Das GET http:// ist das was der Client an den Server schickt (also quasi die Anforderung vom Client an der Server: "Liefere mit die Seite http://sun.sunok.org..."). Normalerweise müsst das was stehen in der Art GET /index.html - also keine http:// irgendwas - schon gar nichts von einem fremden Server.

Ich vermute also es handelt sich um einen Angriffsversuch. Was mich ein wenig stutzig macht ist das der Server von Dr. Glastenbury mit 200 (also "ausgeliefert") antwortet. Hast Du evtl. irgendein PHP Script was 404 Fehler abfängt und vielleicht in eine DB einträgt?

 

[Dr. Glastonbury]

Hallo nbkr,
also ich hab gestern noch ne ganze Weile gebastelt und unter anderem in der error-Log einige Einträge gefunden, die das evtl. erklären könnten.
Und zwar hab ich noch das Proxy-Modul auf diesem Server geladen, was mir eigentlich nur Seiten von weiteren Servern des Netzwerks ausgeben soll (also z.B. die Statistiken des Proxyservers auch über das Internet verfügbar machen).

Und dieses Modul hat auch versucht diese Seiten aufzulösen:

[Thu Mar 02 06:41:08 2006] [error] [client 221.232.94.71] proxy: DNS lookup failure for: vision-search.net returned by http://vision-search.net/index.php?uid=454&REQ=fitness, referer: http://www.vision-search.net/p.php?uid=454
[Thu Mar 02 06:45:08 2006] [error] [client 58.51.149.104] proxy: error reading status line from remote server www.infoseekweb.com, referer: http://www.seapaj.com/cgi-bin/smartsearch.cgi
[Thu Mar 02 06:45:08 2006] [error] [client 58.51.149.104] proxy: Error reading from remote server returned by http://www.infoseekweb.com/index.php?uid=150&REQ=bad%20credit%20auto%20loan, referer: http://www.seapaj.com/cgi-bin/smartsearch.cgi

Anscheindend hat das Proxymodul versucht die Namen jeweils aufzulösen... - wobei mir dann rätselhaft erscheint, warum er dann beim DNS-lookup failed.
Sicherheitshalber habe ich das Modul auch erst mal herausgenommen, bis ich weiß, was da los ist.

Dann hab ich den Defaulthost mal komplett gesperrt (also Deny from all) und dasselbe auch noch für das cgi-bin. Danach kommen jetzt in der access.log immer hüpsche 403 Statuscodes aber in der error.log stehen wieder interessante Einträge:

[Fri Mar 03 06:31:35 2006] [error] [client 211.94.65.156] client denied by server configuration: /var/www/proxy
[Fri Mar 03 06:35:42 2006] [error] [client 211.90.241.110] client denied by server configuration: /var/www/config, referer: http://www.smoothbuy.net/search/index.php
[Fri Mar 03 07:17:49 2006] [error] [client 61.241.71.112] client denied by server configuration: /var/www/prx.php, referer: http://www.smoothbuy.net/search/index.php
[Fri Mar 03 07:18:48 2006] [error] [client 61.241.71.112] client denied by server configuration: /var/www/prx.php, referer: http://find-easy.net/search/index.php
[Fri Mar 03 07:19:40 2006] [error] [client 61.241.71.112] client denied by server configuration: /var/www/prx.php, referer: http://www.allsearchs.com/search/index.php
[Fri Mar 03 08:36:27 2006] [error] [client 219.134.110.100] client denied by server configuration: /var/www/proxygrade.php

Warum konnten die vorher eine PHP-Datei aus meinem /var/www laden, die da nicht existiert und erst jetzt, wo ich den Zugriff komplett gesperrt habe heißt es verweigert?

Die Konfiguration ist jetzt so soweit in Ordnung denke ich, da ich die Domain in einen Vhost geschrieben habe und die Seite jetzt nurnoch über den zur Verfügung steht und nicht mehr über die IP.

Vielen Dank an dieser Stelle schon mal

 

[nbkr]

Ich vermute der 200 Statuscode heißt in dem Fall dann "Ok, habs an das Proxymodul weitergeben". Bei einer bestimmten PHP CGI Konfiguration läuft das ähnlich.