# Apache access.log Einträge



## hury (13. August 2009)

Hallo,

ich habe oft seltsame Einträge im access.log :

188.128.19.222 - - [13/Aug/2009:13:31:58 +0200] "\xc4\xfdb]2\xd1\x83\xb3f\xce\xff\x1a9F\xfe8\xeb" 501 1034

oder 

88.80.7.248 - - [12/Aug/2009:20:38:00 +0200] "GET http://spam-chaos.com/pp/set-cookie.php HTTP/1.1" 404 1105

Was haben die zu bedeuten? Normallerweise sieht man ja dort die lokal angeforderten Seiten.

Danke!


----------



## Dr Dau (13. August 2009)

Hallo!

Der 1. Eintrag sieht mir nach einem Angriffsversuch auf eine mögliche Sicherheitslücke im Webserver aus.
Der Statuscode 501 besagt dass Dein Server nichts mir der Anfrage anfagen kann.

Der 2. Eintrag besagt dass gezielt eine bestimmte Datei in einem bestimmten Verzeichins aufgerufen wurde.
Die Gründe können verschieden sein.
Wenn man z.B. eine dynamische IP hat, kommt sowas zwangsweise immer wieder vor. 
Es könnte aber auch sein dass in einer bestimmten Anwendung versucht wurde eine mögliche Sicherheitslücke gezielt auszunutzen  (z.B. bei einer Forensoftware, von der Sicherheitslücken bekannt sind).
Der Statuscode 404 besagt dass die Datei/das Verzeichnis nicht existiert.

Gruss Dr Dau


----------



## hury (13. August 2009)

Hallo,

vielen Dank!
Stimmt, wo du es jetzt sagst - das Erste sieht nach einem Buffer-Overflow-Versuch aus.

Der Apache läuft bei mir lokal über eine dynamische IP / dyndns.

Es ist erstaunlich, wie viele Angriffe kommen, obwohl auf dem Server nichts außer meiner Entwicklungsumgebung läuft und dieser auch nicht bekannt ist (sein sollte)

Grüße
Alex


----------



## Dr Dau (13. August 2009)

Ich bin auch immer wieder erstaunt darüber wie viele es versuchen den IIS auf meinem Linux Server zu attackieren. 

Bei DynDNS kann es halt passieren dass die IP vorher einem anderen Server zugeordnet war.
Wenn die neue IP nicht sofort der Domain zugeordnet wird (bei mir dauert es 10 Min.), dann kann da schonmal etwas durcheinander gewürfelt werden.


----------



## fred08151 (8. September 2009)

Hi,
Habe auch solche Einträge, aber ob das Hackversuche sind bin ich mir nicht sicher.
Die IP scheint sich ja auch nicht zu ändern und der Server gibt ja 404 aus.
Möglicherweise ist das nur ein Fehler von spam-chaos.com
Besitzer ist eine OLGA LARIONOVA

Habs gelöst mit .htaccess:
order deny,allow
deny from 88.80.7.248
allow from all

88.80.7.248 - - [06/Sep/2009:14:52:18 +0200] "GET http://88.80.7.248/pp/anp.php?a=S\JRTH@GDZCQD&b=1155&c=9be9 HTTP/1.1" 404 1132
88.80.7.248 - - [06/Sep/2009:15:45:01 +0200] "GET http://spam-chaos.com/pp/set-cookie.php HTTP/1.1" 404 1135
88.80.7.248 - - [06/Sep/2009:17:45:33 +0200] "GET http://spam-chaos.com/pp/set-cookie.php HTTP/1.1" 404 1135
88.80.7.248 - - [06/Sep/2009:19:46:10 +0200] "GET http://spam-chaos.com/pp/set-cookie.php HTTP/1.1" 404 1135
88.80.7.248 - - [06/Sep/2009:21:56:39 +0200] "GET http://spam-chaos.com/pp/set-cookie.php HTTP/1.1" 404 1135
88.80.7.248 - - [06/Sep/2009:23:59:38 +0200] "GET http://spam-chaos.com/pp/set-cookie.php HTTP/1.1" 404 1135
88.80.7.248 - - [07/Sep/2009:02:00:12 +0200] "GET http://spam-chaos.com/pp/set-cookie.php HTTP/1.1" 404 1135
88.80.7.248 - - [07/Sep/2009:03:59:18 +0200] "GET http://spam-chaos.com/pp/set-cookie.php HTTP/1.1" 404 1135
88.80.7.248 - - [07/Sep/2009:05:56:54 +0200] "GET http://spam-chaos.com/pp/set-cookie.php HTTP/1.1" 404 1135
88.80.7.248 - - [07/Sep/2009:07:54:01 +0200] "GET http://spam-chaos.com/pp/set-cookie.php HTTP/1.1" 404 1135
88.80.7.248 - - [07/Sep/2009:09:53:59 +0200] "GET http://spam-chaos.com/pp/set-cookie.php HTTP/1.1" 404 1135
88.80.7.248 - - [07/Sep/2009:11:51:44 +0200] "GET http://spam-chaos.com/pp/set-cookie.php HTTP/1.1" 404 1135
88.80.7.248 - - [07/Sep/2009:13:58:51 +0200] "GET http://spam-chaos.com/pp/set-cookie.php HTTP/1.1" 404 1135
88.80.7.248 - - [07/Sep/2009:16:00:00 +0200] "GET http://spam-chaos.com/pp/set-cookie.php HTTP/1.1" 404 1135
88.80.7.248 - - [07/Sep/2009:17:56:38 +0200] "GET http://spam-chaos.com/pp/set-cookie.php HTTP/1.1" 404 1135
88.80.7.248 - - [07/Sep/2009:19:48:29 +0200] "GET http://spam-chaos.com/pp/set-cookie.php HTTP/1.1" 404 1135
88.80.7.248 - - [07/Sep/2009:21:42:58 +0200] "GET http://spam-chaos.com/pp/set-cookie.php HTTP/1.1" 404 1135
88.80.7.248 - - [07/Sep/2009:23:38:41 +0200] "GET http://spam-chaos.com/pp/set-cookie.php HTTP/1.1" 404 1135
88.80.7.248 - - [08/Sep/2009:01:37:42 +0200] "GET http://spam-chaos.com/pp/set-cookie.php HTTP/1.1" 404 1135
88.80.7.248 - - [08/Sep/2009:03:41:16 +0200] "GET http://spam-chaos.com/pp/set-cookie.php HTTP/1.1" 404 1135
88.80.7.248 - - [08/Sep/2009:05:44:11 +0200] "GET http://spam-chaos.com/pp/set-cookie.php HTTP/1.1" 404 1135
88.80.7.248 - - [08/Sep/2009:07:49:17 +0200] "GET http://spam-chaos.com/pp/set-cookie.php HTTP/1.1" 404 1135
88.80.7.248 - - [08/Sep/2009:10:07:52 +0200] "GET http://spam-chaos.com/pp/set-cookie.php HTTP/1.1" 404 1135


----------

