[erledigt] Apache-Log verstehen: Hilfe benötigt

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
Benutzeravatar
GregorS
Beiträge: 2518
Registriert: 05.06.2008 09:36:37
Wohnort: Freiburg
Kontaktdaten:

[erledigt] Apache-Log verstehen: Hilfe benötigt

Beitrag von GregorS » 12.03.2023 17:29:04

Schönen Sonntag allerseits!

Vorweg: Vor ziemlich langer Zeit (bis etwa '03) hatte ich das Vergnügen, eine 30-köpfige Firma mit geminschtem Netz als festangestellter IT-Fuzzi zu betreuen. Damals habe ich abgesehen von seltenen Lötereien sowohl Web- als auch Mailserver des Ladens betreut. Das Lesen von Logfiles und Sicherheits-Mailinglisten ist mir also nicht fremd.

Seit ein paar Tagen habe ich zunächst „just for fun“ einen mit aktuellem Debian verseuchten Mac Mini per DynDNS im Netz verfügbar gemacht. Seither lasse ich dessen Apache-Access- und -Error-Log auf einem virtuellen Desktop in einem xterm laufen. Um den Zugriff von außen zu testen, habe ich gestern vom PC eines Bekannten aus einmal die betreffende Adresse aufgerufen und jetzt nachgesehen, wie dieser Aufruf im access-Log aussieht:

Code: Alles auswählen

193.32.162.159 - - [11/Mar/2023:22:45:32 +0100] "GET / HTTP/1.1" 200 1829 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36 Edg/90.0.818.46"
193.32.162.159 - - [11/Mar/2023:22:45:37 +0100] "GET /dispatch.asp HTTP/1.1" 404 493 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36 Edg/90.0.818.46"
Die erste Zeile ist klar. Was mich wundert ist die zweite Zeile: Wieso wird 5 Sekunden später „/dispatch.asp“ aufgerufen? Ist das irgendein neumodischer Kram?

Erhellende Hinweise sind sehr willkommen!

TIA

Gregor
Zuletzt geändert von GregorS am 13.03.2023 13:50:37, insgesamt 1-mal geändert.
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi [und sog. Maker])

Benutzeravatar
oln
Beiträge: 483
Registriert: 05.01.2021 09:41:24

Re: Apache-Log verstehen: Hilfe benötigt

Beitrag von oln » 13.03.2023 08:18:26

Moin,
der 404 sollte klar sein. Du greifts mit dem Edge auf die Seite zu. Was mich wundert, hostest du dort eine ASP-Seite?
Gruß Ole
AbuseIPDB

Benutzeravatar
GregorS
Beiträge: 2518
Registriert: 05.06.2008 09:36:37
Wohnort: Freiburg
Kontaktdaten:

Re: Apache-Log verstehen: Hilfe benötigt

Beitrag von GregorS » 13.03.2023 08:25:05

oln hat geschrieben: ↑ zum Beitrag ↑
13.03.2023 08:18:26
Moin,
der 404 sollte klar sein. Du greifts mit dem Edge auf die Seite zu. Was mich wundert, hostest du dort eine ASP-Seite?
Nein, dort ist außer stinkpopligen HTML-Seiten bislang nichts zu holen. Was für Software fragt nach so einer Seite? Was ist Edge (und wie kommst Du darauf)?

Gruß

Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi [und sog. Maker])

Benutzeravatar
debilian
Beiträge: 1162
Registriert: 21.05.2004 14:03:04
Wohnort: 192.168.43.7
Kontaktdaten:

Re: Apache-Log verstehen: Hilfe benötigt

Beitrag von debilian » 13.03.2023 10:47:38

GregorS hat geschrieben: ↑ zum Beitrag ↑
13.03.2023 08:25:05
Was ist Edge?
Der Nachfolger vom Internet Explorer....
-- nichts bewegt Sie wie ein GNU --

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Apache-Log verstehen: Hilfe benötigt

Beitrag von uname » 13.03.2023 12:51:48

Hast du wirklich zu der Uhrzeit zugegriffen? Die IP-Adresse könnte aus Rumänien stammen. Was gibt es denn Schönes auf der Hauptseite / ? Eine Art Nachladen der genannten Datei halte ich bei einem Zeitraum von 5 Sekunden für unwahrscheinlich. Dafür ist der Zeitraum eigentlich viel zu lang.

Benutzeravatar
GregorS
Beiträge: 2518
Registriert: 05.06.2008 09:36:37
Wohnort: Freiburg
Kontaktdaten:

Re: Apache-Log verstehen: Hilfe benötigt

Beitrag von GregorS » 13.03.2023 13:12:09

uname hat geschrieben: ↑ zum Beitrag ↑
13.03.2023 12:51:48
Hast du wirklich zu der Uhrzeit zugegriffen? Die IP-Adresse könnte aus Rumänien stammen. Was gibt es denn Schönes auf der Hauptseite / ? Eine Art Nachladen der genannten Datei halte ich bei einem Zeitraum von 5 Sekunden für unwahrscheinlich. Dafür ist der Zeitraum eigentlich viel zu lang.
Ja, die Uhrzeit stimmt. Und nein, die Adresse stammt nicht aus Rumänien. Da habe ich einfach nur von einem Freund aus mal auf meine Seite geguckt, um zu sehen, wie das im Log aussieht.
Und jetzt frage ich mich halt, warum eine Windowskiste nach dieser asp-Datei fragt.

Gruß

Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi [und sog. Maker])

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Apache-Log verstehen: Hilfe benötigt

Beitrag von MSfree » 13.03.2023 13:25:48

GregorS hat geschrieben: ↑ zum Beitrag ↑
13.03.2023 13:12:09
Und nein, die Adresse stammt nicht aus Rumänien. Da habe ich einfach nur von einem Freund aus mal auf meine Seite geguckt, um zu sehen, wie das im Log aussieht.
Laut abusepdb und anderen GeoIP-Locator-Diensten ist das eine IP-Adresse aus Holland:
https://www.abuseipdb.com/check/193.32.162.159
IP Abuse Reports for 193.32.162.159:

This IP address has been reported a total of 4,087 times from 193 distinct sources. 193.32.162.159 was first reported on January 18th 2023, and the most recent report was 9 minutes ago.
Das kann also nicht von einer Abfrage von deinem Freund sein, denn der wird kaum ein Datacenter in Noord Holland betreiben.

Benutzeravatar
GregorS
Beiträge: 2518
Registriert: 05.06.2008 09:36:37
Wohnort: Freiburg
Kontaktdaten:

Re: Apache-Log verstehen: Hilfe benötigt

Beitrag von GregorS » 13.03.2023 13:35:34

MSfree hat geschrieben: ↑ zum Beitrag ↑
13.03.2023 13:25:48
... Das kann also nicht von einer Abfrage von deinem Freund sein, denn der wird kaum ein Datacenter in Noord Holland betreiben.
Nein, aber er ist Kunde von Vodafone (vormals Unitymedia, vormals Kabel-BW). Wer weiß, wie die routen ...

Muss das denn unbedingt die IP-Adresse sein, die diesem Freund gerade zugeteilt wurde? Hm. Beim nächsten Mal lasse ich mir noch dessen Verbindungsparameter zeigen. Wo der das findet (wenn man sowas unter Windows überhaupt finden kann), weiß derjenige dann hoffentlich. Ansonsten gibt's ja auch diese „show-my-ip“-Seiten.

Gruß

Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi [und sog. Maker])

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Apache-Log verstehen: Hilfe benötigt

Beitrag von MSfree » 13.03.2023 13:47:06

GregorS hat geschrieben: ↑ zum Beitrag ↑
13.03.2023 13:35:34
Nein, aber er ist Kunde von Vodafone (vormals Unitymedia, vormals Kabel-BW). Wer weiß, wie die routen ...
Wenn er einen Vertrag am Kabelanschluß für Privatkunden hat, dürfte er DSlite haben und IPv4 über Corporate NAT bekommen. Dann würde in deinem Log die IPv4-Adresse des Vodafone-NAT-Routers auftauchen, und der steht garantiert in Deutschland, schon aus rechtlichen Gründen.
Hm. Beim nächsten Mal lasse ich mir noch dessen Verbindungsparameter zeigen. Wo der das findet (wenn man sowas unter Windows überhaupt finden kann), weiß derjenige dann hoffentlich.
Wie sollte man auf der Windowskiste die IPv4-Adresse des Kabelrouters finden? OK, über das Webinterface des Routers kommt man da schon irgendwie ran. Wenn aber noch Corporate NAT im Spiel ist, nützt auch das nichts.

Hier hilft eher etwas wie https://wieistmeineip.de (was leider ein wenig werbeverseucht ist, aber besser als nichts).

Benutzeravatar
debilian
Beiträge: 1162
Registriert: 21.05.2004 14:03:04
Wohnort: 192.168.43.7
Kontaktdaten:

Re: Apache-Log verstehen: Hilfe benötigt

Beitrag von debilian » 13.03.2023 13:47:46

oder du greifst einfach auf etwas zu, was es nicht gibt: tescht.html
dann hast du das ja auch im log und weisst, dass du es warst.....
Zuletzt geändert von debilian am 13.03.2023 13:54:36, insgesamt 1-mal geändert.
-- nichts bewegt Sie wie ein GNU --

Benutzeravatar
GregorS
Beiträge: 2518
Registriert: 05.06.2008 09:36:37
Wohnort: Freiburg
Kontaktdaten:

Re: Apache-Log verstehen: Hilfe benötigt

Beitrag von GregorS » 13.03.2023 13:50:21

debilian hat geschrieben: ↑ zum Beitrag ↑
13.03.2023 13:47:46
oder du greifst einfach auf etwas zu, was es nicht gibt: tescht.html
dann hast du das ja auch im log und weisst, das du es warst.....
Das ist zu einfach. Gilt das trotzdem? *weia*

Gruß

Gregor
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi [und sog. Maker])

Benutzeravatar
debilian
Beiträge: 1162
Registriert: 21.05.2004 14:03:04
Wohnort: 192.168.43.7
Kontaktdaten:

Re: Apache-Log verstehen: Hilfe benötigt

Beitrag von debilian » 13.03.2023 14:03:11

MSfree hat geschrieben: ↑ zum Beitrag ↑
13.03.2023 13:25:48
Das kann also nicht von einer Abfrage von deinem Freund sein, denn der wird kaum ein Datacenter in Noord Holland betreiben.
oder er nutzt ein VPN-Tunnel ;-)
-- nichts bewegt Sie wie ein GNU --

Benutzeravatar
heisenberg
Beiträge: 3473
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: Apache-Log verstehen: Hilfe benötigt

Beitrag von heisenberg » 13.03.2023 14:03:45

MSfree hat geschrieben: ↑ zum Beitrag ↑
13.03.2023 13:47:06
Hier hilft eher etwas wie https://wieistmeineip.de (was leider ein wenig werbeverseucht ist, aber besser als nichts).
Werbefreie Alternative dazu:

http://icanhazip.com
http://ipv4.icanhazip.com
http://ipv6.icanhazip.com
... unterhält sich hier gelegentlich mangels wunschgemäßer Gesprächspartner mal mit sich selbst.

Benutzeravatar
treaki
Beiträge: 39
Registriert: 06.04.2008 19:55:18
Kontaktdaten:

Re: [erledigt] Apache-Log verstehen: Hilfe benötigt

Beitrag von treaki » 29.03.2023 01:17:19

Hi,

ich schau auch gerade meine apache-logs durch (raspi im Netz von 1und1) und bin daher durch googeln auf diesen thread gestoßen,

Code: Alles auswählen

var/log/apache2# cat access.log.1 | grep /dispatch.asp
193.32.162.159 - - [28/Mar/2023:00:31:20 +0200] "GET /dispatch.asp HTTP/1.1" 404 493 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36 Edg/90.0.818.46"
193.32.162.159 - - [28/Mar/2023:03:04:30 +0200] "GET /dispatch.asp HTTP/1.1" 404 493 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36 Edg/90.0.818.46"
193.32.162.159 - - [28/Mar/2023:03:44:00 +0200] "GET /dispatch.asp HTTP/1.1" 404 493 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36 Edg/90.0.818.46"
193.32.162.159 - - [28/Mar/2023:08:04:01 +0200] "GET /dispatch.asp HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36 Edg/90.0.818.46"
193.32.162.159 - - [28/Mar/2023:10:01:22 +0200] "GET /dispatch.asp HTTP/1.1" 404 492 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36 Edg/90.0.818.46"
[...]
da scheint jemand regelmäßig das netz durchzuscannen und nach /dispatch.asp zu suchen, die Frage ist was erhoffen die zu finden, welche Anwendungen haben normalerweise unter dieser url etwas und was ist es?

Gruß,

T

Code: Alles auswählen

|_|0|_|
|_|_|0|
|0|0|0|
http://treaki.tk/
E-Mail: treaki@treaki.tk oder treaki@gmail.com

Benutzeravatar
heisenberg
Beiträge: 3473
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: [erledigt] Apache-Log verstehen: Hilfe benötigt

Beitrag von heisenberg » 29.03.2023 01:35:31

treaki hat geschrieben: ↑ zum Beitrag ↑
29.03.2023 01:17:19
da scheint jemand regelmäßig das netz durchzuscannen und nach /dispatch.asp zu suchen, die Frage ist was erhoffen die zu finden, welche Anwendungen haben normalerweise unter dieser url etwas und was ist es?
Ganz normales Grundrauschen im Internet. Tausende von Leuten scannen aus verschiedensten Gründen regelmäßig alle Server im Internet nach Allem Möglichen ab: Sicherheitslücken, offene Ports, Inhalte, ...
... unterhält sich hier gelegentlich mangels wunschgemäßer Gesprächspartner mal mit sich selbst.

Antworten