Re: Apache2 er gået amok

To: debian-user-danish@lists.debian.org
Subject: Re: Apache2 er gået amok
From: Flemming Bjerke <bjerke@polforsk.dk>
Date: Fri, 25 Aug 2006 19:14:04 +0200
Message-id: <[🔎] 200608251914.05590.bjerke@polforsk.dk>
In-reply-to: <[🔎] 87sljk6c9m.fsf@topper.koldfront.dk>
References: <[🔎] 200608250017.03350.flem@bjerke.dk> <[🔎] 200608251309.50979.flem@bjerke.dk> <[🔎] 87sljk6c9m.fsf@topper.koldfront.dk>

Friday 25 August 2006 17:55 skrev Adam Sjøgren:
> On Fri, 25 Aug 2006 13:09:50 +0200, Flemming wrote:
....
> >
> > 66.235.184.132 - - [25/Aug/2006:10:35:56 +0200] "POST
> > http://coralcoastdivers.com/proxy.php HTTP/1.1" 404
> > 1234 "http://coralcoastdivers.com/proxy.php"; "User
> > -Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
>
> Ovenstående klip viser fire requests til din server, som den besvarer
> med 404 Not Found.
>
> Det viser vel bare at den virker som den skal?
Sådan har jeg ikke forstået det: 
192.38.107.59 - - [13/Aug/2004:19:41:26 +0200] "GET /folder_icon.gif HTTP/1.1" 
404 1042 "http://zope.polforsk1.dk/polforsk/manage_main"; "Mozilla/5.0 
(compatible; Konqueror/3.1; Linux)"

Her står der at zope.polforsk1.dk/.... var referring webpage (på 
apacheserveren selv) som peger på den ikke eksisterende:  /folder_icon.gif 
hvilket giver 404. Kommer requesten udefra får man kun en "-" som referrring 
webpage:

66.196.91.120 - - [25/Aug/2006:16:37:40 
+0200] "GET /SlurpConfirm404/suffering/news/lien.htm HTTP/1.0" 404 
4234 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; 
http://help.yahoo.com/help/us/ysearch/slurp)"
>
> Kan du ikke vise noget log-fil hvor Apache opfører sig forkert?
Jeg tror at den opfører sig ganske forkert når apache tror at den selv har en 
http://coralcoastdivers.com.... som referring webpage og også kan mene at en 
request til webserveren kan være til: http://coralcoastdivers.com. Det er det 
der fik mig til at tro at der var tale om Content-length / Encoding-Transfer 
buggen. Hvis det ikke er den, er der tilsyneladende andre måder at få en 
apache-server til at fungere som proxy for requests til en helt anden server. 
Men jeg må indrømme at jeg ikke har vildt meget check på alt dette. 
>
> On Fri, 25 Aug 2006 15:14:41 +0200, Flemming wrote:
> > 127.0.0.1 - - [25/Aug/2006:14:53:55 +0200] "GET /ip1.cgi HTTP/1.1" 404
> > 1101 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
>
> 127.0.0.1 lyder til gengæld mærkeligt hér - 
Ja, men det kan vel jo være spoofing.
> er du sikker på at der 
> ikke har været indbrud i din maskine?
Jeg er ikke sikker på noget som helst, men jeg kan ikke finde nogle andre tegn 
på det, og det er da bemærkelsesværdigt at det stopper så snart jeg stopper 
apache. Og jeg kan ikke finde nogle skumle processer vha. top og ps. Der kan 
jo selvfølgelig være en virus rodet i kendte processer.

Flemming

Reply to:

Follow-Ups:
- Re: Apache2 er gået amok
  - From: asjo@koldfront.dk (Adam Sjøgren)

References:
- Apache2 er gået amok
  - From: Flemming Bjerke <flem@bjerke.dk>
- Re: Apache2 er gået amok
  - From: Flemming Bjerke <flem@bjerke.dk>
- Re: Apache2 er gået amok
  - From: asjo@koldfront.dk (Adam Sjøgren)

Prev by Date: Re: Apache2 er gået amok
Next by Date: Re: Apache2 er gået amok
Previous by thread: Re: Apache2 er gået amok
Next by thread: Re: Apache2 er gået amok
Index(es):
- Date
- Thread