On Thu, Aug 18, 2005 at 06:41:38AM +0200, Ivar Alm wrote: > On Wed, Aug 17, 2005 at 11:37:26PM +0200, Martin Leben wrote: > > Erik Svensson wrote: > > >Ivar Alm skrev: > > > > > >>Vad innebär de här lograderna i access.log? > > >> > > >>81.172.113.57 - - [17/Aug/2005:21:44:18 +0200] "GET / HTTP/1.0" 200 2411 > > >>"-" "-" > > >>81.172.38.146 - - [17/Aug/2005:21:44:41 +0200] "GET / HTTP/1.0" 200 2411 > > >>"-" "-" > > > > > >Samma här med access.log. Efter mycket googelande så så fann jag två > > >möjliga orsaker, 1: skript som letar efter äldre versioner av windows > > >webservrar som har en bug som kan utnyttjas, 2: att det är en mask/virus > > >som söker efter oskyddade datorer, [...] > > > > Ja, förmodligen. Fälten i slutet på loggraden: > > >"GET / HTTP/1.0" 200 2411 "-" "-" > > -1-------------- -2- -3- -4- -5- > > > > betyder: > > Fält 1: Request. Dokument "/" efterfrågades med protokoll HTTP/1.0. > > Fält 4: Referer. Förra webbsidan, om besökaren kom via en länk. Tom i > > detta fall. > > Fält 5: UserAgent. Webbläsarens identifieringssträng. Tom i detta fall. > > > > Ingen normal webbläsare har tom UserAgent sträng, så att det är nån mask > > eller liknande som det är frågan är ganska sannolikt. > > > > Båda ovan nämnda ip-adresser ingår i min isp's nät här i stan. Kan > kanske vara läge att kontakta isp'n i detta fall? Oavsett om det är en > mask eller inte så är det inte ett normalt beteende. Normalt eller inte. Det är väl inom specifikationen för HTTP 1.0. Testa själv genom att telnetta till en webserver på port 80 (telnet www.enserver.se 80) och skriva "GET / HTTP/1.0" följt av två returtecken. Detta kommer att rendera samma lograder och är verkligen inget anmärkningsvärt. :] /ludde -- _ _ _ __ __ ___ | | | | | \| \| __| Ludvig Omholt ................... ludde@ludde.net | |_| | | D | D | _| 073-055 02 13 ................. http://ludde.net/ |___|___|__/|__/|___| ++++++ sauron: Linux 2.6.11.10 on an i686 +++++++
Attachment:
signature.asc
Description: Digital signature