Σε ποιο log γτράφει ο apache ;

από **malos** » 10 Μαρ 2009, 11:06

Καλημέρα. Έβαλα τον apache2 εδώ και λίγες μέρες. Από τα repos , με το synaptic. Την 8.10 έχω. Μου δουλεύει μια χαρά. ( Αν και δεν πείραξα τίποτα εγώ! Όλα αυτόματα. Τώρα με την ασφάλεια δεν ξέρω τι γίνεται ... αλλά δεν σκάω και πολύ !) . Τον βγάζω έξω (... τον server έτσι ; :mrgreen:

) με dyndns.
Το ερώτημά μου είναι απλό ( πιστεύω ) . Σε ποιο log αρχείο θα βλέπω τη δραστηριότητά του ; Δηλαδή όπως δίνω

Κώδικας: Επιλογή όλων: sudo tail -f /var/log/vsftpd.log

και βλέπω ποιος συνδέθηκε και τι κατέβασε από τον ftp σερβεράκο μου, πως θα κάνω το ίδιο για τον apache ώστε να βλέπω ποιος συνδέθηκε ;

Υ.Γ. Το webmin δεν είμαι έτοιμος να το βάλω ( δεν έχω διαβάσει και ετοιμάζομαι να το κάνω αφού βρω συνθήκες πλήρους συγκέντρωσης. Αδυναμία στα αγγλικά. )

από **atermon** » 10 Μαρ 2009, 12:21

Κώδικας: Επιλογή όλων: cd /var/log/apache2

από **malos** » 10 Μαρ 2009, 21:24

atermon έγραψε:
Κώδικας: Επιλογή όλων
cd /var/log/apache2

Σ' ευχαριστώ !!!!!!
Μιλάμε για πολύ στραβομάρα

Δεν σκέφτηκα καν να κοιτάξω ότι πάνω πάνω ( με το ναυτίλο στο /var/log υπάρχουν φάκελοι )

.... δεν πάω καλά.

από **malos** » 11 Μαρ 2009, 11:49

Κάτι off topic αν έχετε την καλωσύνη !!!!
Έφτιαξα μια πολύ απλή σελίδα και την βγάζω με τον apache. Περιέχει μόνο δύο συνδέσμους στον ftp server που έχω στήσει στο ίδιο μηχάνημα (την έχω ψωνίσει

) .
Παρόλο που τα κάνω για χομπίστικους λόγους, αυτή τη φορά κάνω κάτι χρήσιμο για κάποιον. Συγκεκριμένα θέλω να στείλω σε έναν τυπογράφο κάτι φακέλους που
περιέχουν κάτι doc και pdf αρχεία (αφού δεν πάνε με mail , αξιοποιήσω τα καλά μας σερβεράκια ) . Η όλη φάση γίνεται με dyndns.
Όλα καλά δουλεύουν ( αλλά ο τυπογράφος δεν βλέπω να έχει κατεβάσει ακόμα αυτά που θέλει ! .... Άντε ρε φίλε ! Να κλείσουμε και τον υπολογιστή μας καμιά φορά !!!

)

Στα log όμως έχω δει κάποιες διευθύνσεις ! Άλλα ... επισκεψιμότητα ο δικός σου !!!!
Επειδή είμαι λίγο ψάρι ... ανυσήχησα ! Ποιοι είναι αυτοί ρε παιδιά ; Που βρήκαν το domain που είναι και παράξενο από τη μία και άγνωστο για να το βρει κανείς.
Και γενικά η γνώση που δεν έχω ( το κάνω ερώτημα ) :
Γνωρίζεται τι σημαίνουν τα στοιχεία που δίνει η κάθε γραμμή του log αρχείου. Κάτι αριθμοί μετά την IP και κάτι κείμενα. Παραθέτω τη γραμμή με τη δική μου IP που είχα πρόσβαση και με τις άγνωστες που δίπλα λένε κάτι ακατανόητητα.

Η δική μου.

Κώδικας: Επιλογή όλων: 85.73.166.35 - - [09/Mar/2009:10:11:03 +0200] "GET / HTTP/1.1" 200 377 "-" "Mozilla/5.0 (X11; U; Linux i686; el-GR; rv:1.9.0.7) Gecko/2009030422 Ubuntu/8.10 (intrepid) Firefox/3.0.7" 85.73.166.35 - - [09/Mar/2009:10:11:06 +0200] "GET /favicon.ico HTTP/1.1" 404 243 "-" "Mozilla/5.0 (X11; U; Linux i686; el-GR; rv:1.9.0.7) Gecko/2009030422 Ubuntu/8.10 (intrepid) Firefox/3.0.7"

Αυτά τα Gecko, GET /favicon και λοιπά τι είναι; αλλά εντάξει είναι δικά μου.

Όμως αυτός

Κώδικας: Επιλογή όλων: 80.187.101.53 - - [10/Mar/2009:23:59:08 +0200] "\xd4\xc3" 501 288 "-" "-"

τι είναι αυτά τα στοιχεία δίπλα από την IP του ;

κι ακόμα

Κώδικας: Επιλογή όλων: 213.200.21.110 - - [11/Mar/2009:01:19:02 +0200] "GET //typo3/index.php HTTP/1.1" 404 243 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

Πιο πολύ όμως με ανυσήχησε ένας που έχει τη λέξη POST η γραμμή του log που αναφέρεται σε αυτόν

Κώδικας: Επιλογή όλων: 211.95.78.70 - - [11/Mar/2009:04:57:36 +0200] "POST http://www.ocnar.com/cgi-bin/textenv.pl HTTP/1.1" 404 294 "-" "-" 211.95.78.70 - - [11/Mar/2009:04:57:37 +0200] "POST http://www.ocnar.com/cgi-bin/textenv.pl HTTP/1.1" 404 294 "-" "-" 211.95.78.70 - - [11/Mar/2009:09:12:20 +0200] "POST http://www.ocnar.com/cgi-bin/textenv.pl HTTP/1.1" 404 294 "-" "-" 211.95.78.70 - - [11/Mar/2009:09:12:20 +0200] "POST http://www.ocnar.com/cgi-bin/textenv.pl HTTP/1.1" 404 294 "-" "-"

Τι λέει το log ρε παιδιά ;

από **linuxman** » 11 Μαρ 2009, 13:16

Ο log λέει ότι προσπαθούσαν να σε κάνουν hacking να ορίστε τα αποτελέσματα

Κώδικας: Επιλογή όλων: inetnum: 80.187.0.0 - 80.187.111.255 netname: CUSTOMERS-DE descr: T-Mobile Deutschland GmbH country: DE admin-c: TH12429-RIPE tech-c: MS47198-RIPE tech-c: UN16-RIPE status: ASSIGNED PA remarks: Please send any abuse complaints to: abuse@t-mobile.de mnt-by: MNT-TMD source: RIPE # Filtered inetnum: 213.200.0.0 - 213.200.31.255 netname: GE-IBERIAPAC-20050323 descr: Infocom Ltd. country: GE org: ORG-IL5-RIPE admin-c: IB376-RIPE tech-c: IB376-RIPE status: ALLOCATED PA mnt-by: RIPE-NCC-HM-MNT mnt-lower: GE-IBR-MNT mnt-routes: GE-IBR-MNT mnt-domains: GE-IBR-MNT source: RIPE # Filtered inetnum: 211.90.0.0 - 211.97.255.255 netname: UNICOM descr: China United Telecommunications Corporation descr: No.133,Taiyun Building,Xidan North Street descr: Xicheng District,Beijing,China country: CN admin-c: JY1446-AP tech-c: JY1446-AP mnt-by: MAINT-CNNIC-AP mnt-lower: MAINT-CNNIC-AP mnt-routes: MAINT-CNNIC-AP status: ALLOCATED PORTABLE changed: ipas@cnnic.cn 20070731 changed: hm-changed@apnic.net 20070802 source: APNIC

Προσοχή όταν ανοίγεις πόρτες για τέτοια πράγματα , εγώ θα πρότεινα να κάνεις εγκατάσταση το
ssh = Secure Shell Server και ανοίγοντας πόρτα 22 να δώσεις το dyndns όνομα στο τυπογράφο σου με απλή εφαρμογή για winblows http://winscp.net/eng/download.php μπορεί να μπει στο Η/Υ σου άνετα και να πάρει τα αρχεία σου , απλά αυτό που έχεις να κάνεις είναι να του φτιάξεις ένα όνομα χρήστη και κωδικό για αυτό , και εάν δεν θες να βλέπει και τα δικά σου αρχεία στο προσωπικό σου κατάλογο από 755 που είναι στο 750 το φάκελο του χρήστη οπότε δεν μπορεί κανείς να μπει καν στο φάκελο σου ούτε να δει τι έχεις .

από **malos** » 11 Μαρ 2009, 20:33

Μπα είναι διαδικασία γι αυτόν !
Σ' ευχαριστώ φίλε μου. Καλύτερα να διαβάσω μερικά πράγματα για την ασφάλεια του apache και του vsftpd. Σιγά σιγά.
Αυτά που μου παρέθεσες και είπες ορίστε τα αποτελέσματα .... δεν τα κατάλαβα. Αποτελέσματα ποιανού ;

Αυτός που πήγε να μου την πέσει που λες , είναι αυτός που η IP του είχε μετά τη λέξη POST ; Από κει το κατάλαβες ή από αυτό που λέει μετά bin-cgi/ ;

Η όλη γραμμή δείχνει ένα URL , το : POST http://www.ocnar.com/cgi-bin/textenv.pl

όπου το textenv.pl είναι από ότι είδα ένα script :

Κώδικας: Επιλογή όλων: REMOTE_ADDR=85.73.149.216 DOCUMENT_ROOT=/home/ocnar/domains/ocnar.com/public_html GATEWAY_INTERFACE=CGI/1.1 HTTP_ACCEPT=text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 HTTP_ACCEPT_CHARSET=ISO-8859-7,utf-8;q=0.7,*;q=0.7 HTTP_ACCEPT_ENCODING=gzip,deflate HTTP_ACCEPT_LANGUAGE=el-gr,el;q=0.7,en-us.;q=0.3 HTTP_CONNECTION=keep-alive HTTP_HOST=www.ocnar.com HTTP_KEEP_ALIVE=300 HTTP_USER_AGENT=Mozilla/5.0 (X11; U; Linux i686; el-GR; rv:1.9.0.7) Gecko/2009030422 Ubuntu/8.10 (intrepid) Firefox/3.0.7 PATH=/usr/local/bin:/usr/bin:/bin QUERY_STRING= REMOTE_ADDR=85.73.149.216 REMOTE_PORT=49536 REQUEST_METHOD=GET REQUEST_URI=/cgi-bin/textenv.pl SCRIPT_FILENAME=/home/ocnar/domains/ocnar.com/public_html/cgi-bin/textenv.pl SCRIPT_NAME=/cgi-bin/textenv.pl SERVER_ADDR=85.17.165.132 SERVER_ADMIN=webmaster@ocnar.com SERVER_NAME=www.ocnar.com SERVER_PORT=80 SERVER_PROTOCOL=HTTP/1.1 SERVER_SIGNATURE=<address>Apache/2 Server at www.ocnar.com Port 80</address> SERVER_SOFTWARE=Apache/2 UNIQUE_ID=Sbf1P1URpYQAAHk2IR4AAAAL

όπου η IP πάνω πάνω είναι η δική μου αυτή τη στιγμή.

από **atermon** » 11 Μαρ 2009, 23:53

Αυτά είναι και τα στοιχεία/ίχνη σου. Η απομακρυσμένη πόρτα-σελίδα που άνοιξε τον apache σου.

Σε ποιο log γτράφει ο apache ;

Σε ποιο log γτράφει ο apache ;

Re: Σε ποιο log γτράφει ο apache ;

Re: Σε ποιο log γτράφει ο apache ;

Re: Σε ποιο log γτράφει ο apache ;

Re: Σε ποιο log γτράφει ο apache ;

Re: Σε ποιο log γτράφει ο apache ;

Re: Σε ποιο log γάφει ο apache ;