Apache : Echte IP Anzeigen lassen ?

Dieses Thema im Forum "Internet, lokale Netzwerke und Wireless Lan" wurde erstellt von Atomara, 08.10.2004.

  1. #1 Atomara, 08.10.2004
    Atomara

    Atomara Debrandeter User

    Dabei seit:
    06.03.2004
    Beiträge:
    1.255
    Zustimmungen:
    0
    Ort:
    Deutschland , Nrw , Münsterland
    Hi@all

    ich habe den apache server laufen und bekomme manchmal seltsame zugriffe von außen , heißt dass ich nach exploits gescannt werde



    192.168.1.254 - "" [08/Oct/2004:00:29:43 +0200] "OPTIONS / HTTP/1.1" 401 480 "-" "Microsoft-WebDAV-MiniRedir/$
    192.168.1.254 - - [08/Oct/2004:00:29:45 +0200] "OPTIONS / HTTP/1.1" 401 480 "-" "Microsoft-WebDAV-MiniRedir/5$
    192.168.1.254 - admin [08/Oct/2004:00:29:47 +0200] "OPTIONS / HTTP/1.1" 401 480 "-" "Microsoft-WebDAV-MiniRed$
    192.168.1.254 - - [08/Oct/2004:00:29:48 +0200] "OPTIONS / HTTP/1.1" 401 480 "-" "Microsoft-WebDAV-MiniRedir/5$
    192.168.1.254 - admin [08/Oct/2004:00:30:09 +0200] "OPTIONS / HTTP/1.1" 401 480 "-" "Microsoft-WebDAV-MiniRed$
    192.168.1.254 - - [08/Oct/2004:00:30:36 +0200] "OPTIONS / HTTP/1.1" 401 480 "-" "Microsoft-WebDAV-MiniRedir/5$
    192.168.1.254 - admin [08/Oct/2004:00:30:37 +0200] "OPTIONS / HTTP/1.1" 401 480 "-" "Microsoft-WebDAV-MiniRed$
    192.168.1.254 - - [08/Oct/2004:00:30:42 +0200] "OPTIONS / HTTP/1.1" 401 480 "-" "Microsoft-WebDAV-MiniRedir/5$


    usw...

    ihr kennt das ja sicher
    das blöde ist nur dass ich den angreifer nicht zurückverfolgen kann da nur die ip des routers angezeigt wird , aber sicher gibts ne lösung dafür und ich weiß dass ihr sie kennt :sly:

    vielen dank für eure antworten im vorraus
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 bananenman, 08.10.2004
    bananenman

    bananenman Routinier

    Dabei seit:
    07.03.2004
    Beiträge:
    410
    Zustimmungen:
    0
    einige router schreiben einen eigenen logfile - damit kann man anhand der zugriffszeiten bestimmt die originale ip ermitteln. die meisten billig-router machen das aber leider nicht - dann gibt es gibt eine andere gute aber leider etwas aufwändige lösung: besorg dir einen alten rechner (p1-120 oder sowas - 1gb hdd, 64 mb-ram, 2 nic's), spiel da den ipcop drauf ersetze damit den router. der ipcop hat ein eingebautes intrusion-detection system und bietet dir mir einem mausklick eine ripe-whois abfrage auf jede ip die irgendwelche komischen sachen macht. aus erfahrung kann ich dir sagen, dass die meisten "einbruchsversuche" bei mir immer eine verbindungsabfrage der telekomm war (die wollten wahrscheinlich immer nur wissen ob an diesem ende der leitung ein schwarzes loch oder doch nur ein ewig brummernder rechenknecht steht).
    allerdings hat der ipcop natürlich auch die einbruchsversuche auf port 22 dokumentiert ...

    mfg

    bananenman
     
  4. #3 oyster-manu, 09.10.2004
    oyster-manu

    oyster-manu toast

    Dabei seit:
    26.06.2003
    Beiträge:
    1.055
    Zustimmungen:
    0
    müsste es nicht doch viel einfacher gehen?
    wenn ich zum (schlechten) beispiel bei miranda (ein ICQ prog) auf user details klicke, sehe ich da die user ip und die ip des routers, falls einer verwendet wird. von daher gehe ich mal davon aus, dass apache das auch kann.
     
  5. #4 bananenman, 09.10.2004
    Zuletzt bearbeitet: 09.10.2004
    bananenman

    bananenman Routinier

    Dabei seit:
    07.03.2004
    Beiträge:
    410
    Zustimmungen:
    0
    mhhh - vielleicht könntest du den loglevel für den normalen und den error_log mal auf debug (oder stufe 9) stellen (bin mir aber im moment nicht sicher wo) - aber vorsicht: ein so hoher loglevel kann die partition schnell vollaufen lassen.

    ich bezweifele aber, dass das den gewüschten erfolg bringt: wenn der router die anfragende ip so nicht weitergibt, wird er sie dann auchnicht weitergeben. läuft der apache bei dir in einer dmz oder arbeitest du mit port-forewarding?
    mfg

    bananenman

    edit: das stichwort nach dem du in der httpd_conf suchen musst heist: loglevel . standard ist "warn" - eine liste der möglichen loglevel findest du hier
     
  6. #5 Atomara, 09.10.2004
    Atomara

    Atomara Debrandeter User

    Dabei seit:
    06.03.2004
    Beiträge:
    1.255
    Zustimmungen:
    0
    Ort:
    Deutschland , Nrw , Münsterland
    der apache läuft übers port forwarding
     
  7. #6 fossy, 09.10.2004
    Zuletzt bearbeitet: 09.10.2004
    fossy

    fossy - dead -

    Dabei seit:
    26.03.2004
    Beiträge:
    274
    Zustimmungen:
    0
    ich fahre auch nen portforward auf lohrey.dnsalias.com. trotzdem sehe ich sowas...

    Code:
    84.129.79.76 - - [08/Oct/2004:14:09:50 +0200] "GET /rapitrade/Schnellwahlhtml/ HTTP/1.1" 304 - "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7) Gecko/20040928 Firefox/0.9.3" "-"
    84.129.121.47 - - [09/Oct/2004:00:05:40 +0200] "OPTIONS / HTTP/1.1" 200 - "-" "Microsoft-WebDAV-MiniRedir/5.1.2600" "-"
    84.129.67.161 - - [09/Oct/2004:01:07:07 +0200] "GET /egroupware_2004-10-06-001_bug_14_tg_termin.png HTTP/1.1" 200 132735 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7) Gecko/20040928 Firefox/0.9.3" "-"
    84.129.67.161 - - [09/Oct/2004:02:38:22 +0200] "GET /rapitrade/Schnellwahlhtml/ HTTP/1.1" 304 - "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.3) Gecko/20040922 Debian/1.7.3-1" "-"
    84.114.128.197 - - [09/Oct/2004:03:00:35 +0200] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\...
    gib uns mal nen cat /etc/apache/httpd.conf|grep "LoadModule "|sort und nen
    cat /etc/apache/httpd.conf|grep ProxyVia
     
  8. #7 Atomara, 10.10.2004
    Zuletzt bearbeitet: 10.10.2004
    Atomara

    Atomara Debrandeter User

    Dabei seit:
    06.03.2004
    Beiträge:
    1.255
    Zustimmungen:
    0
    Ort:
    Deutschland , Nrw , Münsterland

    ??? was meinst du das ? portforwardings für deinen dns ?



    nuclearblast:/daten/atomara/.fun/inc# cat /etc/apache/httpd.conf|grep "LoadModule "|sort
    # it yourself with a LoadModule [see the DSO paragraph in the 'Global
    #LoadModule put_module modules/mod_put.so


    nuclearblast:/daten/atomara/.fun/inc# cat /etc/apache/httpd.conf|grep ProxyVia
    #ProxyVia On
     
  9. #8 bananenman, 10.10.2004
    bananenman

    bananenman Routinier

    Dabei seit:
    07.03.2004
    Beiträge:
    410
    Zustimmungen:
    0
    fossy meint sein apache steht in seinem lokalen lan und wird per portforewarding vom router versorgt - das "lohrey.dnsalias.com" ist nur eine dynamische dns-adresse. so läuft das bei mir auch (ist übrigens ein interessantes cms-system). offentsichtlich läd dein apache keinerlei module - was ist das für eine version?

    mfg

    bananenman
     
  10. #9 Atomara, 10.10.2004
    Atomara

    Atomara Debrandeter User

    Dabei seit:
    06.03.2004
    Beiträge:
    1.255
    Zustimmungen:
    0
    Ort:
    Deutschland , Nrw , Münsterland
    die aktuellste 1er version ;)
     
  11. fossy

    fossy - dead -

    Dabei seit:
    26.03.2004
    Beiträge:
    274
    Zustimmungen:
    0
    das finde ich doch sehr seltsam ...
    aber die _neueste_ version dürfte die 1.3.31 sein und die module bereits ausgelagert haben.
    dann gib uns mal bitte nen cat /etc/apache/modules.conf ;)
     
  12. fossy

    fossy - dead -

    Dabei seit:
    26.03.2004
    Beiträge:
    274
    Zustimmungen:
    0
    du solltest, wenn mod_log_common aktiv ist folgendes logfile format haben:

    host ident authuser date request status bytes

    und host ist (zitat):

    The fully-qualified domain name of the client, or its IP number if the name is not available.
    (kommt auf HostnameLookups [On|Off ] an)

    hmmm,... bist du dir sicher, dass du keinen webacclerator (anstatt nem forward) laufen hast?

    denn wenn du nen squid als acclerator einsetzt, hast du auch derartige logentries. dann müsstest du die logs deiner fw checken. gute geräte geben die auch gerne an nen syslogserver weiter.

    gruss, fossy.
     
  13. #12 Atomara, 10.12.2004
    Zuletzt bearbeitet: 11.12.2004
    Atomara

    Atomara Debrandeter User

    Dabei seit:
    06.03.2004
    Beiträge:
    1.255
    Zustimmungen:
    0
    Ort:
    Deutschland , Nrw , Münsterland
    ich habe mal


    HostnameLookups auf On gestellt , wird das helfen ?


    edit: tut es nicht



    ich habe mal meine config angehängt
     

    Anhänge:

  14. #13 Atomara, 11.12.2004
    Atomara

    Atomara Debrandeter User

    Dabei seit:
    06.03.2004
    Beiträge:
    1.255
    Zustimmungen:
    0
    Ort:
    Deutschland , Nrw , Münsterland
    http://www.linuxfocus.org/Deutsch/March2000/article147.shtml

    unter dieser url beschreibt der autor folgendes problem

    Die Nachteile

    Da der Hauptserver proxy Anfragen zu dem internen Server schickt, kann man in den Logfiles des internen Servers keine sinnvollen Informationen mehr finden. Es sieht immer so aus, als ob dieselbe Person auf den Webserver zugreift. Man kann die Anfragen aber natürlich in den Logs des Hauptservers finden.
    Die Anfragen für den internen Host solsparc.hometranet.home finden sich nun auf dem Hauptserver sun.docs.developer.ch:
    Auszüge aus den Logfiles von sun.docs.developer.ch

    197.0.22.3 - - [05/Nov/1999:22:09:04 +0100] "GET /index.html HTTP/1.0" 304 -
    187.0.45.67 - - [05/Nov/1999:22:09:04 +0100] "GET /navi.html HTTP/1.0" 304 -
    177.0.5.45 - - [05/Nov/1999:22:09:04 +0100] "GET /entrees.html HTTP/1.0" 304 -
    227.0.9.67 - - [05/Nov/1999:22:09:15 +0100] "GET /complets.html HTTP/1.0" 304 -
    137.0.7.23 - - [05/Nov/1999:22:09:19 +0100] "GET /menu_poisson.html HTTP/1.0" 200 841
    193.192.245.73 - - [05/Nov/1999:22:09:25 +0100] "GET /volailles.html HTTP/1.0" 304 -
    192.167.0.1 - - [05/Nov/1999:22:09:44 +0100] "GET /agneau.html HTTP/1.0" 304 -

    Auf solsparc.hometranet.home findet man

    192.168.1.1 - - [05/Nov/1999:22:09:04 +0100] "GET /index.html HTTP/1.0" 304 -
    192.168.1.1 - - [05/Nov/1999:22:09:04 +0100] "GET /navi.html HTTP/1.0" 304 -
    192.168.1.1 - - [05/Nov/1999:22:09:04 +0100] "GET /entrees.html HTTP/1.0" 304 -
    192.168.1.1 - - [05/Nov/1999:22:09:15 +0100] "GET /complets.html HTTP/1.0" 304 -
    192.168.1.1 - - [05/Nov/1999:22:09:19 +0100] "GET /menu_poisson.html HTTP/1.0" 200 841
    192.168.1.1 - - [05/Nov/1999:22:09:25 +0100] "GET /volailles.html HTTP/1.0" 304 -
    192.168.1.1 - - [05/Nov/1999:22:09:44 +0100] "GET /agneau.html HTTP/1.0" 304 -
    192.168.1.1 - - [05/Nov/1999:22:09:56 +0100] "GET /desserts_ind.html HTTP/1.0" 304 -
    192.168.1.1 - - [05/Nov/1999:22:10:00 +0100] "GET /cocktails.html HTTP/1.0" 304 -
    192.168.1.1 - - [05/Nov/1999:22:10:10 +0100] "GET /cgi-bin/commande.cgi HTTP/1.0" 200 2146


    genau das problem habe ich auch , allerdings verwende ich keinen proxy sondern nur einen router
     
  15. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  16. #14 bananenman, 11.12.2004
    bananenman

    bananenman Routinier

    Dabei seit:
    07.03.2004
    Beiträge:
    410
    Zustimmungen:
    0
    ich greif fossy's frage nochmal auf: bietet dein router die möglichkeit sein log an einen syslog-server zu schicken (z.b. sollten das die ganzen d-link-router sollten eigendlich können)?

    mfg

    bananenman
     
  17. #15 Atomara, 11.12.2004
    Atomara

    Atomara Debrandeter User

    Dabei seit:
    06.03.2004
    Beiträge:
    1.255
    Zustimmungen:
    0
    Ort:
    Deutschland , Nrw , Münsterland
    nee ich hab son scheiß teil von fiberline das kann sowas nicht
     
Thema:

Apache : Echte IP Anzeigen lassen ?

Die Seite wird geladen...

Apache : Echte IP Anzeigen lassen ? - Ähnliche Themen

  1. Apache+SVN: Authentifizierung über MySQL mit Pfad basiertem Rechtesystem

    Apache+SVN: Authentifizierung über MySQL mit Pfad basiertem Rechtesystem: Hallo, ich habe hier einen Apache2 laufen, der über WebDAV einen SVN bereit stellt. Die Authentifizierung läuft über MySQL und den Apache. In den...
  2. Apache-Bereich mit Root-Rechten, oder ein extra Programm

    Apache-Bereich mit Root-Rechten, oder ein extra Programm: Hi! Ich überlege gerade, wie ich am besten ein alt geplantes Projekt angehe. Ich Apache so konfiguriert, dass PHP über FCGI läuft. Nun möchte...
  3. Apache2 Rechteproblem?

    Apache2 Rechteproblem?: Hallo, ich hab da ein klitzekleines Problem ;). Bei mir neu aufgesetzt Suse 10.0 mit Apache2 Php4 und Mysql. Soweit läuft auch alles bis auf...
  4. Apache Benutzerrechte

    Apache Benutzerrechte: Ich habe mir Apache eingerichte, damit ich meine kleinen php-skripte testen kann. Weil aber der Ordner und die Datein in /opt/lampp/htdocs/xampp...
  5. (Zugriffs-)Rechte für Apache-Vhost-user. Wieviel ist gut?

    (Zugriffs-)Rechte für Apache-Vhost-user. Wieviel ist gut?: [edit]Irgendwie is der Topicname nicht ganz getroffen[/edit] Hi Zur zeit setze ich zu Lernzwecken auf meinem lokalen FreeBSD host einen Apache...