Apaches access_log

[Bellerophon]

Hallo!
Ich hab letzthin mal die access_log datei von meinem Apache2 Server durchgeschaut und stieß auf einen komischen Eintrag(bzw zwei)

193.109.122.39 - - [27/Nov/2006:23:39:25 +0100] "CONNECT 195.204.1.132:9000 HTTP/1.0" 405 411
193.109.122.52 - - [27/Nov/2006:23:39:54 +0100] "GET http://195.204.1.132:9000 HTTP/1.0" 400 402

traceroute ergab als "Endstation" für den oberen eintrag die IP aus und für den anderen einen "proxypool-52.undernet.org." beide Male in den Niederlanden an!

So jetzt meinie Frage:
Was bedeutet dieses "connect" und was soll das get auf diese IP adresse?
Muss ich mir Sorgen machen? Sind schon komische Einträge!

Danke für eure hilfe

 

[theton]

Hast du in deiner Homepage irgendwas eingebaut, das Status-Infos o.ä. vom Undernet anzeigt oder nutzt du das Undernet sonst irgendwie über diesen Server?

 

[Bellerophon]

über diesen server nicht, ich nutze halt den computer wo es drauf is... also: ich habe ein Chat programm fürs IRC und nutze den, aber nicht über apache oder so!

und was bedeutet nun dieses "connect"?

 

[theton]

Ich glaube kaum, dass das Schaden anrichtet, da dort lediglich der PXSCAN STRING vom Undernet angezeigt wird. Woher das allerdings kommt, kannst nur du allein rausfinden. Ganz offenbar hat ja dein Apache dahin connected. Evtl. hast du auch eine Seite auf dem Webserver, die XSS-anfällig ist, so dass dort per Remote-Include diese Seite aufgerufen wurde. Möglichkeiten gibt es viele, welche in Betracht kommen, kannst du nur allein durch dein System herausbekommen (also mal die Syslogs durchschauen). Wenn du kein IDS am Laufen hast, dürfte es aber sehr schwierig werden das nachzuverfolgen.

 

[Bellerophon]

hm... aber es war nix schlimmes... na dann schonmal *puh*
hm.. war ja ein fehler, hat also keine Verbindung aufgebaut... nunja ich gugg mir einfach weiter die logs an und schau ob sich da noch was tut...