Foros del Web » Administración de Sistemas » Apache »

Caso extraño con archivo access.log

Estas en el tema de Caso extraño con archivo access.log en el foro de Apache en Foros del Web. Amigos, alguien puede que significa esto: Código: 10.10.1.45 - - [25/Sep/2005:21:09:59 +0400] "GET / HTTP/1.0" 200 2748 10.10.1.45 - - [25/Sep/2005:21:10:00 +0400] "GET SCANNER HTTP/1.1" ...
  #1 (permalink)  
Antiguo 25/09/2005, 13:35
Avatar de flaviovich  
Fecha de Ingreso: agosto-2005
Ubicación: Lima, Peru
Mensajes: 2.951
Antigüedad: 19 años, 4 meses
Puntos: 39
Caso extraño con archivo access.log

Amigos, alguien puede que significa esto:
Código:
10.10.1.45 - - [25/Sep/2005:21:09:59 +0400] "GET / HTTP/1.0" 200 2748
10.10.1.45 - - [25/Sep/2005:21:10:00 +0400] "GET SCANNER HTTP/1.1" 400 335
10.10.1.45 - - [25/Sep/2005:21:10:02 +0400] "GET /whiommyuwvkibigo.htm HTTP/1.0" 404 275
10.10.1.45 - - [25/Sep/2005:21:10:17 +0400] "GET / HTTP/1.1" 200 2748
10.10.1.45 - - [25/Sep/2005:21:10:17 +0400] "GET /https-admserv/bin/index HTTP/1.1" 404 290
10.10.1.45 - - [25/Sep/2005:21:10:17 +0400] "GET /Admin.po?proceed=yes HTTP/1.1" 404 275
10.10.1.45 - - [25/Sep/2005:21:10:18 +0400] "GET /Admin/index.jsp HTTP/1.1" 404 282
10.10.1.45 - - [25/Sep/2005:21:10:18 +0400] "GET /std.html HTTP/1.1" 404 275
10.10.1.45 - - [25/Sep/2005:21:10:18 +0400] "GET /servlet/ServletManager HTTP/1.1" 404 289
10.10.1.45 - - [25/Sep/2005:21:10:18 +0400] "GET /admin/contextAdmin/contextList.jsp HTTP/1.1" 404 301
10.10.1.45 - - [25/Sep/2005:21:10:18 +0400] "GET / HTTP/1.0" 200 2748
10.10.1.45 - - [25/Sep/2005:21:10:18 +0400] "PUT /rnmhdscveb.txt HTTP/1.1" 405 304
10.10.1.45 - - [25/Sep/2005:21:10:21 +0400] "GET / HTTP/1.0" 200 2748
10.10.1.45 - - [25/Sep/2005:21:10:22 +0400] "GET /~scinqxrd HTTP/1.0" 404 264
10.10.1.45 - - [25/Sep/2005:21:10:22 +0400] "GET /~root HTTP/1.0" 404 260
10.10.1.45 - - [25/Sep/2005:21:10:22 +0400] "GET /~toor HTTP/1.0" 404 260
10.10.1.45 - - [25/Sep/2005:21:10:22 +0400] "GET /~admin HTTP/1.0" 404 261
10.10.1.45 - - [25/Sep/2005:21:10:22 +0400] "GET /~test HTTP/1.0" 404 260
10.10.1.45 - - [25/Sep/2005:21:10:23 +0400] "GET /~user HTTP/1.0" 404 260
10.10.1.45 - - [25/Sep/2005:21:10:23 +0400] "GET /~webmaster HTTP/1.0" 404 265
10.10.1.45 - - [25/Sep/2005:21:10:23 +0400] "GET /~master HTTP/1.0" 404 262
10.10.1.45 - - [25/Sep/2005:21:10:23 +0400] "TRACE /jkvrbhicgs.html HTTP/1.1" 200 59
10.10.1.45 - - [25/Sep/2005:21:10:23 +0400] "TRACK /<wtakhuikoe>.html HTTP/1.1" 403 294
10.10.1.45 - - [25/Sep/2005:21:10:24 +0400] "GET /mcgi/ccndhqalwp/unfile.log HTTP/1.0" 404 281
10.10.1.45 - - [25/Sep/2005:21:10:24 +0400] "GET /cgi-bin/jhpgksxaoy/passwd.htm HTTP/1.0" 404 284
10.10.1.45 - - [25/Sep/2005:21:10:24 +0400] "GET /adminlslon56719 HTTP/1.0" 404 270
10.10.1.45 - - [25/Sep/2005:21:10:24 +0400] "GET /cgi-bin/ckaidvxfuk.pl?x=y&y=x HTTP/1.0" 404 276
10.10.1.45 - - [25/Sep/2005:21:10:25 +0400] "GET /scripts/%2e%2e/%2e%2e/..%c0%af../..%c0%af../rkcynupjvk/njgdcyitadcmd.exe HTTP/1.0" 400 389
10.10.1.45 - - [25/Sep/2005:21:10:25 +0400] "GET /../../../../../../../../../psqqsfordu/mndwqaeiie.php HTTP/1.0" 400 369
10.10.1.45 - - [25/Sep/2005:21:10:25 +0400] "GET /pifmumadminmxdkgpasswdodsuuaccesspmady HTTP/1.0" 404 293
La lista es inmensa, mas de 3000 lineas.

Este bloque se repite muchas veces, y solo varia en la extension del archivo:
Código:
10.10.1.45 - - [25/Sep/2005:21:16:52 +0400] "GET /a.tar.gz HTTP/1.0" 404 263
10.10.1.45 - - [25/Sep/2005:21:16:52 +0400] "GET /access.tar.gz HTTP/1.0" 404 268
10.10.1.45 - - [25/Sep/2005:21:16:54 +0400] "GET /admin.tar.gz HTTP/1.0" 404 267
10.10.1.45 - - [25/Sep/2005:21:16:54 +0400] "GET /admins.tar.gz HTTP/1.0" 404 268
10.10.1.45 - - [25/Sep/2005:21:16:54 +0400] "GET /b.tar.gz HTTP/1.0" 404 263
10.10.1.45 - - [25/Sep/2005:21:16:54 +0400] "GET /c.tar.gz HTTP/1.0" 404 263
10.10.1.45 - - [25/Sep/2005:21:16:55 +0400] "GET /cgi.tar.gz HTTP/1.0" 404 265
10.10.1.45 - - [25/Sep/2005:21:16:55 +0400] "GET /check.tar.gz HTTP/1.0" 404 267
10.10.1.45 - - [25/Sep/2005:21:16:55 +0400] "GET /client.tar.gz HTTP/1.0" 404 268
10.10.1.45 - - [25/Sep/2005:21:16:55 +0400] "GET /clients.tar.gz HTTP/1.0" 404 269
10.10.1.45 - - [25/Sep/2005:21:16:56 +0400] "GET /d.tar.gz HTTP/1.0" 404 263
10.10.1.45 - - [25/Sep/2005:21:16:56 +0400] "GET /db.tar.gz HTTP/1.0" 404 264
10.10.1.45 - - [25/Sep/2005:21:16:56 +0400] "GET /data.tar.gz HTTP/1.0" 404 266
10.10.1.45 - - [25/Sep/2005:21:16:56 +0400] "GET /debug.tar.gz HTTP/1.0" 404 267
10.10.1.45 - - [25/Sep/2005:21:16:57 +0400] "GET /download.tar.gz HTTP/1.0" 404 270
10.10.1.45 - - [25/Sep/2005:21:16:57 +0400] "GET /e.tar.gz HTTP/1.0" 404 263
10.10.1.45 - - [25/Sep/2005:21:16:57 +0400] "GET /error.tar.gz HTTP/1.0" 404 267
10.10.1.45 - - [25/Sep/2005:21:16:57 +0400] "GET /errors.tar.gz HTTP/1.0" 404 268
10.10.1.45 - - [25/Sep/2005:21:16:57 +0400] "GET /example.tar.gz HTTP/1.0" 404 269
10.10.1.45 - - [25/Sep/2005:21:16:57 +0400] "GET /examples.tar.gz HTTP/1.0" 404 270
10.10.1.45 - - [25/Sep/2005:21:16:58 +0400] "GET /f.tar.gz HTTP/1.0" 404 263
10.10.1.45 - - [25/Sep/2005:21:16:58 +0400] "GET /forget.tar.gz HTTP/1.0" 404 268
10.10.1.45 - - [25/Sep/2005:21:16:58 +0400] "GET /forgot.tar.gz HTTP/1.0" 404 268
10.10.1.45 - - [25/Sep/2005:21:16:58 +0400] "GET /g.tar.gz HTTP/1.0" 404 263
10.10.1.45 - - [25/Sep/2005:21:16:58 +0400] "GET /get.tar.gz HTTP/1.0" 404 265
10.10.1.45 - - [25/Sep/2005:21:16:58 +0400] "GET /h.tar.gz HTTP/1.0" 404 263
10.10.1.45 - - [25/Sep/2005:21:16:58 +0400] "GET /help.tar.gz HTTP/1.0" 404 266
10.10.1.45 - - [25/Sep/2005:21:16:59 +0400] "GET /i.tar.gz HTTP/1.0" 404 263
10.10.1.45 - - [25/Sep/2005:21:16:59 +0400] "GET /j.tar.gz HTTP/1.0" 404 263
10.10.1.45 - - [25/Sep/2005:21:16:59 +0400] "GET /k.tar.gz HTTP/1.0" 404 263
10.10.1.45 - - [25/Sep/2005:21:16:59 +0400] "GET /l.tar.gz HTTP/1.0" 404 263
10.10.1.45 - - [25/Sep/2005:21:16:59 +0400] "GET /log.tar.gz HTTP/1.0" 404 265
10.10.1.45 - - [25/Sep/2005:21:16:59 +0400] "GET /login.tar.gz HTTP/1.0" 404 267
10.10.1.45 - - [25/Sep/2005:21:16:59 +0400] "GET /logins.tar.gz HTTP/1.0" 404 268
10.10.1.45 - - [25/Sep/2005:21:17:00 +0400] "GET /logs.tar.gz HTTP/1.0" 404 266
10.10.1.45 - - [25/Sep/2005:21:17:00 +0400] "GET /m.tar.gz HTTP/1.0" 404 263
10.10.1.45 - - [25/Sep/2005:21:17:00 +0400] "GET /n.tar.gz HTTP/1.0" 404 263
10.10.1.45 - - [25/Sep/2005:21:17:00 +0400] "GET /o.tar.gz HTTP/1.0" 404 263
10.10.1.45 - - [25/Sep/2005:21:17:00 +0400] "GET /order.tar.gz HTTP/1.0" 404 267
10.10.1.45 - - [25/Sep/2005:21:17:00 +0400] "GET /p.tar.gz HTTP/1.0" 404 263
10.10.1.45 - - [25/Sep/2005:21:17:01 +0400] "GET /pass.tar.gz HTTP/1.0" 404 266
10.10.1.45 - - [25/Sep/2005:21:17:01 +0400] "GET /passwd.tar.gz HTTP/1.0" 404 268
10.10.1.45 - - [25/Sep/2005:21:17:01 +0400] "GET /password.tar.gz HTTP/1.0" 404 270
10.10.1.45 - - [25/Sep/2005:21:17:01 +0400] "GET /passwords.tar.gz HTTP/1.0" 404 271
10.10.1.45 - - [25/Sep/2005:21:17:01 +0400] "GET /private.tar.gz HTTP/1.0" 404 269
10.10.1.45 - - [25/Sep/2005:21:17:01 +0400] "GET /profile.tar.gz HTTP/1.0" 404 269
10.10.1.45 - - [25/Sep/2005:21:17:01 +0400] "GET /q.tar.gz HTTP/1.0" 404 263
10.10.1.45 - - [25/Sep/2005:21:17:02 +0400] "GET /r.tar.gz HTTP/1.0" 404 263
10.10.1.45 - - [25/Sep/2005:21:17:02 +0400] "GET /read.tar.gz HTTP/1.0" 404 266
10.10.1.45 - - [25/Sep/2005:21:17:02 +0400] "GET /readme.tar.gz HTTP/1.0" 404 268
10.10.1.45 - - [25/Sep/2005:21:17:02 +0400] "GET /remote.tar.gz HTTP/1.0" 404 268
10.10.1.45 - - [25/Sep/2005:21:17:02 +0400] "GET /root.tar.gz HTTP/1.0" 404 266
10.10.1.45 - - [25/Sep/2005:21:17:02 +0400] "GET /rootlogin.tar.gz HTTP/1.0" 404 271
10.10.1.45 - - [25/Sep/2005:21:17:03 +0400] "GET /s.tar.gz HTTP/1.0" 404 263
10.10.1.45 - - [25/Sep/2005:21:17:03 +0400] "GET /send.tar.gz HTTP/1.0" 404 266
10.10.1.45 - - [25/Sep/2005:21:17:03 +0400] "GET /service.tar.gz HTTP/1.0" 404 269
10.10.1.45 - - [25/Sep/2005:21:17:04 +0400] "GET /shared.tar.gz HTTP/1.0" 404 268
10.10.1.45 - - [25/Sep/2005:21:17:04 +0400] "GET /source.tar.gz HTTP/1.0" 404 268
10.10.1.45 - - [25/Sep/2005:21:17:04 +0400] "GET /stat.tar.gz HTTP/1.0" 404 266
10.10.1.45 - - [25/Sep/2005:21:17:04 +0400] "GET /status.tar.gz HTTP/1.0" 404 268
10.10.1.45 - - [25/Sep/2005:21:17:04 +0400] "GET /stats.tar.gz HTTP/1.0" 404 267
10.10.1.45 - - [25/Sep/2005:21:17:04 +0400] "GET /t.tar.gz HTTP/1.0" 404 263
10.10.1.45 - - [25/Sep/2005:21:17:05 +0400] "GET /temp.tar.gz HTTP/1.0" 404 266
10.10.1.45 - - [25/Sep/2005:21:17:05 +0400] "GET /test.tar.gz HTTP/1.0" 404 266
10.10.1.45 - - [25/Sep/2005:21:17:05 +0400] "GET /testing.tar.gz HTTP/1.0" 404 269
10.10.1.45 - - [25/Sep/2005:21:17:05 +0400] "GET /u.tar.gz HTTP/1.0" 404 263
10.10.1.45 - - [25/Sep/2005:21:17:05 +0400] "GET /user.tar.gz HTTP/1.0" 404 266
10.10.1.45 - - [25/Sep/2005:21:17:05 +0400] "GET /users.tar.gz HTTP/1.0" 404 267
10.10.1.45 - - [25/Sep/2005:21:17:05 +0400] "GET /v.tar.gz HTTP/1.0" 404 263
10.10.1.45 - - [25/Sep/2005:21:17:06 +0400] "GET /view.tar.gz HTTP/1.0" 404 266
10.10.1.45 - - [25/Sep/2005:21:17:06 +0400] "GET /w.tar.gz HTTP/1.0" 404 263
10.10.1.45 - - [25/Sep/2005:21:17:06 +0400] "GET /web.tar.gz HTTP/1.0" 404 265
10.10.1.45 - - [25/Sep/2005:21:17:06 +0400] "GET /x.tar.gz HTTP/1.0" 404 263
10.10.1.45 - - [25/Sep/2005:21:17:06 +0400] "GET /y.tar.gz HTTP/1.0" 404 263
10.10.1.45 - - [25/Sep/2005:21:17:06 +0400] "GET /z.tar.gz HTTP/1.0"
Explico mas al detalle mi problema.
Tengo instalado localmente Apache 1.3.26.
En nuestra red local, tenemos cerca de 100 usuarios. A este usuario (10.10.1.45) no lo conozco, y no entiendo como se entero que tengo instalado un servidor Apache. Yo este servidor lo uso para fines de trabajo.
Entonces, mis preguntas son:
1. Como hacer que en mi red local ciertas personas puedan ver mi server?
2. Que significan esos numeros al final de cada linea (404 263)?
3. Que debo hacer para aumentar la seguridad de mi servidor. Es decir, que parametros o directivas debo activar?
Yo en realidad de servidores no se mucho.
Espero que alguien pueda amablemente aconsejarme :)
__________________
No repitamos temas, usemos el Motor de busquedas
Plantea bien tu problema: Ayúdanos a ayudarte.
  #2 (permalink)  
Antiguo 26/09/2005, 12:29
 
Fecha de Ingreso: septiembre-2005
Mensajes: 14
Antigüedad: 19 años, 2 meses
Puntos: 0
Extraño

Hola flaviovich,
Ese access log te muestra que desde ese ip esta jalando a o descargando los archivos que ahi ves /example.tar.gz , /u.tar.gz, etc.
Ese ip 10.10.1.45, es un ip de red lo mas probable es que alguno de los usuarios del servidor este infectado y desde esa maquina esten bajando cosas de tu servidor apache o que usen un proxy.
Lo mas recomendable es que instales un firewall en el server apache y que solo tengan acceso los 100 usuarios conocidos.

Saludos
  #3 (permalink)  
Antiguo 26/09/2005, 13:02
Avatar de flaviovich  
Fecha de Ingreso: agosto-2005
Ubicación: Lima, Peru
Mensajes: 2.951
Antigüedad: 19 años, 4 meses
Puntos: 39
pero esos archivos no existen en mi servidor.
yo uso Zone Alarm, a ese firewall te refieres?
podrias responder a las 3 preguntas q hice mas arriba?
__________________
No repitamos temas, usemos el Motor de busquedas
Plantea bien tu problema: Ayúdanos a ayudarte.
  #4 (permalink)  
Antiguo 26/09/2005, 13:27
 
Fecha de Ingreso: septiembre-2005
Mensajes: 14
Antigüedad: 19 años, 2 meses
Puntos: 0
404 and firewall

Esos mensajes de HTTP/1.0" 404 se refiere a que no se encontro 404 es igual a not found.
Por otro lado igual existen los gets, si esos archivos no estan en tu server lo mas probable es que esten escaneando a ver si encuentran alguno y por ahi dar con la vulnerabilidad. O por otro lado puede ser un worm o virus.
Sobre el firewall ya que usas windows, te recomiendo el mcfee firewall, ya que te permite crear tu propia lista blanca y bloquear todo el resto, asi solo agregas tus 100 usuarios.
Para aumentar la seguridad de tu server, basta con tener bien configurado tu firewall , bien parchado el sistema operativo donde corres el apache y el mismo apache.

Saludos
  #5 (permalink)  
Antiguo 26/09/2005, 13:49
Avatar de flaviovich  
Fecha de Ingreso: agosto-2005
Ubicación: Lima, Peru
Mensajes: 2.951
Antigüedad: 19 años, 4 meses
Puntos: 39
Podrias decirme que significa TRACE y TRACK? estan en el 1er cuadro.
y que significa el numero despues de 404?
en apache hay que activar alguna directiva para aumentar la seguridad? o hay algun parche para estos casos?
__________________
No repitamos temas, usemos el Motor de busquedas
Plantea bien tu problema: Ayúdanos a ayudarte.
  #6 (permalink)  
Antiguo 26/09/2005, 14:39
 
Fecha de Ingreso: septiembre-2005
Mensajes: 14
Antigüedad: 19 años, 2 meses
Puntos: 0
apache

El comando trace sirve para abrir un archivo ascci, tambien puede contener un script. El track no lo conozco.
Lo que te puedo sugerir es que te instalar el mod security, que es un buen mod del apache usado bastante, te paso el link: http://www.modsecurity.org

Saludos
  #7 (permalink)  
Antiguo 26/09/2005, 14:45
Avatar de flaviovich  
Fecha de Ingreso: agosto-2005
Ubicación: Lima, Peru
Mensajes: 2.951
Antigüedad: 19 años, 4 meses
Puntos: 39
muchas gracias escalibur!
lo instalare, y espero no tener mas ese problema.
suerte!
__________________
No repitamos temas, usemos el Motor de busquedas
Plantea bien tu problema: Ayúdanos a ayudarte.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 20:50.