Abbildung 1: Webalizer Xtended liefert für den 6. Dezember die Falsch-verbunden-Meldungen.
Webalizer ist ein Spezialist für das Auswerten von Webserver-Logfiles. Einen neues Patch erweitert das Tool um eine Komponente – es macht sichtbar, was nie da war.
|
Inhalt |
|---|
|
66 | Schicht-7-Netfilter Eine Firewall kann Applikationen auch an unerwarteten Ports identifizieren. 72 | Bluetooth Bluetooth-Geräte sind für Angreifer ein offenes Buch. 76 | Postfix Restriction Classes Postfix-Konfiguration für ein Zwei-Klassen-Postsystem. |
Ab und zu stöbere ich durch die Logfiles meines Webservers, aber wirklich nur ab und zu. (Von den Dingern lese ich berufsbedingt schon oft genug.) Dass ich dabei Einträge finde, die mit “falsch verbunden” zu erklären sind, ist alltäglich. Manchmal gibt es tolle Sachen wie
tharis.xxxxx.at - - [03/Dec/2005:08:24:43+0100] "GET /LOST HTTP/1.1" 404 1025 "-""Mozilla/4.0"
zu bestaunen. Das ist zwar bizarr, aber harmlos. Anders wenn jemand gezielt und systematisch Dateien ansteuert, über die ich ein Security Advisory gelesen habe. In den letzten Wochen gab es zum Beispiel Meldungen über Sicherheitsmacken in PHP-MyAdmin und PHP-BB. In diese Kategorie fallen wohl auch die Zugriffe auf Dateien mit den Endungen ».mdb« und ».asp«, die ich heute im Log fand. Listing 1 zeigt eine Auswahl.
|
Listing 1: |
|---|
01 cncln.online.ln.cn - - [05/Dec/2005:22:09:04 +0100] "GET /bbs/upload.asp?action=upfile HTTP/1.1" 404 1025 "-" "InetURL:/1.0" 02 58.241.228.180 - - [06/Dec/2005:03:32:54 +0100] "GET /bbs/diy.asp HTTP/1.1" 404 1025 "-" "Mozilla/4.0" 03 222.62.228.179 - - [06/Dec/2005:07:19:49 +0100] "GET /bbs/diy.asp HTTP/1.1" 404 1025 "-" "InetURL:/1.0" 04 220.191.42.203 - - [13/Oct/2005:10:12:23 +0200] "GET /data/dvbbs6.mdb HTTP/1.1" 404 1025 "-" "InetURL:/1.0" 05 220.191.42.203 - - [13/Oct/2005:10:12:24 +0200] "GET /data/dvbbs7.mdb HTTP/1.1" 404 1025 "-" "InetURL:/1.0" |
Der langen Rede kurzer Sinn: Ich will erfahren, welche Zugriffe auf meinen Webserver ins Leere laufen. So erkenne ich Angriffsmuster, die vielleicht auf meinen anderen Servern zu Ärger führen werden. Als netten Nebeneffekt sehe ich, welche Site-Links tot sind und dringend meiner Korrektur bedürfen.
Der 404 hat System
An dieser Stelle kommt Webalizer, ein guter Bekannter, ins Spiel. Patrick Frei hat ein Patch für Webalizer programmiert, mit dem die Logauswertung eine weitere Statistik liefert: über Requests, die der Webserver mit einem »404 – File not found« quittiert hat. Abbildung 1 zeigt sie für meinen Webserver am 6. Dezember 2005. Auf den ersten Blick ist zu erkennen, dass die Einträge, die ich beim manuellen Durchstöbern des Logfile gesehen hatte, keine Einzelfälle sind. Außerdem ist zu sehen, dass es tatsächlich ein paar kaputte Links gibt, um die ich mich mal kümmern müsste.
Abbildung 1: Webalizer Xtended liefert für den 6. Dezember die Falsch-verbunden-Meldungen.
Es gibt zwei Möglichkeiten, den aufgebohrten Webalizer zu bekommen: Unter [1] gibt es den vollständigen Code inklusive appliziertem Patch. Er kompiliert mit: »./configure«, »make« und »make install«. Voraussetzung ist nur, dass sich die Pakete Zlib, Libpng und GD sowie die zugehörigen Devel-Pakete auf dem System befinden. Bei [1] gibt es auch ein Patch, mit dem das Webalizer-Original zum Webalizer Xtended aufsteigt. Dazu begibt man sich in das Verzeichnis, in dem der Webalizer-Source liegt, und führt
patch -Np1 -i /Pfad /webalizer-2.01-10-RB06-patch
aus. Danach den Webalizer wie beschrieben kompilieren. Für Gentoo-Benutzer gibt es gar ein Ebuild. Ich wünsche allen nur wenig falsch Verbundene! (jk)
|
Infos |
|---|
|
[1] Webalizer: [http://www.webalizer.go.to] |
|
Der Autor |
|---|
|
|
Copyright © 2002 Linux New Media AG
