Hallo,
für die Experten eine kleine Frage:
Ein Benutzer einer Webseite surft normal mit seinem Firefox-Browser (sah ich anhand der Logeinträge im accesslog). Zeitgleich oder wenige Zeit später finden sich im errorlog vedächtige Zeilen, verursacht durch die gleiche IP Adresse wie die des Benutzers.. Habe ich so zuvor noch nie gesehen, und ich kontrolliere regelmäßig die errorlogs des Apache. Zum genauen Zeitpunkt der errorlog-Einträge habe ich im accesslog geschaut und konnte eine andere Browseridentität feststellen - weiß ich aber jetzt nicht mehr (vllt. irgendwas Safari-artiges).
Die Zeilen "File does not exist: /var/www/vhosts/xxx.com/httpdocs/img/person_sm_black.png"), url("http:" werden übrigens von einigen Usern erzeugt - erklären kann ich mir dies nicht. Ist nur bei diesem Bild so, habe dort per css 2 background eingebunden. Tut aber hier nichts zur Sache - nur vielleicht weiß auch hierzu jemand was. Habe alle entsprechenden verdächtigen Zeilen rot markiert.
Ich habe zwar keine Ahnung, vermute aber mal dass es sich hierbei nur um einen Versuch, Schwachstellen zu finden, handelt - oder einfach eine lächerliche Aktion von irgendjemandem/irgendwas, die keinerlei Sinn macht, aber den Webmaster zur Verzweiflung treiben soll.
Die IP Adresse ist einem französischen Provider zugeordnet: jof66-1-xx-xxx-xxx-xxx.fbx.proxad.net (FREE SAS). Daher gehe ich davon aus, dass sie zum Zeitpunkt des Geschehens vom Provider nur einmal - und zwar dem entsprechenden User meiner Webseite - zugeteilt wurde. Demnach könnte auf dem Rechner des Users Schadsoftware vorhanden sein, welche die von ihm besuchten Webseiten mit seiner Identität auf Schwachstellen durchforstet. Richtig?
Um weitere Anfragen zu verhindern, habe ich die IP Adresse einfach mal per htaccess geblockt. Wenn mein Verdacht stimmen sollte, bringt das natürlich nicht viel, wenn der User eine neue IP zugewiesen bekommt und die Seite von seinem Rechner aus somit wieder abgerufen werden kann (wobei ich mir in diesem Fall gar nicht sicher bin, da der User im Zeitraum von 4 Tagen stets diese IP Adresse hatte). Macht denn ein Aussperren per htaccess Sinn, sofern der User eine feste IP von seinem Provider hat?
Im Anhang findet sich ein Screenshot eines Auszuges aus dem errorlog. Würde mich freuen, wenn mir jemand sagen könnte, was, wie und warum jemand so etwas in meinem Fehlerlog erzeugen kann. Vielen Dank.
für die Experten eine kleine Frage:
Ein Benutzer einer Webseite surft normal mit seinem Firefox-Browser (sah ich anhand der Logeinträge im accesslog). Zeitgleich oder wenige Zeit später finden sich im errorlog vedächtige Zeilen, verursacht durch die gleiche IP Adresse wie die des Benutzers.. Habe ich so zuvor noch nie gesehen, und ich kontrolliere regelmäßig die errorlogs des Apache. Zum genauen Zeitpunkt der errorlog-Einträge habe ich im accesslog geschaut und konnte eine andere Browseridentität feststellen - weiß ich aber jetzt nicht mehr (vllt. irgendwas Safari-artiges).
Die Zeilen "File does not exist: /var/www/vhosts/xxx.com/httpdocs/img/person_sm_black.png"), url("http:" werden übrigens von einigen Usern erzeugt - erklären kann ich mir dies nicht. Ist nur bei diesem Bild so, habe dort per css 2 background eingebunden. Tut aber hier nichts zur Sache - nur vielleicht weiß auch hierzu jemand was. Habe alle entsprechenden verdächtigen Zeilen rot markiert.
Ich habe zwar keine Ahnung, vermute aber mal dass es sich hierbei nur um einen Versuch, Schwachstellen zu finden, handelt - oder einfach eine lächerliche Aktion von irgendjemandem/irgendwas, die keinerlei Sinn macht, aber den Webmaster zur Verzweiflung treiben soll.
Die IP Adresse ist einem französischen Provider zugeordnet: jof66-1-xx-xxx-xxx-xxx.fbx.proxad.net (FREE SAS). Daher gehe ich davon aus, dass sie zum Zeitpunkt des Geschehens vom Provider nur einmal - und zwar dem entsprechenden User meiner Webseite - zugeteilt wurde. Demnach könnte auf dem Rechner des Users Schadsoftware vorhanden sein, welche die von ihm besuchten Webseiten mit seiner Identität auf Schwachstellen durchforstet. Richtig?
Um weitere Anfragen zu verhindern, habe ich die IP Adresse einfach mal per htaccess geblockt. Wenn mein Verdacht stimmen sollte, bringt das natürlich nicht viel, wenn der User eine neue IP zugewiesen bekommt und die Seite von seinem Rechner aus somit wieder abgerufen werden kann (wobei ich mir in diesem Fall gar nicht sicher bin, da der User im Zeitraum von 4 Tagen stets diese IP Adresse hatte). Macht denn ein Aussperren per htaccess Sinn, sofern der User eine feste IP von seinem Provider hat?
Im Anhang findet sich ein Screenshot eines Auszuges aus dem errorlog. Würde mich freuen, wenn mir jemand sagen könnte, was, wie und warum jemand so etwas in meinem Fehlerlog erzeugen kann. Vielen Dank.
