hallo Patrick,

Interessant ist der User-Agent:
"Mozilla/5.0 (Macintosh; QHL; PPC Mac OS X; en-US) AppleWebKit/78C.1 (KHTML, like Geco, Safari) OmniWeb/v955.YU"
Bei un- oder gut gefakten UAs steht immerhin noch: »like Gecko« [1] ;)

Tatsächlich ist das _kein_ Tippfehler von mir, sondern es steht in meinem log wirklich "Geco".

Warum liefert Dein Server ein 403? Hast Du die Anweisung gegeben?

Vermutlich. Ich habe für 127.0.0.1 ein "forbidden" gesetzt. "pc1" wird über 192.168.0.1 in der lokalen hosts-Datei angesteuert.

Da gibt es noch etwas: "pc1" ist auch der erste virtuelle Host in meiner httpd.conf. Wenn ich nun einen Proxy zwischenschalte, liefert mir mein Apache im log korrekterweise sowas:
pc1.mms-dresden.de - - [08/Dec/2007:21:04:21 +0100] "GET / HTTP/1.1" 200 4877 "-" "Opera/9.23 (Windows NT 5.1; U; de)"
Das heißt, "pc1" wird erstmal an den Proxy "mms-dresden.de" gebunden (für den hab ich ein Zertifikat und Nutzungsrechte). Bekommt hier eine 200 zurück, und das ist auch richtig, auch die Angabe "Opera" ist korrekt, das bin ich selber. Wenn ich den Proxy ausschalte, aber in den Browsereinstellungen drinlasse, kriege ich die übliche Meldung "kann nicht angezeigt werden".

Das Ding, das da aber Zugriff haben will, weiß offenbar von meinem Proxy nix. Und produziert munter weiter Einträge der Art (bitte Datum/Zeit beachten):

pc1 - - [08/Dec/2007:21:10:34 +0100] "GET /pages/index.php?refid=83146 HTTP/1.1" 403 311 "-" "Mozilla/5.0 (Macintosh; QHL; PPC Mac OS X; en-US) AppleWebKit/68C.3 (KHTML, like Geco, Safari) OmniWeb/v946.YU"  
pc1 - - [08/Dec/2007:21:12:36 +0100] "GET /monitor.php?kind=1&lang=0&user=4125 HTTP/1.1" 403 303 "-" "Mozilla/5.0 (Macintosh; QHL; PPC Mac OS X; en-US) AppleWebKit/68C.3 (KHTML, like Geco, Safari) OmniWeb/v946.YU"  
pc1 - - [08/Dec/2007:21:39:43 +0100] "GET /?ref=61385 HTTP/1.1" 403 300 "-" "Mozilla/5.0 (Macintosh; QHL; PPC Mac OS X; en-US) AppleWebKit/68C.3 (KHTML, like Geco, Safari) OmniWeb/v946.YU"  
pc1 - - [08/Dec/2007:21:51:04 +0100] "GET /pages/index.php?refid=83146 HTTP/1.1" 403 311 "-" "Mozilla/5.0 (Macintosh; QHL; PPC Mac OS X; en-US) AppleWebKit/68C.3 (KHTML, like Geco, Safari) OmniWeb/v946.YU"  
pc1 - - [08/Dec/2007:21:53:05 +0100] "GET /monitor.php?kind=1&lang=0&user=4125 HTTP/1.1" 403 303 "-" "Mozilla/5.0 (Macintosh; QHL; PPC Mac OS X; en-US) AppleWebKit/68C.3 (KHTML, like Geco, Safari) OmniWeb/v946.YU"

Zu dem angegebenen Zeitpunkt ist der Proxy eingeschaltet.

Offensichtlich kann "das Ding" über die eigentlich "privaten" IPs 127.0.0.1 und/oder 192.168.0.1 kommen, und genau das verstehe ich nicht. Die sollten doch "von außen" nicht ansprechbar sein, egal, welchen Statuscode sie bei irgendeinem Aufrufversuch produzieren. Letztlich scheitert der Zugriffsversuch möglicherweise am Proxy. Was aber will das Teil denn mit den immer wiederkehrenden Parametern "refid=83146", und warum sucht es nach "/pages/index.php" bzw. "/monitor.php" und dann ganz speziell nach "/monitor.php?kind=1&lang=0&user=4125"? PHP-Scripts mit solchen Namen habe ich nicht, und erst recht keine, die mit solchen sehr spezifischen Parametern was anfangen könnten.

Ich habe "pc1" auch schon auf die ebesno "private" IP 172.24.20.2 gesetzt. Da hatte ich dann knapp einen Tag lang Ruhe, diese Meldungen im log schienen verschwunden - aber nach knapp einem Tag waren sie wieder da.

[1] Wenn da »sings like Greco« stehen würde, würde ich auf einen Franzosen tippen...

;-) Das würde immerhin auf etlichen Kunstsinn schließen lassen, ja.

Grüße aus Berlin

Christoph S.