nicht angemeldet
Nicht erlaubte Usernames in Webalizer
1 0 0 
MudGuard
Nicht erlaubte Usernames in Webalizer
Hallo Experten,
ich betreibe eine Website mit ca. 20.000 Besuchern im Monat und kleinem, selbstgestrickten CMS. Gepflegt wird die Site von drei admins mit unterschiedlichen Usernames die sich per http-Auth, also mit einem Zugangsschutz per .htacess, in ein admin-Verzeichnis einloggen.
In der Webalizer Statistik tauchen nun in der Rubrik Usernames zwei Namen auf, die sich eigentlich nicht einloggen können. In der .htusers sind sie nicht eingetragen.
Unsere erste Vermutung war, dass Webalizer auch die Loginversuche mit unerlaubten Usernames mitloggt. Tests haben ergeben, dem ist nicht so. Das Accesslog bringt leider auch keine Aufklärung - die Dateien reichen nur 5 Tage zurück, die Logins waren aber im April.
Das Errorlog (eine viel kleinere Datei die sehr lange zurückreicht ;) sagt nichts zu den Usernames - die müssen sich also wirklich erfolgreich eingeloggt haben.
Google ist ausnahmsweise nicht mein Freund. Ich finde keine ausführliche Erklärung, wie Webalizer zu den Usernames kommt. Deshalb meine Frage an euch: Wo könnten die nicht in der .htusers aufgelisteten Usernames noch herkommen? Vielleicht weiß jemand mehr darüber oder hat zumindes einen guten Linktipp für mich ... ?
Die Seite ist sehr umfangreich - bisher hat uns niemand seltsame Inhalte gemeldet und wir konnten auch nichts entdecken. Zum Glück! Ich mache mir etwas Sorgen, dass jemand unberechtigten Zugang zu der Website bekommen hat und bin über jeden Tipp dankbar, wie ich noch auf Spurensuche gehen kann.
Mit der Bitte um Hilfe
anschinsan
-
also mit einem Zugangsschutz per .htacess
In der Webalizer-Statistik tauchen nun in der Rubrik Usernames zwei Namen auf, die sich eigentlich nicht einloggen können.
Google ist ausnahmsweise nicht mein Freund. Ich finde keine ausführliche Erklärung, wie Webalizer zu den Usernames kommt.
Webalizer wertet lediglich die Protokolle aus, die der Webserver erzeugt. In der Webalizer-Beschreibung wird gleich im zweiten Punkt auf das Apache-Modul mod_log_config als Quelle verwiesen, und dort wiederum findest du im Abschnitt "Custom Log Formats" folgenden Hinweis:
%...u: Remote user (from auth; may be bogus if return status (%s) is 401)
Es landen also auch ungültige Benutzernamen zumindest im Zugriffsprotokoll, allerdings mit einem entsprechenden Eintrag im Fehlerprotokoll. Deiner Beschreibung nach fehlt euch aber wohl zum einem letzterer und zum anderen übernimmt Webalizer demnach auch keine Benutzernamen, die in Zusammenhang mit einem fehlgeschlagenen Anmeldeversuch im Zugriffsprotokoll landen.
Eine IMHO nur theoretische Quelle wäre Software, die ohne Not eine Authorization-Zeile schickt (dient zur Übertragung der Anmeldedaten). Macht sie dies bei einem nicht geschützten Objekt, würde so eine "Anmeldung" logischerweise auch nicht fehlschlagen.
Zumindest der Apache 2 schreibt den Namen in diesem Fall aber nicht ins Protokoll, aber vielleicht läuft bei euch ja ein anderer.Wo könnten die nicht in der .htusers aufgelisteten Usernamen noch herkommen?
Der aus der HTTP-Authentifizierung gewonnene Name im Serverprotokoll ist beim Standard-Webalizer die einzige Quelle. Ist natürlich etwas unglücklich, wenn ausgerechnet dieses Protokoll schon wenige Tage nach Erzeugung gelöscht wird. Vielleicht solltet ihr das mal ändern.
-
Danke für deine Mühe - die Worte 'may be bogus' beruhigen mich schon Mal ein wenig!
Vielleicht habe ich mich falsch ausgedrückt. Wir haben ein Fehlerprotokoll, das auch nicht gelöscht wird. Der Login mit den falschen Namen hat aber leider keinen Fehler verursacht.
Das Zugriffsprotokoll hat allerdings ein Limit damit wir nicht innerhalb kurzer Zeit die Festplatte voller Logdateien haben. Wir sollten allerdings das Limit den Benutzerzahlen anpassen, die seit einem neuen Feature auf der Site stark angestiegen sind. Mein Fehler!
Na ja - aus Fehlern wird man klug. Danke nochmal, dass du mir dabei hilfst! Ich werde mich genauer in das mod_log_config Modul einarbeiten.
-
Hi,
Vielleicht habe ich mich falsch ausgedrückt. Wir haben ein Fehlerprotokoll, das auch nicht gelöscht wird. Der Login mit den falschen Namen hat aber leider keinen Fehler verursacht.
Wieso steht er dann im Fehlerprotokoll, wenn's kein Fehler war?
cu,
Andreas--
Warum nennt sich Andreas hier MudGuard?
O o ostern ...
Fachfragen unaufgefordert per E-Mail halte ich für unverschämt und werde entsprechende E-Mails nicht beantworten. Für Fachfragen ist das Forum da.
-
Wieso steht er dann im Fehlerprotokoll, wenn's kein Fehler war?
Hi Andreas,
es steht eben nichts im Fehlerprotokoll. Sollte es aber - weil die Benutzer nicht gültig sind. Sie sind in der .htusers nicht angeführt. Fehlgeschlagene Loginversuche stehen im Error log - akzeptierte aber leider nicht. Die Namen habe ich aus der Webalizer Monatsübersicht - wo alle per Http-Auth eingeloggten Benutzer des Monats als Usernames aufgeführt werden.
Im Acess Log würde stehen, was die eingeloggten Benutzer gemacht haben. Die Zugriffsprotokolle sind aber leider nur mehr für die letzten 5 Tage verfügbar. Ich kann also leider nicht nachvollziehen, was diese Benutzer gemacht haben und finde auch an der Site nichts verändert.
Dieses 'Nicht wissen was da passiert ist' macht mich ganz kribbelig! Deshalb bin ich auf der Suche nach weiterführenden Tipps und Infos ...
Schöne Grüße aus Tirol
Anschinsan-
Dieses 'Nicht wissen was da passiert ist' macht mich ganz kribbelig! Deshalb bin ich auf der Suche nach weiterführenden Tipps und Infos ...
Schöne Grüße aus Tirol
-
-
-
-