einsiedler: Verständnissfragen zum Log

Hallo liebe Forumer,

heute habe ich einfach mal eine Verständnisfrage zu meinem Log, und zwar taucht seid einiger Zeit dies hier bei mir auf:

2020-05-13 01:26:43	Error	188.68.0.117	400	CONNECT meineseite3.net:443 HTTP/1.0		Unbekannt	150	SSL/TLS-Zugriff für Apache

Dieses CONNECT meineseite3.net:443

Was will derjenige damit bezwecken, was passiert damit? Wozu ist es gut? Kann mir das mal jemand beantworten?

Häufiger habe ich immer dieses hier:

2020-05-13 07:14:03	Error	185.166.87.198	404	HEAD /phpMyAdmin/ HTTP/1.0		Unbekannt	142	Apache-Zugriff

Auch hier worum geht es hier, kann mir das mal jemand beantworten?

Neu ist nun dieses hier, das kann ich gar nicht verstehen:

2020-05-13 16:21:47	Error	31.13.191.87	404	GET /assets/global/plugins/jquery-file-upload/server/php/index.php?secure=1 HTTP/1.0		Unbekannt	1.22 K	Apache-Zugriff
2020-05-13 16:21:48	Error	31.13.191.87	404	GET /assets/plugins/jquery-file-upload/server/php/index.php?secure=1 HTTP/1.0		Unbekannt	1.22 K	Apache-Zugriff
2020-05-13 16:21:49	Error	31.13.191.87	404	GET /assets/jquery-file-upload/server/php/index.php?secure=1 HTTP/1.0		Unbekannt	1.22 K	Apache-Zugriff
2020-05-13 16:21:50	Error	31.13.191.87	404	GET /phpformbuilder/plugins/jQuery-File-Upload/server/php/index.php HTTP/1.0
2020-05-13 16:32:27	Error	35.234.95.185	403	GET /.git/HEAD HTTP/1.0		Unbekannt	375	Apache-Zugriff
2020-05-13 16:32:27	Error	35.234.95.185	404	GET /.git/HEAD HTTP/1.0		Unbekannt	1.22 K	Apache-Zugriff
2020-05-13 16:32:27	Error	35.234.95.185	403	GET /.git/HEAD HTTP/1.0		Unbekannt	575	Apache-Zugriff
2020-05-13 16:32:27	Error	35.234.95.185	404	GET /.git/HEAD HTTP/1.0		Unbekannt	1.22 K	Apache-Zugriff
2020-05-13 16:32:27	Error	35.234.95.185	404	GET /.git/HEAD HTTP/1.0		Unbekannt	1.22 K	Apache-Zugriff
2020-05-13 16:32:27	Error	35.234.95.185	404	GET /.git/HEAD HTTP/1.0		Unbekannt	1.22 K	Apache-Zugriff
2020-05-13 16:32:27	Access	35.234.95.185	301	GET /.git/HEAD HTTP/1.1		Unbekannt	162	SSL/TLS-Zugriff für nginx

Worum geht es hier?

Kann mir das mal bitte jemand erklären!

Danke im vorraus!

Der misanthrop

  1. Hallo einsiedler,

    den CONNECT kann ich nicht erklären, bei den anderen Zugriffen dürfte jemand herausfinden wollen, ob es eine jquery-file-upload Seite oder ein .git Repository gibt, womit man dann weiteren Schabernack treiben kann. Möglicherweise haben diese Komponenten bekannte Schwachstellen.

    Rolf

    --
    sumpsi - posui - obstruxi
    1. Danke Rolf.

      Nun, beides existiert ja nicht, Fehlermeldung 404. HEHE...

      Und dieses ominöse HEAD? Was will er damit?

      1. Hallo einsiedler,

        HEAD-Requests geben die gleichen Header zurück, die ein GET-Request auf diese Resource zurückgeben würde. Anhand dieser Informationen kann dann ein Client entscheiden, ob er tatsächlich einen GET-Request stellen will oder lieber doch nicht. Etwa um Bandbreite zu sparen.

        Freundliche Grüße,
        Christian Kruse

    2. Hallo Rolf,

      den CONNECT kann ich nicht erklären, […]

      CONNECT ist eine Proxy-Methode. Im Zusammenhang mit Apache und mod_proxy gab es in der Vergangenheit diverse Sicherheitslücken bzw. Fehlkonfigurationen.

      Möglicherweise haben diese Komponenten bekannte Schwachstellen.

      Ja.

      Freundliche Grüße,
      Christian Kruse

      1. Aha, schon mal ein Ansatz. Aber ich verstehe trotzdem nicht so ganz. Meine Seite bei der dies angewendet wurde, hat HTTPS/SSL mit allen Zertifikaten Wird versucht eine KOPIE von der Seite zu erstellen irgendwoanders (illegal gehostet) oder was?

        Grüße

        1. Hallo einsiedler,

          nein. Es ist ein automatisierter Scan auf bekannte Schwachstellen. Mehr nicht.

          Freundliche Grüße,
          Christian Kruse

          1. Na da will ich mal hoffen das mein Hoster "gewappnet" ist.

            Grüße

            1. Hi,

              Na da will ich mal hoffen das mein Hoster "gewappnet" ist.

              Du könntest ihn bitten, eine Firewallkonfiguration für penetrante Wiederholungsfälle passend einzurichten und sie Dir zu erläutern.

              Auch Grüße
              Mitleser

              1. Das wäre nochmal etwas anderes als meine .htaccess Blacklist die ich ohnehin habe, oder? Was ist dann der Vorteil?

                Der misanthrop

                1. Du könntest ihn bitten, eine Firewallkonfiguration für penetrante Wiederholungsfälle passend einzurichten und sie Dir zu erläutern.

                  Das wäre nochmal etwas anderes als meine .htaccess Blacklist die ich ohnehin habe, oder? Was ist dann der Vorteil?

                  Die Firewall blockiert die Verbindungsaufnahme, bevor der Apache belästigt wird. Das ist also „billiger“ und auch auf einem Router bzw. Level-3-Switch möglich. In dem Fall könnte dann nicht nur ein Server bzw. Dienst geschützt werden, sondern auch dessen Nachbarn, genau genommen sogar ganze Rechenzentren. Letzteres z.B. durch einen Carrier.

                2. Hi,

                  Das wäre nochmal etwas anderes als meine .htaccess Blacklist die ich ohnehin habe, oder? Was ist dann der Vorteil?

                  Eine dynamische Firewall stellt automatisch die IPs von penetranten Fehlversuchen fest und sperrt diese eine zeitlang oder dauerhaft aus.

                  mfG
                  Mitschützer