[Eisfair] [e1] Apache2 ver. 1.8.2 error_log

Olaf Jaehrling eisfair at ojaehrling.de
Mi Jul 30 14:42:35 CEST 2014


Hallo Detlef,


Am 29.07.2014 17:44, schrieb Detlef Paschke:
> Hallo an alle,
> 
> ich habe gerade wieder eine Mail von BFB bekommen, dass ein Zugriff
> blockiert wurde. Was vom Angreifer versucht bzw. getan wurde wird
> weiterhin nicht gezeigt. Das Apache-Log zeigt:
> 
> 123.125.219.67 - - [29/Jul/2014:17:33:18 +0200] "GET
> /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 6484 "-" "ZmEu"
> 187 6763
> 123.125.219.67 - - [29/Jul/2014:17:33:19 +0200] "GET
> /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 6484 "-" "ZmEu" 174 6763
> 123.125.219.67 - - [29/Jul/2014:17:33:20 +0200] "GET
> /phpmyadmin/scripts/setup.php HTTP/1.1" 404 6484 "-" "ZmEu" 174 6763
> 123.125.219.67 - - [29/Jul/2014:17:33:21 +0200] "GET
> /pma/scripts/setup.php HTTP/1.1" 404 6484 "-" "ZmEu" 167 6763
> 123.125.219.67 - - [29/Jul/2014:17:33:22 +0200] "GET
> /myadmin/scripts/setup.php HTTP/1.1" 404 6484 "-" "ZmEu" 171 6763
> 123.125.219.67 - - [29/Jul/2014:17:33:23 +0200] "GET
> /MyAdmin/scripts/setup.php HTTP/1.1" 404 6484 "-" "ZmEu" 171 6763
> 
> Das error_log ist leer da seit der letzten Rotation nichts geloggt
> wurde. Bin ich der einzige mit derartigen Problemen?

Nein, bist du nicht. Beim apache scheint da eine Änderung zu sein.
Ich werde das mal im BFB-Paket anpassen.

In deinem Fall wurde auf /MyAdmin/scripts/setup.php zugegriffen und mit
404 quittiert. Das hat BFB erkannt und geblockt. In meinen Augen falsch
ist, dass es im accesslog drin steht. Da Apache solche Sachen aber
vorher auch schon ab und zu gemacht hat, ist es in BFB ja schon
integriert. Nur halt nicht im detail in der Mail oder auf der HP
dokumentiert.

Gruß

Olaf

> 
> Viele Grüße
> Detlef Paschke
> 



Mehr Informationen über die Mailingliste Eisfair