---

Hej all,

Hvis en apache log fil (access log) indeholder registreringer som denne:
"\x13BitTorrent protocolex" 400 422 "-" "-" Kunne det så ikke indikere
en ulovlig indtrængen?

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917
A computer is like air conditioning: it becomes useless when you open
windows.

---

Den Tue, 15 May 2007 21:35:12 +0200 skrev Michael Rasmussen:
> Hej all,
>
> Hvis en apache log fil (access log) indeholder registreringer som denne:
> "\x13BitTorrent protocolex" 400 422 "-" "-" Kunne det så ikke indikere
> en ulovlig indtrængen?

BitTorrent: En fildelings-protokol.

400: Bad Request.

Så log-indgangen fortæller blot at flg. udveksling har fundet sted:
"Davs, snakker du BitTorrent?"
"Nej, jeg snakker kun web".

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Michael Rasmussen <mir@miras.org> writes:

>Hvis en apache log fil (access log) indeholder registreringer som denne:
>"\x13BitTorrent protocolex" 400 422 "-" "-" Kunne det s=E5 ikke indikere
>en ulovlig indtr=E6ngen?

Næ, umiddelbart ligner det bare nogen, der prøver at hente en
fil ved navn "\x13BitTorrent protocolex".

Din Apache svarer fint tilbage med en "400 Bad File Request",
så alt ser ud til at være i den skønneste orden.

Mvh.
   Klaus.

---

On Tue, 15 May 2007 19:47:06 +0000 (UTC)
Klaus Ellegaard <klausellegaard@msn.com> wrote:

>
> Din Apache svarer fint tilbage med en "400 Bad File Request",
> så alt ser ud til at være i den skønneste orden.
>
Problemet er, jeg har overtaget en gammel mandrake-10.2, der aldrig var
kørt sikkerhedsopdateringer på, og efter at have fundet et gammelt rep.
med diverse opdateringer, og opdateret, er apache stadigvæk kun 2.0.53.

Herudover ser jeg en vældig masse indgange i loggen ala dette:
218.80.37.25 - - [15/May/2007:20:40:47 +0200]
"\x9dR\xc3m4\xb1\b\xcf\xb1\x110\xdf\xdaAG\xd5>\x1e\x8eH\x88T\"\xef\xd9\xf0\xe9;K\xdb\xb5\xb9\x06\x96`\x88\xb1\x82;[\x7f\xcb\xce\xecz
|\xefl\xb8\xbbX^S\x03\xd2R\xd9\x9e\x8f\xc4\x18\x05\b\x1e\xd7Q[\x99\xde\x93:t\xdf\xa2.hb\x9b\x1a\xac*\x16<b}KX\xc2U4r\x82\x93
\xbb\xbc\x85[\xcc\xcc" 400 422 "-" "-"

samtidigt med et stort load ud til forskellige adresser i Kina!-\

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917
A computer is like air conditioning: it becomes useless when you open
windows.

---

Michael Rasmussen <mir@miras.org> writes:

>Problemet er, jeg har overtaget en gammel mandrake-10.2, der aldrig var
>kørt sikkerhedsopdateringer på, og efter at have fundet et gammelt rep.
>med diverse opdateringer, og opdateret, er apache stadigvæk kun 2.0.53.

Jaeh, afhængig af hvordan den er compilet og opsat, kan den have
sikkerhedshuller. Det er ikke fikst at have den på nettet, før
den er opdateret til 2.0.59 (eller det nye 2.2 branch).

>Herudover ser jeg en v=E6ldig masse indgange i loggen ala dette:
>218.80.37.25 - - [15/May/2007:20:40:47 +0200]
>"\x9dR\xc3m4\xb1\b\xcf\xb1\x110\xdf\xdaAG\xd5>\x1e\x8eH\x88T\"\xef\xd9\xf0\=
>xe9;K\xdb\xb5\xb9\x06\x96`\x88\xb1\x82;[\x7f\xcb\xce\xecz
>|\xefl\xb8\xbbX^S\x03\xd2R\xd9\x9e\x8f\xc4\x18\x05\b\x1e\xd7Q[\x99\xde\x93:=
>t\xdf\xa2.hb\x9b\x1a\xac*\x16<b}KX\xc2U4r\x82\x93
>\xbb\xbc\x85[\xcc\xcc" 400 422 "-" "-"

Umiddelbart er der ingen fare - den har også fået en 400'er retur.
Men igen - der kan være andre requests, hvor det kan lykkes at få
kontrol over din maskine.

>samtidigt med et stort load ud til forskellige adresser i Kina!-\

Det er der jo på alle kværne.

Mvh.
   Klaus.

---