Ciao a tutti,
controllando l'accesslog ho notato molte entry con il "-" al posto di alcuni campi. Che capiti al posto dell'utente lo capisco ma al posto del source address????
vi viene in mente qualcosa???
Ciao a tutti,
controllando l'accesslog ho notato molte entry con il "-" al posto di alcuni campi. Che capiti al posto dell'utente lo capisco ma al posto del source address????
vi viene in mente qualcosa???
Humans are aliens to the rest of the galaxy
prendendo un log qualsiasi con il - devi vedere in che posizione si trova, al 99% non è niente di preoccupante...
riporta un log con il - così ti potrò dire con più certezza di cosa si tratta
ti anticipo che se è messo o sono messi subito dopo l'ip è tutto regolare perchè si tratta degli elementi "ident" e "authuser", il primo è l'informazione di identità se la direttiva identitycheck è attiva e il secondo ci dice se la richiesta è relativa ad un documento protetto da password.
NON ABBANDONATE CANI O GATTI!!!
Grazie activ,
ma effettivamente anch'io ero abituato a vedere il "-" sul campo ident o authuser...
qua il problema è che me lo ritrovo anche dove dovrebbe stare il client ip!!!!
praticamente mi trovo dei log con l'URL e il return code e tutti gli altri campi a "-" inclusi anche i bytes inviati...
Humans are aliens to the rest of the galaxy
posta qualche log
NON ABBANDONATE CANI O GATTI!!!
Ecco un sample ma c'è veramente poco da vedere...
- - - [04/Mar/2011:15:21:40 +0100] "GET / HTTP/1.1" 200 - "-" "-"
- - - [04/Mar/2011:15:21:40 +0100] "GET / HTTP/1.1" 200 26449 "-" "-"
in alcuni ho i byte inviati in altri neanche quello!
Humans are aliens to the rest of the galaxy
scusa ma da sempre ti compare così o da un pò?
allora fai così apri il file di configurazione di apache e trova la direttiva LogFormat e postala qui... di li capiamo come è configurato...
potrebbe o essere impostata male oppure apache non riesce ad indentificare alcuni valori
NON ABBANDONATE CANI O GATTI!!!
seee magari...
non è un problema di formato, i log non sono tutti così ma tra log ben "compilati" mi trovo righe come queste!
non vorrei che apache comincia a loggare così quando ha troppo carico...
Humans are aliens to the rest of the galaxy
la direttiva hostnamelookups com'è? attivata o disattivata?
non penso si tratti di alto carico di apache, evidentemente apache non riesce a risolvere il nome dell'host comunque dubito si tratti di qualcosa di preoccupante, al 90% un hacker fa uscire un indirizzo ip fasullo e no un valore vuoto per non destare sospetti
monitora comunque i log nei prossimi giorni per vedere come va la situazione
le cause possono essere diverse ma ripeto, secondo me non è nulla di preoccupante
NON ABBANDONATE CANI O GATTI!!!
hostnamelookup è off e infatti normalmente mi trovo gli ip.
Non credo si possa fare una GET senza ip sorgente anche perchè dovrebbe essere al layer 7 e quindi la three-way handshake è già fatta al 4...
Per quanto ne so io per arrivare all'httpd i due endpoint s'hanno da parla'!!!
Quello che mi manda ai pazzi è che l'unico riferimento che ho trovato è sulla documentazione di apache ma si riferisce solo al campo "user"...
Humans are aliens to the rest of the galaxy
Permessi di invio
Rispondi quotando