Re: Logs Apache

Page principale

Répondre à ce message
Auteur: Olivier Allard-Jacquin
Date:  
CC: guilde
Sujet: Re: Logs Apache
    Bonsoir,

didier.guidera@??? a écrit :
> Bonjour à tous,
> J'ai des collections de Logs Apache de ce style. Une connexion acceptée et 
> puis rien derrière ...
> Une précision : mon serveur est sur le réseau 82.67.X.X et toutes les 
> connexions de ce style proviennent de machines du même sous-réseau.
> Au palmarès du plus grand nombre de connexions en 3 jours on trouve :
> 82.67.113.19    :       63 fois
> 82.67.179.183   :       30 fois
> 82.67.183.197   :       32 fois
> 82.67.85.177    :       21 fois
> Savez-vous à quoi cela correspond ?
> Merci pour votre aide
> Didier

>
> 82.67.210.175 - - [02/Oct/2005:07:07:40 +0200] "GET / HTTP/1.0" 200 3652
> "-" "-" "-"


- 82.67.210.175
Adresse IP de la machine qui a fait la connexion

- -
Identifiant de l'utilisateur à distance, basé sur le protocole
"ident". A moins de configuration particulière, tu auras toujours "-"

- -
Identifiant de l'utilisateur si celui-ci s'est identifié par HTTP
(variable CGI-BIN "REMOTE_USER"). La plupart des cas, c'est aussi "-".
Et spécialement dans ton cas, puisque le client n'accède qu'à une seule page

- [02/Oct/2005:07:07:40 +0200]
Date/heure de la connexion

- "GET / HTTP/1.0"
Page téléchargé par le client. Ici, c'est le répertoire de base qui
est demandé. Ta machine peut soit renvoyer la liste des fichiers du
répertoire de base de ton "DocumentRoot" ("/var/wwwr/html/), soit la
page "index.html". Cela dépend de la configuration de ton Apache.

- 200
Code de retour envoyé au navigateur. Ici, c'est "200", donc cela veut
dire que le serveur a envoyé un contenu (une page HTML, une image,
quelque chose d'intéressant)

- 3652
Taille du contenu envoyé. 3.6Ko environ

- "-" "-" "-"
A partir de là, ce n'est plus standard. Il te faut regarder la
directive "LogFormat" dans ton /etc/http/conf/httpd.conf (ou le fichier
de configuration Apache de ta machine, car tu n'as pas indiqué ta
distribution). C'est une ligne de ce style :

<exemple>
LogFormat "%v %h %l %u %t \"%r\" %>s %b \"%{Referer}i\"
\"%{User-Agent}i\" VLOG=%{VLOG}e" vhost
</exemple>

    Les explications sont dans la doc Apache. Chez moi (MDK 10.2), c'est
/usr/share/doc/apache2-manual-2.0.53/mod/mod_log_config.html#logformat


    Pour résumer, ces machines demandent à ton serveur Apache de leur
donner le fichier situé à la base de ton arborescence HTTP. Vu qu'il ne
semble pas y avoir "User-Agent" pour ces connexions (un des "-" à la fin
doit être le user agent), je suppute que ce ne soit pas un navigateur
web qui les fasse.


    A mon avis, il y a 2 possibilités :
- Ces machines sont des Windows 2K/XP, et elles prennent ta machine pour
 un serveur de fichier NetBIOS/Samba. Dans ce cas, elles veulent avoir
des informations dessus, informations qui sont parfois fournies par le
serveur IIS qui tournent en parallèle sur les serveurs MS
- Un petit rigolo a lancé un virus, ou un soft d'analyse du réseau (de
style nmap, mais qui fait de l'analyse de contenu des services), et il
veut en savoir un peu plus sur ta machine.


    Le plus simple est de demander aux propriétaires de ces machines ce
qu'ils font.


    Voir, de lancer un "nmap -O [adresse IP]" pour savoir ce que sont ces
machines ("man nmap" pour plus d'infos). Mais si tu n'es pas l'admin de
ce réseau, le vrai admin risque de venir te poser des questions, et
voudra savoir pourquoi tu utilises un scanner de ports... ;)


    A plus,


                            Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
      /   / \  / \   \   Web:  http://olivieraj.free.fr/
     /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!