Apache : Echte IP Anzeigen lassen ?

[Atomara]

Hi@all

ich habe den apache server laufen und bekomme manchmal seltsame zugriffe von außen , heißt dass ich nach exploits gescannt werde



192.168.1.254 - "" [08/Oct/2004:00:29:43 +0200] "OPTIONS / HTTP/1.1" 401 480 "-" "Microsoft-WebDAV-MiniRedir/$
192.168.1.254 - - [08/Oct/2004:00:29:45 +0200] "OPTIONS / HTTP/1.1" 401 480 "-" "Microsoft-WebDAV-MiniRedir/5$
192.168.1.254 - admin [08/Oct/2004:00:29:47 +0200] "OPTIONS / HTTP/1.1" 401 480 "-" "Microsoft-WebDAV-MiniRed$
192.168.1.254 - - [08/Oct/2004:00:29:48 +0200] "OPTIONS / HTTP/1.1" 401 480 "-" "Microsoft-WebDAV-MiniRedir/5$
192.168.1.254 - admin [08/Oct/2004:00:30:09 +0200] "OPTIONS / HTTP/1.1" 401 480 "-" "Microsoft-WebDAV-MiniRed$
192.168.1.254 - - [08/Oct/2004:00:30:36 +0200] "OPTIONS / HTTP/1.1" 401 480 "-" "Microsoft-WebDAV-MiniRedir/5$
192.168.1.254 - admin [08/Oct/2004:00:30:37 +0200] "OPTIONS / HTTP/1.1" 401 480 "-" "Microsoft-WebDAV-MiniRed$
192.168.1.254 - - [08/Oct/2004:00:30:42 +0200] "OPTIONS / HTTP/1.1" 401 480 "-" "Microsoft-WebDAV-MiniRedir/5$


usw...

ihr kennt das ja sicher
das blöde ist nur dass ich den angreifer nicht zurückverfolgen kann da nur die ip des routers angezeigt wird , aber sicher gibts ne lösung dafür und ich weiß dass ihr sie kennt

vielen dank für eure antworten im vorraus

 

[bananenman]

einige router schreiben einen eigenen logfile - damit kann man anhand der zugriffszeiten bestimmt die originale ip ermitteln. die meisten billig-router machen das aber leider nicht - dann gibt es gibt eine andere gute aber leider etwas aufwändige lösung: besorg dir einen alten rechner (p1-120 oder sowas - 1gb hdd, 64 mb-ram, 2 nic's), spiel da den ipcop drauf ersetze damit den router. der ipcop hat ein eingebautes intrusion-detection system und bietet dir mir einem mausklick eine ripe-whois abfrage auf jede ip die irgendwelche komischen sachen macht. aus erfahrung kann ich dir sagen, dass die meisten "einbruchsversuche" bei mir immer eine verbindungsabfrage der telekomm war (die wollten wahrscheinlich immer nur wissen ob an diesem ende der leitung ein schwarzes loch oder doch nur ein ewig brummernder rechenknecht steht).
allerdings hat der ipcop natürlich auch die einbruchsversuche auf port 22 dokumentiert ...

mfg

bananenman

 

[oyster-manu]

müsste es nicht doch viel einfacher gehen?
wenn ich zum (schlechten) beispiel bei miranda (ein ICQ prog) auf user details klicke, sehe ich da die user ip und die ip des routers, falls einer verwendet wird. von daher gehe ich mal davon aus, dass apache das auch kann.

 

[bananenman]

mhhh - vielleicht könntest du den loglevel für den normalen und den error_log mal auf debug (oder stufe 9) stellen (bin mir aber im moment nicht sicher wo) - aber vorsicht: ein so hoher loglevel kann die partition schnell vollaufen lassen.

ich bezweifele aber, dass das den gewüschten erfolg bringt: wenn der router die anfragende ip so nicht weitergibt, wird er sie dann auchnicht weitergeben. läuft der apache bei dir in einer dmz oder arbeitest du mit port-forewarding?
mfg

bananenman

edit: das stichwort nach dem du in der httpd_conf suchen musst heist: loglevel . standard ist "warn" - eine liste der möglichen loglevel findest du hier

 

[Atomara]

der apache läuft übers port forwarding

 

[fossy]

ich fahre auch nen portforward auf lohrey.dnsalias.com. trotzdem sehe ich sowas...

84.129.79.76 - - [08/Oct/2004:14:09:50 +0200] "GET /rapitrade/Schnellwahlhtml/ HTTP/1.1" 304 - "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7) Gecko/20040928 Firefox/0.9.3" "-"
84.129.121.47 - - [09/Oct/2004:00:05:40 +0200] "OPTIONS / HTTP/1.1" 200 - "-" "Microsoft-WebDAV-MiniRedir/5.1.2600" "-"
84.129.67.161 - - [09/Oct/2004:01:07:07 +0200] "GET /egroupware_2004-10-06-001_bug_14_tg_termin.png HTTP/1.1" 200 132735 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7) Gecko/20040928 Firefox/0.9.3" "-"
84.129.67.161 - - [09/Oct/2004:02:38:22 +0200] "GET /rapitrade/Schnellwahlhtml/ HTTP/1.1" 304 - "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.3) Gecko/20040922 Debian/1.7.3-1" "-"
84.114.128.197 - - [09/Oct/2004:03:00:35 +0200] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\...

gib uns mal nen cat /etc/apache/httpd.conf|grep "LoadModule "|sort und nen
cat /etc/apache/httpd.conf|grep ProxyVia

 

[Atomara]

ich fahre auch nen portforward auf lohrey.dnsalias.com. trotzdem sehe ich sowas...

??? was meinst du das ? portforwardings für deinen dns ?



nuclearblast:/daten/atomara/.fun/inc# cat /etc/apache/httpd.conf|grep "LoadModule "|sort
# it yourself with a LoadModule [see the DSO paragraph in the 'Global
#LoadModule put_module modules/mod_put.so


nuclearblast:/daten/atomara/.fun/inc# cat /etc/apache/httpd.conf|grep ProxyVia
#ProxyVia On

 

[bananenman]

fossy meint sein apache steht in seinem lokalen lan und wird per portforewarding vom router versorgt - das "lohrey.dnsalias.com" ist nur eine dynamische dns-adresse. so läuft das bei mir auch (ist übrigens ein interessantes cms-system). offentsichtlich läd dein apache keinerlei module - was ist das für eine version?

mfg

bananenman

 

[Atomara]

die aktuellste 1er version

 

[fossy]

das finde ich doch sehr seltsam ...
aber die _neueste_ version dürfte die 1.3.31 sein und die module bereits ausgelagert haben.
dann gib uns mal bitte nen cat /etc/apache/modules.conf

 

[fossy]

du solltest, wenn mod_log_common aktiv ist folgendes logfile format haben:

host ident authuser date request status bytes

und host ist (zitat):

The fully-qualified domain name of the client, or its IP number if the name is not available.
(kommt auf HostnameLookups [On|Off ] an)

hmmm,... bist du dir sicher, dass du keinen webacclerator (anstatt nem forward) laufen hast?

denn wenn du nen squid als acclerator einsetzt, hast du auch derartige logentries. dann müsstest du die logs deiner fw checken. gute geräte geben die auch gerne an nen syslogserver weiter.

gruss, fossy.

 

[Atomara]

ich habe mal


HostnameLookups auf On gestellt , wird das helfen ?


edit: tut es nicht



ich habe mal meine config angehängt

 

[Atomara]

http://www.linuxfocus.org/Deutsch/March2000/article147.shtml

unter dieser url beschreibt der autor folgendes problem

Die Nachteile

Da der Hauptserver proxy Anfragen zu dem internen Server schickt, kann man in den Logfiles des internen Servers keine sinnvollen Informationen mehr finden. Es sieht immer so aus, als ob dieselbe Person auf den Webserver zugreift. Man kann die Anfragen aber natürlich in den Logs des Hauptservers finden.
Die Anfragen für den internen Host solsparc.hometranet.home finden sich nun auf dem Hauptserver sun.docs.developer.ch:
Auszüge aus den Logfiles von sun.docs.developer.ch

197.0.22.3 - - [05/Nov/1999:22:09:04 +0100] "GET /index.html HTTP/1.0" 304 -
187.0.45.67 - - [05/Nov/1999:22:09:04 +0100] "GET /navi.html HTTP/1.0" 304 -
177.0.5.45 - - [05/Nov/1999:22:09:04 +0100] "GET /entrees.html HTTP/1.0" 304 -
227.0.9.67 - - [05/Nov/1999:22:09:15 +0100] "GET /complets.html HTTP/1.0" 304 -
137.0.7.23 - - [05/Nov/1999:22:09:19 +0100] "GET /menu_poisson.html HTTP/1.0" 200 841
193.192.245.73 - - [05/Nov/1999:22:09:25 +0100] "GET /volailles.html HTTP/1.0" 304 -
192.167.0.1 - - [05/Nov/1999:22:09:44 +0100] "GET /agneau.html HTTP/1.0" 304 -

Auf solsparc.hometranet.home findet man

192.168.1.1 - - [05/Nov/1999:22:09:04 +0100] "GET /index.html HTTP/1.0" 304 -
192.168.1.1 - - [05/Nov/1999:22:09:04 +0100] "GET /navi.html HTTP/1.0" 304 -
192.168.1.1 - - [05/Nov/1999:22:09:04 +0100] "GET /entrees.html HTTP/1.0" 304 -
192.168.1.1 - - [05/Nov/1999:22:09:15 +0100] "GET /complets.html HTTP/1.0" 304 -
192.168.1.1 - - [05/Nov/1999:22:09:19 +0100] "GET /menu_poisson.html HTTP/1.0" 200 841
192.168.1.1 - - [05/Nov/1999:22:09:25 +0100] "GET /volailles.html HTTP/1.0" 304 -
192.168.1.1 - - [05/Nov/1999:22:09:44 +0100] "GET /agneau.html HTTP/1.0" 304 -
192.168.1.1 - - [05/Nov/1999:22:09:56 +0100] "GET /desserts_ind.html HTTP/1.0" 304 -
192.168.1.1 - - [05/Nov/1999:22:10:00 +0100] "GET /cocktails.html HTTP/1.0" 304 -
192.168.1.1 - - [05/Nov/1999:22:10:10 +0100] "GET /cgi-bin/commande.cgi HTTP/1.0" 200 2146


genau das problem habe ich auch , allerdings verwende ich keinen proxy sondern nur einen router

 

[bananenman]

ich greif fossy's frage nochmal auf: bietet dein router die möglichkeit sein log an einen syslog-server zu schicken (z.b. sollten das die ganzen d-link-router sollten eigendlich können)?

mfg

bananenman

 

[Atomara]

nee ich hab son scheiß teil von fiberline das kann sowas nicht

 

[bananenman]

mhh - keine ahnung wie du deinen router zu etwas mehr auskunftsfreudigkeit überreden kannst. es gibt aber noch andere möglichkeiten - die erste ist die mit dem ipcop (ganz oben in diesem thread), die zweite heißt ebay: dort bekommst du gebrauchte, werksüberholte router von d-link für kleines geld (informier dich aber vorher, ob dier spezielle router diese funktion auch wirklich bietet).

mfg

bananenman

 

[sysdef]

nee ich hab son scheiß teil von fiberline das kann sowas nicht

den WL-3044R ?
http://www.fiberlinenetworks.de/Preislisten/fiberline_produkte/wireless_lan/WL3044R_72.jpg

~sys

 

[Atomara]

naja so ähnlich