Meinung gefragt: Einträge in apache log Dateien bezüglich uri.php

**klimmbimm** · 01.04.2011 08:25

Ich habe in meinen Apache Error Log Dateien lauter Einträge wie diese:

[Thu Mar 31 02:55:32 2011] [error] [client 212.36.80.102] PHP Notice: Undefined index: HTTP_HOST in /srv/www/htdocs/libraries/joomla/environment/uri.php on line 153
[Thu Mar 31 02:58:21 2011] [error] [client 212.36.80.102] PHP Notice: Undefined index: HTTP_HOST in /srv/www/htdocs/libraries/joomla/environment/uri.php on line 153
[Thu Mar 31 03:01:10 2011] [error] [client 212.36.80.102] PHP Notice: Undefined index: HTTP_HOST in /srv/www/htdocs/libraries/joomla/environment/uri.php on line 153
[Thu Mar 31 03:04:09 2011] [error] [client 212.36.80.102] PHP Notice: Undefined index: HTTP_HOST in /srv/www/htdocs/libraries/joomla/environment/uri.php on line 153
[Thu Mar 31 03:06:58 2011] [error] [client 212.36.80.102] PHP Notice: Undefined index: HTTP_HOST in /srv/www/htdocs/libraries/joomla/environment/uri.php on line 153
[Thu Mar 31 03:09:47 2011] [error] [client 212.36.80.102] PHP Notice: Undefined index: HTTP_HOST in /srv/www/htdocs/libraries/joomla/environment/uri.php on line 153
[Thu Mar 31 03:12:49 2011] [error] [client 212.36.80.102] PHP Notice: Undefined index: HTTP_HOST in /srv/www/htdocs/libraries/joomla/environment/uri.php on line 153
[Thu Mar 31 03:15:34 2011] [error] [client 212.36.80.102] PHP Notice: Undefined index: HTTP_HOST in /srv/www/htdocs/libraries/joomla/environment/uri.php on line 153
[Thu Mar 31 03:18:22 2011] [error] [client 212.36.80.102] PHP Notice: Undefined index: HTTP_HOST in /srv/www/htdocs/libraries/joomla/environment/uri.php on line 153

In der Access Log sieht das Ganze so aus:

212.36.80.102 - - [31/Mar/2011:02:55:32 +0200] "CONNECT 64.12.202.8:443 HTTP/1.0" 200 9528 "-" "-"
212.36.80.102 - - [31/Mar/2011:02:58:21 +0200] "CONNECT 64.12.202.1:443 HTTP/1.0" 200 9528 "-" "-"
212.36.80.102 - - [31/Mar/2011:03:01:10 +0200] "CONNECT 64.12.202.116:443 HTTP/1.0" 200 9544 "-" "-"
212.36.80.102 - - [31/Mar/2011:03:04:09 +0200] "CONNECT 64.12.202.15:443 HTTP/1.0" 200 9536 "-" "-"
212.36.80.102 - - [31/Mar/2011:03:06:58 +0200] "CONNECT 64.12.202.22:443 HTTP/1.0" 200 9536 "-" "-"
212.36.80.102 - - [31/Mar/2011:03:09:47 +0200] "CONNECT 64.12.202.29:443 HTTP/1.0" 200 9536 "-" "-"
212.36.80.102 - - [31/Mar/2011:03:12:49 +0200] "CONNECT 64.12.202.36:443 HTTP/1.0" 200 9536 "-" "-"
212.36.80.102 - - [31/Mar/2011:03:15:34 +0200] "CONNECT 64.12.202.43:443 HTTP/1.0" 200 9536 "-" "-"

Ich wundere mich, dass der Status Code 200 (= "OK") zurückgegeben wird. Das heißt ja anscheinend, dass irgendwas erfolgreich war.
Kann mir dazu jemand was sagen?
Bei dem Fehler in der environment/uri.php on line 153 denke ich immer, dass damit eine gepatchte Schwachstelle einer älteren Joomla-Version getestet wird. Ich nutze Joomla 1.5.22.
Kann mir (ein Apache-Kundiger) bitte die Einträge erklären?
Hat das vielleicht sonst noch jemand bei sich beobachtet?

MfG

KB

**automatem** · 01.04.2011 09:27

Ist dies moeglicherweise der default virtual host, wenn eine Webseite auf der gleichen IP Addresse auf dem server aufgerufen wird? Dann waere moeglicherweise $_SERVER['HTTP_HOST'] leer. Oder Zugriffe auf die IP addresse des Server direkt? Wir hatten ein aehnliches Problem, als uns ein Kunde nicht gesagt hatte welche alten Webseiten er auf den neuen Server umgeleitet hat.

Hier ist der whois von 212.36.80.102 - ist das immer die gleiche Addresse?

Domain ID: REG-D345760
Domain Name: srv.cat
Domain Name ACE: srv.cat
Domain Language:
Registrar ID: R-2024 (10dencehispahard S.L. (CDmon.com))
Created On: 2009-05-15 10:30:30 GMT
Last Updated On: 2010-09-28 07:19:26 GMT
Expiration Date: 2012-05-15 10:36:13 GMT
Status: ok
Registrant ID: CD124238342677
Registrant Name: Jaume Palau
Registrant Organization:
Registrant Street: Riera, 20 5 1
Registrant Street:
Registrant City: Pineda de Mar
Registrant State/Province: Barcelona
Registrant Postal Code: 08397
Registrant Country: ES
Registrant Phone: +34.972351684
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: jaume@hispahard.com

HDH, Jochen

**felfert** · 01.04.2011 14:08

Eine leere (undefinierte) variable HTTP_HOST kommt immer dann zustande, wenn der Client im Request den Host: Header weglässt. Also z.B. bei HTTP/1.0 requests:

Beispiel für "normalen" HTTP 1.1 request:

Code:

GET /forum.php HTTP/1.1
Host: www.joomlaportal.de
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.16) Gecko/20110319 Firefox/3.6.16
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.9,de-de;q=0.7,de;q=0.6,nl-be;q=0.4,nl;q=0.3,es;q=0.1
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Proxy-Connection: keep-alive

Entsprechener HTTP/1.0 request (bei 1.0 war der Host: header noch nicht allgemein üblich.)

Code:

GET /forum.php HTTP/1.0

Solche requests werden - wenn überhaupt noch - von einfachen crawlern oder sonstigen bots/scripts verwendet. Insofern nichts wirklich schlimmes, es sei denn der bot hämmert den server anderweitig voll.

Noch was zu dem speziellen log:
Da wird ja kein GET request sondern ein CONNECT abgesetzt. Der client probiert also, ob Dein apache ein offenes mod_proxy konfiguriert hat und sich so als proxy verwenden lässt. Sowas kann man ganz simpel abstellen, wenn man in der apache-config generell nur GET und POST zulässt.

Code:

<Limit PUT DELETE CONNECT OPTIONS PATCH PROPFIND PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
Order deny,allow
deny from all
</Limit>

Oder ggf. besser andersrum definiert:

Code:

<LimitExcept GET POST>
Order deny,allow
deny from all
</LimitExcept>

**klimmbimm** · 04.04.2011 09:01

wow! vielen lieben dank, felfert, für die ausführliche antwort!
ist es denn tatsächlich so, dass apache in der standard-konfiguration einen proxy-server zur verfügung stellt, der dann von jedem genutzt werden kann? bei den connects stand ja noch ein "200", also OK, dabei. d.h. mein webserver wurde als proxy benutzt?

ich habe mal grade mit httpd2 -l und httpd2 -M meine laufenden module anzeigen lassen. für mich sieht es nicht so aus, als ob ich mod_proxy installiert habe. auch in yast habe ich es nicht gefunden. das ist das ergebnis:

Code:

webserver:~ # httpd2 -l
Compiled in modules:
  core.c
  prefork.c
  http_core.c
  mod_so.c

Code:

webserver:~ # httpd2 -M
Loaded Modules:
 core_module (static)
 mpm_prefork_module (static)
 http_module (static)
 so_module (static)
 authz_host_module (shared)
 actions_module (shared)
 alias_module (shared)
 auth_basic_module (shared)
 authz_groupfile_module (shared)
 authn_file_module (shared)
 authz_user_module (shared)
 autoindex_module (shared)
 cgi_module (shared)
 dir_module (shared)
 include_module (shared)
 log_config_module (shared)
 mime_module (shared)
 negotiation_module (shared)
 setenvif_module (shared)
 status_module (shared)
 userdir_module (shared)
 asis_module (shared)
 imagemap_module (shared)
 php5_module (shared)
 perl_module (shared)
 authz_default_module (shared)
 rewrite_module (shared)
 ssl_module (shared)
Syntax OK

EDIT: aha, in der apache dokumentation steht:

The ability to contact remote servers using the SSL/TLS protocol is provided by the SSLProxy* directives of mod_ssl.

mod_ssl hab ich installiert. SSLProxy* directives habe ich aber noch nicht gefunden.

@felfert: in welche der vielen apache konfigurationsdateien bzw. in welchen kontext würde so ein LimitExcept am besten reinpassen?

**felfert** · 04.04.2011 19:13

Zitat von klimmbimm

...ist es denn tatsächlich so, dass apache in der standard-konfiguration einen proxy-server zur verfügung stellt, der dann von jedem genutzt werden kann? bei den connects stand ja noch ein "200", also OK, dabei. d.h. mein webserver wurde als proxy benutzt?

Nein, die 200 kommt deswegen, weil - mangels installiertem mod_proxy - die default-site den request abbekommt und dann "normalen" Content liefert.

Zitat von klimmbimm

@felfert: in welche der vielen apache konfigurationsdateien bzw. in welchen kontext würde so ein LimitExcept am besten reinpassen?

Die einzelnen Linux-Distros handhaben das unterschiedlich. Daher Gegefrage: Welche Distro?

**klimmbimm** · 05.04.2011 13:29

Zitat von felfert

Welche Distro?

openSuse 10.3

**felfert** · 05.04.2011 18:15

Bei dieser gibt's ein Verzeichnis /etc/apache2/conf.d/. Dateien in diesem Verzeichnis, die mit der Extension .conf enden, werden beim start/reload automatisch global includiert.
=> Du legst also eine neue Datei /etc/apache2/conf.d/onlypostget.conf and und schreibst das LimitExcept dort rein. Das hat den Vorteil dass diese Einstellung dann bei Updates nicht verloren geht.

Thema: Meinung gefragt: Einträge in apache log Dateien bezüglich uri.php

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

Meinung gefragt: Einträge in apache log Dateien bezüglich uri.php

Erhielt Danksagungen von:

Erhielt Danksagungen von:

Erhielt Danksagungen von:

Lesezeichen

Lesezeichen

Berechtigungen