[linux] Re: Apache log

Hugo van der Kooij hvdkooij op vanderkooij.org
Ma Dec 5 20:01:23 CET 2005


On Mon, 5 Dec 2005, Rob Sterenborg wrote:

> =======
> Referer:
>
> This optional header field allows the client to specify, for the
> server's benefit, the address ( URI ) of the document (or element within
> the document) from which the URI in the request was obtained.
> =======

referer spam: Dump een dummy waarde in je referer header als je een web
verzoek doet en bombardeer een site ermee. Als er iets zichtbaars met het
referer gegeven gebeurd dan heb je weer een plek die naar jouw refereert.

Voorbeeld uit mijn log:

24.171.33.44 - - [04/Dec/2005:05:05:31 +0100] "GET / HTTP/1.0" 403 3931
"http://kingaporn.com/" "-"
61.251.13.166 - - [04/Dec/2005:05:05:32 +0100] "GET / HTTP/1.0" 403 3931
"http://kingaporn.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.0)"
61.99.135.39 - - [04/Dec/2005:05:22:17 +0100] "GET / HTTP/1.0" 403 3931
"http://matureporn4u.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.0)"
58.236.1.248 - - [04/Dec/2005:05:45:14 +0100] "GET / HTTP/1.0" 403 3931
"http://maturegalleries.org/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows
NT 5.0)"

Ik heb inmiddels een reeks filters gemaakt maar dat schijnt deze machines
niets te deren. Ze krijgen null op request En ze komen niet in de
reguliere logs.

Het is wel eng om te zien hoeveel machines hieraan mee doen. Dat moet toch
een stevig verspreide backdoor zijn.

Hugo.

-- 
	I hate duplicates. Just reply to the relevant mailinglist.
	hvdkooij op vanderkooij.org		http://hvdkooij.xs4all.nl/
		Don't meddle in the affairs of magicians,
		for they are subtle and quick to anger.



More information about the Linux mailing list