web-dev-qa-db-fra.com

Trouver un domaine sur access_logs dans Apache

Je suis en charge d'un serveur qui reçoit des demandes étranges pour un fichier qui n'existe pas et qui n'a jamais existé et j'essaie de trouver le compte d'où il provient (CentOS + Plesk)

Les journaux ressemblent à ceci:

65.52.129.119 - [09/Jul/2015:16:30:35 +0100] "GET /FPURL.xml HTTP/1.1" 262ms 404 272 "-" "-"
65.52.129.119 - [09/Jul/2015:16:30:35 +0100] "GET /FPURL.xml HTTP/1.1" 263ms 404 275 "-" "-"

Comme vous pouvez le voir, quelqu'un essaie d'accéder au fichier FPURL.xml mais il ne dit pas le domaine ou le compte.

Y a-t-il un moyen de trouver d'où ça vient?

J'ai déjà vérifié la documentation Apache mais le seul que j'ai vu est %h qui n'est pas recommandé et %U qui me donne /FPURL.xml.

apachelogs
2
DavidE

À première vue, cela ressemble à un client de Microsoft Hosting qui tente d’accéder à un fichier SharePoint. Il peut s'agir d'un simple effort de collecte de données en ligne ou éventuellement d'un ordinateur infecté par un programme malveillant cherchant des vulnérabilités. Cela peut aller dans les deux sens. Il y a encore très peu d'informations sur ce modèle à raconter. Il semble que des programmes malveillants recherchent ce fichier. Cependant, je n’ai rien trouvé de solide rapidement. Il semble qu'il s'agisse également d'un fichier commun pour SharePoint et une demande de ce type peut ne pas être inhabituelle. Je ne connais pas assez SharePoint pour commenter et je ne suis pas au courant d'une vulnérabilité particulière. La base de données NVD ne fait référence à rien. Ce pourrait être très nouveau ou rien du tout.

Ce n'est pas quelque chose qui m'inquiète trop.

Si vous avez SharePoint, assurez-vous qu'il est à jour et sécurisé. Sinon, ne vous inquiétez pas, laissez-le 404. Si c'est pénible, vous pouvez le bloquer.

En supposant Apache:

RewriteRule ^/?FPURL\.xml$ - [F,L]

Cela a probablement été adressé au serveur à l'aide d'une adresse IP ou d'un nom de domaine non défini dans les fichiers de configuration du serveur. Certaines installations Apache ont un site fourre-tout activé immédiatement après l'installation. Lorsque la demande ne correspond pas à un nom de domaine défini, le site fourre-tout gère la demande. Le site fourre-tout utilise le fichier journal par défaut généralement trouvé dans quelque chose comme /var/log/Apache2/access_log bien qu'il ne doive pas correspondre exactement à cela - tout dépend du package d'installation. C'est probablement ce qui se passe. Toujours rien à craindre.

2
closetnoc

Vous souhaitez configurer Apache pour qu'il enregistre "la règle ServerName canonique du serveur qui traite la demande" à l'aide de la directive %v log. Je configure mon format de journal Apache comme suit:

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %v" combinedserver
CustomLog /var/log/Apache/access_log_virtual_hosts combinedserver

Référence:
http://httpd.Apache.org/docs/2.2/mod/mod_log_config.html

1
Stephen Ostermiller