Hi,

gibt es ein Tool, mit dem ich Logfiles eines Indianers bzgl.
"Unregelmässigkeiten" überwachen kann? Braucht nicht Echtzeit sein. Zur Not
nehm ich logsentry, aber wenn es da noch anderes gäbe...

Danke und Gruß, Helmut

"Helmut Schneider" <jumper99> (07-07-09 19:35:38):

> gibt es ein Tool, mit dem ich Logfiles eines Indianers bzgl.
> "Unregelmässigkeiten" überwachen kann? Braucht nicht Echtzeit
> sein. Zur Not nehm ich logsentry, aber wenn es da noch anderes gäbe....

Definiere "Unregelmäßigkeiten". In der Regel ist es sinnvoller,
"Unregelmäßigkeiten" zu verhindern als sie nur zu überwachen.


MfG,
Ertugrul Söylemez.

Ertugrul Soeylemez <do-not-spam-me> wrote:
> "Helmut Schneider" <jumper99> (07-07-09 19:35:38):
>> gibt es ein Tool, mit dem ich Logfiles eines Indianers bzgl.
>> "Unregelmässigkeiten" überwachen kann? Braucht nicht Echtzeit
>> sein. Zur Not nehm ich logsentry, aber wenn es da noch anderes gäbe...
> Definiere "Unregelmäßigkeiten".

news:cfyqiplvh0kj.dlg. Wenn man jetzt nicht danach sucht, findet
man sowas kaum. Ich weiss, dass man nach sowas nicht automatisiert suchen
kann, aber man kann "reguläre" Einträge zumindest ausfiltern und dann
nachsehen, was übrig bleibt. Und dafür suche ich ein sinnvolles Tool.

> In der Regel ist es sinnvoller, "Unregelmäßigkeiten" zu verhindern als sie
> nur zu überwachen.

Du kennst eine Software, die frei von Fehlern ist?! Her damit!! :)

Hallo Ertugrul Soeylemez, Du teiltest mit:

> "Helmut Schneider" <jumper99> (07-07-09 19:35:38):
>
> > gibt es ein Tool, mit dem ich Logfiles eines Indianers bzgl.
> > "Unregelmässigkeiten" überwachen kann? Braucht nicht Echtzeit
> > sein. Zur Not nehm ich logsentry, aber wenn es da noch anderes gäbe...

Ich nehme grep, sed, awk und echo. Lässt sich scripten und
automatisieren.

> Definiere "Unregelmäßigkeiten". In der Regel ist es sinnvoller,
> "Unregelmäßigkeiten" zu verhindern als sie nur zu überwachen.

Einen DDoS aus der Kalten heraus, nur weil Helmut irnkwas auf seinen
Seiten stehen hat, was anderen ncith passt, wird man kaum verhindern
können, einen DoS-Angriff bei bekanntem Muster dann schon eher.

Variante: Zugriffsversuche, die nicht mit 404 o.ä. quittiert werden auf
Bereiche, die nicht gelesen werden sollten.

Muster suchen, die in Advisories bzgl. des Indianers genannt werden, und
dagegen checken. Die meisten Lücken betreffen im Zusammenhang mit dem
Indianer verwendete Module, besonders beliebt (IIRC): SSL.

BTW: wat'n das?
XXX.YYY.48.66 - - [09/Jul/2007:07:10:28 +0200]
"GET /_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=6551&STRMVER=4&CAPREQ= 0
HTTP/1.1" 404 1095 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1)"
XXX.YYY.48.66 - - [09/Jul/2007:07:10:29 +0200] "GET
/MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=6551&STRMVER=4&CAPREQ= 0 HTTP/1.1"
404 1095 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;
..NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1)"

XXX.YYY steht für die Universität, von der aus ich meine ersten
Usenet-Versuche abgesetzt habe.

Wolfgang

Hallo Helmut Schneider, Du teiltest mit:

> > Definiere "Unregelmäßigkeiten".
>
> news:cfyqiplvh0kj.dlg. Wenn man jetzt nicht danach sucht, findet
> man sowas kaum.

| grep echo.*uname.*echo |...

> Ich weiss, dass man nach sowas nicht automatisiert suchen
> kann,

Kann man schon - muss man halt wissen.

> aber man kann "reguläre" Einträge zumindest ausfiltern und dann
> nachsehen, was übrig bleibt. Und dafür suche ich ein sinnvolles Tool.

grep -v
z.B. grep -v auf alle normal geformten URLs, grep -v auf Zugriffe, die
von vertrauenswürdigen Sites (seine eigenen zB, bei mir der Eintrag
"WebWasher" bzw. opera.*$1, nutzt kein anderer bis zu diesem Posting
hier ;-) ) kommen, grep -v auf Pattern von SEs ...

(bzgl grep: falls Windows, dann cygwin)

HTH
Wolfgang

Wolfgang Ewert schrieb:
> BTW: wat'n das?
> XXX.YYY.48.66 - - [09/Jul/2007:07:10:28 +0200]
> "GET /_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=6551&STRMVER=4&CAPREQ= 0
> HTTP/1.1" 404 1095 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
> 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1)"
> XXX.YYY.48.66 - - [09/Jul/2007:07:10:29 +0200] "GET
> /MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=6551&STRMVER=4&CAPREQ= 0 HTTP/1.1"
> 404 1095 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;
> .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1)"
>
> XXX.YYY steht für die Universität, von der aus ich meine ersten
> Usenet-Versuche abgesetzt habe.

Frontpage Hacks. Schreibs dem RZ der Uni.

Helmut Schneider schrieb:
> gibt es ein Tool, mit dem ich Logfiles eines Indianers bzgl.
> "Unregelmässigkeiten" überwachen kann? Braucht nicht Echtzeit sein. Zur Not
> nehm ich logsentry, aber wenn es da noch anderes gäbe...

eigentlich sollte das error_log immer so leer sein,
dass man es mit "more" gut betrachten kann.

Vielleicht suchst Du aber sowas:

http://www.oreillynet.com/pub/a/sysa...rver-logs.html

Hallo Jens Hektor, Du teiltest mit:

> eigentlich sollte das error_log immer so leer sein,
> dass man es mit "more" gut betrachten kann.

.... | grep -v "File does not exist" [| grep -v "Invalid method in
request" ]
ACK.

Wie soll ich Ersteres verhindern? Und bei Zweiterem sollte evtl. geguckt
werden; den Eintrag bekomme ich aber bereits bei einem
$ telnet $server http \n get \n\n - und das kann ich schlecht verbieten.

Wolf'ganz ohne grep gehts nicht'gang

Hallo Jens Hektor, Du teiltest mit:

> > BTW: wat'n das?
> > XXX.YYY.48.66 - - [09/Jul/2007:07:10:28 +0200]
> > "GET /_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=6551&STRMVER=4&CAPREQ= 0
> > HTTP/1.1" 404 ...
> > XXX.YYY.48.66 - - [09/Jul/2007:07:10:29 +0200] "GET
> > /MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=6551&STRMVER=4&CAPREQ= 0 HTTP/1.1"
> > 404 ...

> Frontpage Hacks. Schreibs dem RZ der Uni.

THX,
Wolfgang

Jens Hektor <hektor> wrote:
> Helmut Schneider schrieb:
>> gibt es ein Tool, mit dem ich Logfiles eines Indianers bzgl.
>> "Unregelmässigkeiten" überwachen kann? Braucht nicht Echtzeit sein.
>> Zur Not nehm ich logsentry, aber wenn es da noch anderes gäbe...
> eigentlich sollte das error_log immer so leer sein,
> dass man es mit "more" gut betrachten kann.

OK, werd ich den "Webmastern" ausrichten. Vielleicht entfernen die dann auch
mal die toten Links... :)

> Vielleicht suchst Du aber sowas:
> [..]
> zation-for-web-server-logs.html

Ah, Du kennst SequoiaView! Aber lass mal, es war schwer genug, mit dem
Kiffen aufzuhören. Wenn ich Figure 4 lange genug anschaue, bekomm ich nur
nen Rückfall.

Wolfgang Ewert <w.ewert2002> wrote:
> Hallo Helmut Schneider, Du teiltest mit:
>>> Definiere "Unregelmäßigkeiten".
>> news:cfyqiplvh0kj.dlg. Wenn man jetzt nicht danach sucht,
>> findet man sowas kaum.
> | grep echo.*uname.*echo |...

Harhar...

>> aber man kann "reguläre" Einträge zumindest ausfiltern und dann
>> nachsehen, was übrig bleibt. Und dafür suche ich ein sinnvolles Tool.
> grep -v
> z.B. grep -v auf alle normal geformten URLs, grep -v auf Zugriffe, die
> von vertrauenswürdigen Sites (seine eigenen zB, bei mir der Eintrag
> "WebWasher" bzw. opera.*$1, nutzt kein anderer bis zu diesem Posting
> hier ;-) ) kommen, grep -v auf Pattern von SEs ...

Hatte ich mal angefangen, irgendwann wurde der Pattern aber -
unübersichtlich.

Helmut Schneider schrieb:
> Jens Hektor <hektor> wrote:
>> Helmut Schneider schrieb:
>>> gibt es ein Tool, mit dem ich Logfiles eines Indianers bzgl.
>>> "Unregelmässigkeiten" überwachen kann? Braucht nicht Echtzeit sein.
>>> Zur Not nehm ich logsentry, aber wenn es da noch anderes gäbe...
>> eigentlich sollte das error_log immer so leer sein,
>> dass man es mit "more" gut betrachten kann.
>
> OK, werd ich den "Webmastern" ausrichten. Vielleicht entfernen die dann auch
> mal die toten Links... :)

Genauso war das auch gemeint ;-)

Hallo Jens Hektor, Du teiltest mit:

> > BTW: wat'n das?

(hätte das selber mal einer SE vorwerfen können).
> > "GET /_vti_bin/owssvr.dll... "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
> > 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1)"
> > "GET /MSOffice/cltreq.asp ...
> > "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;
> > .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1)"

> Frontpage Hacks. Schreibs dem RZ der Uni.

THX, unter dem Stichwort auch wiedergefunden, besser aber als
"IE-Diskussions-Toolbar-Eintrag" beschrieben.

Man "möchte einfach in der IE Toolbar auf den gelben Fleck in der Art
eines Post-it-Notes klicken."

http://www.71grad.de/2005/08/09/frontpage-hacks/

Wolfgang

Hallo Helmut Schneider, Du teiltest mit:

> >> news:cfyqiplvh0kj.dlg. Wenn man jetzt nicht danach sucht,
> >> findet man sowas kaum.
> > | grep echo.*uname.*echo |...
>
> Harhar...

Ich schrub doch: "Kann man schon - muss man halt wissen."

> > grep -v

> Hatte ich mal angefangen, irgendwann wurde der Pattern aber -
> unübersichtlich.

Isser auch (zZt. 4 Zeilen à 80 Z.), aber das stört nicht: Habe da eine
gewisse Systematik entwickelt: (Ausschlussliste) Robots für sich,
Zugriffe auf Bilder, *css und anderes Gerümpel für sich, meine Zugriffe
(falls sich sowas abhebt) für sich - genauso könnte man das für die
schwer zu kompromittierenten statischen Seiten machen etc.pp. - Positiv
(ohne '-v') dann auf bekannte Exploit-Muster testen...

Ich nehme einen in der History vorhandenen Pattern und variiere ihn nach
meinen Wünschen.

Wolfgang

Hallo Jens Hektor, Du teiltest mit:

> >> eigentlich sollte das error_log immer so leer sein,
....
> > OK, werd ich den "Webmastern" ausrichten. Vielleicht entfernen die dann auch
> > mal die toten Links... :)
>
> Genauso war das auch gemeint ;-)

Naja, das muss aber Clients nicht davon abhalten, Zugriffe auf nicht
vorhandene URLs zu tätigen und protokollieren zu lassen. Außerdem kann
ich irnkwohin, weit weg von den "Webmastern" eine Link-Farm hinstellen,
die selbiges provoziert.

Wolfgang