nicht angemeldet
Kann man htaccess-Zugangsschutz umgehen?
Hallo Leute!
Habe grade wieder meine Webseitenstatistik (Webalizer) durchforstet und bin dabei in der Rubrik "Top Benutzer" über einen Eintrag gestolpert, der eigentlich nicht vorhanden sein dürfte.
In dieser Übersicht sind (bei mir) üblicherweise nur jene Benutzer gelistet, die ein durch htaccess geschütztes Verzeichnis nach erfolgreicher Anmeldung "betreten" haben - also eigene Usernamen.
Nun finde ich dort jedoch den User "bigping", der eigentlich nicht in meiner Benutzerdatei zu finden ist. Hat sich hier wirklich jemand Zutritt verschaffen können (1 Datei wurde abgefragt)? Und wenn ja, wie? Oder wurde hier lediglich mit entsprechender Software der REMOTE-USER mitgeschickt - soferne dies möglich ist?
Bin etwas verunsichert ;-)
mfg
norbert =:-)
-
Tach
Nicht das ich wüsste. Nur mit FTP-Protokoll aber das muß du ja auch und entschlüsseln kann man leider auch nicht.
Gruß
Vitali
-
Hallo,
Nun finde ich dort jedoch den User "bigping", der eigentlich nicht in meiner Benutzerdatei zu finden ist. Hat sich hier wirklich jemand Zutritt verschaffen können (1 Datei wurde abgefragt)? Und wenn ja, wie? Oder wurde hier lediglich mit entsprechender Software der REMOTE-USER mitgeschickt - soferne dies möglich ist?
Hat er die Datei denn wirklich bekommen oder nur versucht, sie zu kriegen?
Gruss
Thomas-
Hallo Thomas W.!
Das geht aus der Statistik nicht hervor.
Es wurde bei 1 Besuch und 1 Anfrage 1 Datei mit 10 k offenbar eingesehen.
Was ich jetzt natürlich nicht weiß, ob nach dreimaliger Falscheingabe der REMOTE_USER auch protokolliert wird - das würde diesen Eintrag erklären - die Fehlerseite könnte durchaus 10k haben.
Aber eigentlich bin ich davon ausgegangen, dass sich in der Statistik nur erfolgreiche Zugriffe wiederfinden.
mfg
norbert =:-)
-
Hi norbert =:-),
Das geht aus der Statistik nicht hervor.
mit welchem HTTP-Statuscode hat Dein Webserver diese spezielle Anfrage beantwortet?
Aber eigentlich bin ich davon ausgegangen, dass sich in der Statistik nur erfolgreiche Zugriffe wiederfinden.
Das fände ich sehr schlecht - dann würdest Du ja gar nicht mitbekommen, wenn jemand Deinen Server angreift. Eine gescheiterte Authentifizierung erzeugt einen Eintrag auch im error_log - und der sollte dort auffallen, weil das ein seltenes Ereignis zu sein hat.
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
=> http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.-
Hallo Michael!
Das fände ich sehr schlecht - dann würdest Du ja gar nicht mitbekommen, wenn jemand Deinen Server angreift. Eine gescheiterte Authentifizierung erzeugt einen Eintrag auch im error_log - und der sollte dort auffallen, weil das ein seltenes Ereignis zu sein hat.
Wird im Error-Log auch der (versuchte) Username protokolliert, obwohl die Anmeldung nicht erfolgreich war (Apache)?
Also - normalerweise nutze ich nur die Statistik, die mir mein Provider zur Verfügung stellt. Nachdem ich mir nun die Logfiles besorgt habe, fand ich folgenden Eintrag:
validator.w3.org - bigping [13/May/2003:21:52:18 +0200] "GET /product/ HTTP/1.1" 200 10636 "-" "W3C_Validator/1.305.2.12 libwww-perl/5.64"
Sprich - der Validator sendet als REMOTE_USER den "bigping" mit. An und für sich ja nett - ich kenne auch die Spezifikation des HTTP-Protokolls nicht auswendig - aber ich dachte, dass dies der Authentifizerung vorbehalten wäre.
Scheint also, dass eigentlich alles OK ist - wenngleich mich dies etwas verwirrt hat.
Vielen Dank für die Hilfe!
mfg
norbert =:-)
-
-
-