# lighttpd und komische aufrufe

## Treborius

hallo, ich habe lighttpd installiert, nur um eine kleine statusseite zu haben

also eigentlich existiert nur die index.html

ich bekomme aber irgendwie total sinnlose aufrufe, weiss wer was das soll?

hier mal ein paar auszüge aus der access.log

```

58.218.199.227 www.mpwallpapers.com - [11/Nov/2011:09:37:57 +0100] "GET http://www.mpwallpapers.com/proxyheader.php HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

58.218.199.147 www.hardjob.net - [11/Nov/2011:10:42:46 +0100] "GET http://www.hardjob.net/proxyheader.php HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

58.218.199.227 www.sharkspear.info - [11/Nov/2011:10:49:36 +0100] "GET http://www.sharkspear.info/proxyheader.php HTTP/1.1" 404 345 "-"  Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

190.24.240.98 - - [11/Nov/2011:10:51:47 +0100] "HEAD / HTTP/1.0" 200 0 "-" "-"

58.218.199.227 www.phpjc.cn - [11/Nov/2011:12:02:44 +0100] "GET http://www.phpjc.cn/me/proxyheader.php HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

203.31.191.114 - - [11/Nov/2011:13:37:43 +0100] "GET / HTTP/1.0" 200 958 "-" "-"

203.31.191.114 - - [11/Nov/2011:13:37:45 +0100] "OPTIONS / HTTP/1.0" 200 0 "-" "-"

58.218.199.250 movietvblog.com - [11/Nov/2011:14:22:06 +0100] "GET http://movietvblog.com/proxyheader.php HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

```

die ganzen seiten, von denen die rede ist, kenne ich nichtmal, und warum immer proxyheader?

löst da ein dns falsch auf?

ich habe zwar eine dynamische ip, diese hat sich aber seit einem monat nichtmehr geändert...

wäre nett wenn mich in der richtung jemand aufklären könnte

----------

## disi

Ich bekomme fuer jede der Domains einen unterschiedlichen Host von hier.

//edit: wenn ich das richtig verstehe, benutzt Jemand die Seiten als Proxy um auf deine Seite zuzugreifen: http://httpd.apache.org/docs/2.0/mod/mod_proxy.html

Es gibt ein schoenes tool fuer sowas: http://www.fail2ban.org/wiki/index.php/HOWTO_apache_proxy_filter

----------

## cryptosteve

Ich habe sowas öfter gesehen ... seinerzeit diente das offenbar dazu, einfach Domainnamen über gefakte Referer in Statistiktools zu plazieren. Die Chance auf solche "Zugriffe" erhöhte sich damals mit der Installation eines öffentlichen awstats oder ähnlichem. 

Und ist es nicht etwas oversized, fail2ban auf sowas loszulassen?

----------

## disi

 *cryptohappen wrote:*   

> Ich habe sowas öfter gesehen ... seinerzeit diente das offenbar dazu, einfach Domainnamen über gefakte Referer in Statistiktools zu plazieren. Die Chance auf solche "Zugriffe" erhöhte sich damals mit der Installation eines öffentlichen awstats oder ähnlichem. 
> 
> Und ist es nicht etwas oversized, fail2ban auf sowas loszulassen?

 

Ich finde das Tool geil, hab ne nette Sache mit 'Page not found'. Sprich wenn diese Krampen kommen und nach phpmyadmin.php usw. suchen, machen sie das 5mal in 5 Sekunden und die IP ist geblockt fuer 10min.

----------

## cryptosteve

Das Tool ist cool, aber die Suche nach nichtexistenten Sachen ist total unbedrohlich. Und selbst, wenn sie was finden, dann sollten die Tools selbst schon ausreichend abgesichert sein ... 

Einziger Vorteil ist, dass es die Logs nicht so vollmüllt  :Smile: 

----------

## disi

 *cryptohappen wrote:*   

> Das Tool ist cool, aber die Suche nach nichtexistenten Sachen ist total unbedrohlich. Und selbst, wenn sie was finden, dann sollten die Tools selbst schon ausreichend abgesichert sein ... 
> 
> Einziger Vorteil ist, dass es die Logs nicht so vollmüllt 

 

Manchmal schneide ich mir ins eigene Fleisch  :Very Happy: 

Ich habe einen kleinen vhost als php proxy fuer auf Arbeit und wenn ich da URL eintrage die viele Popups oder schlechten Code haben (oft .asp) dann blocke ich mich selbst...   :Crying or Very sad: 

----------

