![](https://seccdn.libravatar.org/avatar/1f25cd9ef831cb40349e13debfc3229d.jpg?s=120&d=mm&r=g)
Am Montag, 27. Februar 2006 10:37 schrieb Christian Boltz:
Hallo Martin, hallo Leute,
Am Freitag, 24. Februar 2006 15:47 schrieb Martin Falley:
Am Freitag, 24. Februar 2006 14:54 schrieb Christian Boltz:
Am Freitag, 24. Februar 2006 13:45 schrieb Martin Falley:
Seit ein paar Tagen will mein Apache mir nicht mehr die Seiten anzeigen. Es kommt nur noch die 403 (Forbidden) Meldung:
"You don't have permission to access / on this server. Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request."
Guck mal ins Apache error_log - da sollten hoffentlich mehr Details zu finden sein.
Da sind haufenweise Fehler drin
Relevant sind hier Zeilen, die bei einem gescheiterten Zugriffsversuch auftauchen. ("Permission denied" und so, jeweils mit ein paar Zeilen davor und danach.)
80.171.10.10 - - [27/Feb/2006:21:29:58 +0100] "GET / HTTP/1.1" 403 506 80.171.10.10 - - [27/Feb/2006:21:29:59 +0100] "GET /favicon.ico HTTP/1.1" 403 517 80.171.70.159 - - [27/Feb/2006:21:49:10 +0100] "GET / HTTP/1.0" 403 498 213.39.172.22 - - [27/Feb/2006:21:51:01 +0100] "GET / HTTP/1.0" 403 498 213.39.172.22 - - [27/Feb/2006:22:04:30 +0100] "GET / HTTP/1.0" 403 498 Das sind die Zugriffe seit Webserverstart. Merkwürdig dabei finde ich, daß die favicon.ico ausgeliefert wird. Wenn man keinen Zugriff auf den Webserver hat, dürfte das doch eigentlich auch nicht sein. Oder?
Kannst Du auf die Dateien auf Dateisystemebene (also nicht per Apache) zugreifen? Wenn ja: auch als Benutzer wwwrun?
Die Frage ist noch offen - teste das mal: su - # nötig, weil wwwrun kein gültiges Passwort hat su -s /bin/bash wwwrun - # in Deinem Fall nobody statt wwwrun
Da kommt nur: su: /bin/bash: Permission denied
IIRC cd /da/liegt/die/seite cat eine_datei
[...]
Ich würde spontan einen fsck vorschlagen. BTW: Welches Dateisystem?
reiserfs. An fsck glaube ich nicht so recht.
Man weiß nie - besser einmal zuviel als einmal zu wenig checken ;-)
Ich bin drauf und dran, das System mal wieder neu aufzusetzen. Hat zwar den Nachteil, daß man nicht weiß, woran es denn letztendlich liegt, aber wiederum auch den Vorteil, daß das System dann (hoffentlich) wieder läuft. Bei der Gelegenheit würde ich dann die Bootplatte gleich auf ext3 umstellen. Man sagt ja, daß reiserfs nicht so das Gelbe vom Ei sein soll (oder welches System ist das Empfehlenswerteste für 9.3?).
mount sagt:
/dev/hda1 on / type reiserfs (rw,acl,user_xattr) <-- ??? *)
[...]
*) Könnte da der Fehler liegen? Ich habe da aber nie etwas geändert.
Passt schon.
Na, ich dachte wegen acl.
In der access.log finde ich u.a. folgendes:
[gekürzt]
[...]
Es könnte auch einfach sein, dass Du die IP von jemanden geerbt hast, der phpGroupware und ein Blog auf seinem Rechner laufen hat.
Nö, dieser Bereich gehört einem russischen Provider. Das war definitiv ein Hacker, der versucht hat die xmlrpc.php-Lücke auszunutzen. Ich habe mal nach der Datei im Netz gesucht und das ist voll davon mit Berichten über Hackversuche. Allerdings gibt es so eine Datei nicht im HTTP-Bereich meines Rechners. Also keine Chance für solche Chaoten. Gestern waren schon wieder ähnliche Einträge: 72.3.142.12 - - [25/Feb/2006:02:54:23 +0100] "GET /thisdoesnotexistahaha.php HTTP/1.1" 403 524 72.3.142.12 - - [25/Feb/2006:02:54:23 +0100] "GET /WebCalendar/tools/send_reminders.php HTTP/1.1" 403 535 72.3.142.12 - - [25/Feb/2006:02:54:24 +0100] "GET /webcalendar/tools/send_reminders.php HTTP/1.1" 403 535 72.3.142.12 - - [25/Feb/2006:02:54:24 +0100] "GET /cal/tools/send_reminders.php HTTP/1.1" 403 527 72.3.142.12 - - [25/Feb/2006:02:54:24 +0100] "GET /Calendar/tools/send_reminders.php HTTP/1.1" 403 532 72.3.142.12 - - [25/Feb/2006:02:54:24 +0100] "GET /calendar/tools/send_reminders.php HTTP/1.1" 403 532 Da hat wohl jemand mit shankland.org/rackspace.com-Zugang versucht, meinen Rechner als Scheunentor zu mißbrauchen. Gruß Martin