Logging

**lennart** · 06.08.2008, 09:25

Warum willst du das alles wissen/loggen? So übertriebene logging-Wut ist der totale Mist. Stichwort: Personenbezogene Daten

**unset** · 06.08.2008, 10:09

Ist ja nicht so, als würde ein Apache die meisten erwähnten Sachen schon per Default loggen ...

**Onyxagargaryll** · 06.08.2008, 10:14

Im Sinne dieser Richtlinie bezeichnet der Ausdruck "personenbezogene Daten" alle Informationen über eine bestimmte oder bestimmbare natürliche Person ("betroffene Person"); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;

Nunja oO Das ist ja genau das, was ich hier frage:
Soll ich nur personenbezogenes (UserID, IP) oder noch mehr loggen?

Es scheint du rätst mir zu oberer Lösung. Aber wenn ich z.B. keine Parameter logge, wie will ich denn herausfinden, von welchem UserAccount aus z.B. ein Angriff kommt? So hätte ich doch wenigstens eine kleine Chance, den "Angreifer" zu entdecken*, wobei mir deine Lösung in dem Fall nichts bringen würde. Wie würdest du reagieren - Backup drauf und Geschichte vergessen?
Das ist ja auch der Grund, warum ich IP & Clientport mitloggen möchte (vorausgesetzt, der Clientport wird irgendwie beim User mitgeloggt).

Ich hoffe ihr versteht mein Anliegen

Aber wenn mir noch jemand schreibt, das wär absoluter Humbug, dann lass ichs sein und glaube euch

Danke im Voraus für eure Antworten & danke an lennart für deine

MfG
Onyx

*Ich weiss, dass z.B. schon allein ein Webproxy dieses Logging sinnlos macht - darum das "eine kleine Chance"

**Onyxagargaryll** · 06.08.2008, 10:18

Oh, du warst schneller, unset ^^
Mom das schaue ich schnell nach... (rest kommt per edit)

EDIT:
Wenn ich dazu die UserID noch dazulogge, ist das herrlich ^^
(also danke @ unset)
Aber meine Frage vom http_remote_port bleibt trotzdem.. Weiss da jemand etwas genaueres?

Gruss
Onyx

**UzumakiNaruto** · 06.08.2008, 11:04

der remote port bringt dir nischt ... das wird vom client (browser) einfach gewählt und benutzt.

an deiner stelle würde ich ip und user-agent loggen.
eine user-id ist schwachsinn .. man kann deinen server auch angreifen ohne sich bei dir jemans angemeldet zu haben.

und wer angreifen will .. der kommt über proxies daher und geht über telnet an deinen apachen .. und füttert ihn mit den richtigen befehlen damit der entweder schlappmacht oder sich schön weit öffnet

der apache kann weitaus mehr als nur webseiten ausliefern .. er kennt noch solche befehle wie GET, POST, PUT, DELETE, CONNECT, OPTIONS, PATCH, PROPFIND, PROPPATCH, MKCOL, COPY, MOVE, LOCK und UNLOCK und wenn der apache schlecht konfiguriert ist .. dann sind zuviele befehle verfügbar

also erstmal server signatur aus .. oder nimm die von IIS .. dann denkt der hacker er hat nen wndows vor der nase und freut sich

und nimm awstats oder webalizer um die apache logs auszuwerten ;(

**jahlives** · 06.08.2008, 11:13

an deiner stelle würde ich ip und user-agent loggen.

User-Agent bringt dir wahrscheinlich noch weniger als der Remote Port. Entweder senden die Browser keinen User-Agent, er kann auch gefälscht sein oder ein Proxy filtert die Kennung heraus. Den Remote Port kann man nicht so einfach fälschen.
Ich logge normalerweise nur IP und Zeit ggf noch eine Prüfung ob die IP einem bekannten Proxy Server gehört. Mit IP und Zeitpunkt könntest du es zumindest in Erwägung ziehen im Streitfall eine Anzeige zu machen.

**UzumakiNaruto** · 06.08.2008, 11:21

remote-port sollte man auch nicht entfernen .. sonst kommt ja nichts zurück

user-agent kann man löschen/fälschen .. aber kann aufschlussreich sein wenn der user-agent gleich bleibt (oder nicht vorhanden ist) und die ip sich ständig ändert.

wenn wir es ein wenig übertreiben sollen .. spielen wir noch snort (intrusion detection system) auf den server

**jahlives** · 06.08.2008, 11:26

wenn wir es ein wenig übertreiben sollen .. spielen wir noch snort (intrusion detection system) auf den server

Au ja, lass uns das machen

**Onyxagargaryll** · 06.08.2008, 11:30

UserAgent wird ja auch per default vom apache geloggt.
und userid finde ich gar nicht schlecht, weil ohne eine vorhandene UserID auf der Webseite selber gar nichts geht. Wenn der "Angreifer" dumm genug ist, während seinen Heldentaten eingeloggt zu sein, wärs doch ein schöner Vorteil ^^
Dass es gegen die Angriffe selber nichts nützt ist mir klar - aber ich danke für die Tipps wegen den Apacheeinstellungen, ich werde die mal unter die Lupe nehmen.

remote_port hast ja soeben gesagt, der würde einfach benutzt, also bringt mir loggen nichts da es beim client selber auch nicht geloggt wird.
Ich kann ja noch ein Cookie setzen ^^ Das wär doch ein netter Beweis :P *hihi*

snort probier ich mal aus

Gruss und Danke an alle
Onyx

**unset** · 06.08.2008, 11:35

Original geschrieben von UzumakiNaruto
aber kann aufschlussreich sein wenn der user-agent gleich bleibt (oder nicht vorhanden ist) und die ip sich ständig änder

Krass, auf meiner Seite ruft einer die ganze Zeit alle möglichen Seiten ab. Die IP ändert sich ständig, aber ich erkenn den an seinem XP und seinem Firefox!

scnr

**UzumakiNaruto** · 06.08.2008, 11:42

snort war ein witz .. das ist overkill.

ein IDS überprüft alles was ins system kommt und informiert dich dann "he hier is jemand und macht komisches" wenn snort das erkennt kann er sogar selber gegenmaßnahmen ergreifen (ip sperren, honey pot liefern, etc).

erklären wir das mal mit den remote_ports genauer

Code:

- hansi öffnet den browser und gibt [url]http://www.php-resource.de[/url] ein
- der browser fragt das OS (operating system) nach einen verfügbaren port
- OS gibt dem browser die 12467
- browser sendet seine anfrage an en server von php-resource
(IP_VON_PHP_RESOURCE:80 ... schicke mir, REMOTE_IP:REMOTE_PORT (z.b. 81.100.100.100:12467), mal deine webseite)
- server sendet die webseite an 81.100.100.100:12467)
- browser gibt den port dem OS wieder damit sie wieder verfügbar ist.

wenn ein router dazwischen ist speichert er diese ports natürlich um die daten entsprechend weiterzuleiten .. wenn er PAT (port adress translation) kann, ändert er sogar den port, sollten 2 pcs im netzwerk mit der gleiche+port ankommen (kommt selten vor)

klarer???

**UzumakiNaruto** · 06.08.2008, 11:43

Original geschrieben von unset
Krass, auf meiner Seite ruft einer die ganze Zeit alle möglichen Seiten ab. Die IP ändert sich ständig, aber ich erkenn den an seinem XP und seinem Firefox!

scnr

ist ja gut ... war ne blöde idee .. nur die paranoiden machen das

**Onyxagargaryll** · 06.08.2008, 11:48

Ah ich verstehe, danke für deine Erklärung UzumakiNaruto.

Durch meine Unkenntnis von snort ist mir dieser Witz leider entgangen

Snort ist eine Software zur Erkennung von Angriffen und Einbrüchen auf Computernetzwerke, ein sogenanntes Intrusion Detection System (IDS). Snort ist freie Software und mit über drei Millionen Downloads und 150.000 aktiven Benutzern (Angaben der Entwickler, Stand: Ende 2006) das weltweit am häufigsten eingesetzte IDS.

Dann hab ich aufgehört zu lesen. "Probieren wir mal aus - schaden kanns ja nix"

So ich danke allen für die Hilfe und den Spam und grüss herzlich
Onyx

Logging

Logging

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Wird geladen... Bitte warte.

Logging

Logging

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar