Apache e redirect su 127.0.0.1

[Zapotech]

Ciao!
vorrei chiedervi ...preziosi lumi sulla natura di questi messaggi che ho trovato nei log di Apache...:

in "/var/log/httpd/error.log"

Codice: Seleziona tutto

[Sat Feb 21 22:50:22 2009] [error] [client 127.0.0.1] File does not exist: /srv/httpd/htdocs/collect.jsp, referer: http://grillorama.beppegrillo.it/catalog/

in "/var/log/httpd/access.log"

Codice: Seleziona tutto

127.0.0.1 - - [21/Feb/2009:22:50:22 +0100] "GET /collect.jsp?p=1&mid=MioIndirizzoIP:1235243809007&fv=false&ti=I%20video%20degli%20spettacoli%20di%20Beppe%20Grillo&si=www.beppegrillo.it&sh=800&sw=1280&sc=24&lc=http%3A//grillorama.beppegrillo.it/catalog/&ref=http%3A//www.beppegrillo.it//index.html&t0=1235253023509&cld=Sat%20Feb%2021%202009%2022%3A50%3A22%20GMT+0100%20%28CET%29 HTTP/1.1" 404 209

Con Apache avviato, stavo navigando sul blog di Beppe Grillo, quando cliccando su un link sono comparsi questi messaggi.
(....non credo sia unicamente il blog di Beppe...ma per pigrizia non ho fatto altri test su altri siti...!)

In pratica ... (se interpreto correttamente), è come se venissi reindirizzato, su localhost, al mio WebServer ed il file "error.log" mi dice che, giustamente, il file "collect.jsp" non esiste all'indirizzo "/srv/httpd/htdocs/".

I messaggi non appaiono più se, in httpd.conf, commento "Listen 127.0.0.1:80" lasciando "Listen 192.168.0.5:80"
(in modo tale che Apache sia raggiungibile su rete locale e dalla macchina locale)
....ma non credo sia questo, ovviamente, il giusto modo di affrontare il problema!

Grazie 1000 e Ciao!


PS: in "access.log." al posto di MioIndirizzoIP compariva il mio indirizzo IP.

[conraid]

A me sembra qualche software di adblocking
Infatti a volte si fa comparire al posto di IP presunti "pubblicitari" proprio 127.0.0.1, che nel tuo caso corrisponde ad un server che risponde.
Dovresti sapere cosa ha installato nel sistema e da dove precisamente viene quell'errore, nella pagina che compare nel referer non vedo nessuna richiesta per colletc.jsp, ma magari è qualche pubblicità esterna non sempre uguale

[Zapotech]

Ciao Conraid, grazie per la risposta!

Riepilogando:
Il server remoto, attraverso un software di adv-blocking, instrada una richiesta all'indirizzo:porta "localhost:80", invece che ad indirizzi IP "pubblicitari".
Nel mio caso, con il WebServer Apache attivato, la mia macchina essendo in ascolto su "localhost:80", risponde.

Ho notato, inoltre, che questi messaggi non compaiono più se, in "httpd.conf", cambio la porta da 80 a, ....ad esempio, 8080.
Ne dedurrei quindi che l'instradamento viene fatto esclusivamente verso la porta 80.

La cosa a cui maggiormente tengo è se, secondo te/voi, questa cosa nasconde un più grave problema di sicurezza o, al contrario, non mi deve preoccupare....!

Ciao!

[conraid]

ma server remoto in che senso? di dns?
se vuoi un consiglio, cambialo, ed installa qualcosa in locale

il fatto che risponda solo sulla 80 è normale, e problemi di sicurezza non ne vedo.
Ma non mi sembra una scelta giusta quella del server remoto, il tutto imho

[Zapotech]

ma server remoto in che senso? di dns?

Scusa, ...credo di essermi espresso male,... non intendevo riferirmi ai server dns (utilizzo "bind" configurato come da tuo wiki...! )

Per server remoto intendo, semplicemente, il server web che ho contattato navigando con il mio browser (nell'esempio: http://www.beppegrillo.it)

alla luce di quest chiarimento ti chiedo se possiamo considerare corretto il "riepilogo" che ho fatto nel post precedente!



Grazie e Ciao!

[Luci0]

Conraid intendeva dire che probabilmente é l' estensione che se hai sul tuo browser, risolve gli indirizzi dei siti pubblicitari come 127.0.0.1.
Per vedere se é così puoi, provare a disattivare tutte le estensioni ad es. di Firefox e controllare attraverso il log di apache se il problema si presenta ancora...
Sembra quindi che il problema sia il browser e quindi sarebbe bene sapere cosa utilizzi e che estensioni hai installato ...
... Ciao

[conraid]

Io non capisco, perché il server dove gira beppegrillo dovrebbe fare una cosa simile?
O è un errore abbastanza preoccupante per un sito con quel numero di accessi, o il problema è altrove.
Puoi cercare il codice incriminato?

Per il resto ti ha risposto Luci0

[Luci0]

Ho provato adesso con Firefox e l' estensione Adblock Plus ma questa estensione non ridireziona proprio niente ne da Beppe ne da Tiscali ... e credo che questo sia il comportamento corretto.
Inoltre non credo che tu abbia una tabella degli host (/etc/hosts) che risolvono i siti pubblicitari in localhost ... ma fai preso a controllare ...
Puoi monitorare gli effetti della "Navigazione" sui log aprendo due console con

Codice: Seleziona tutto

tail -f /var/log/httpd/error_log
tail -f /var/log/httpd/access_log

A proposito buon divertimento ...

[danix]

a me succede la stessa cosa ma io ho /etc/hosts con dentro una tonnellata di indirizzi "pubblicitari" redirezionati su 127.0.0.1...

[Zapotech]

Eccomi! Ciao a tutti!

Conraid intendeva dire che probabilmente é l' estensione che se hai sul tuo browser, risolve gli indirizzi dei siti pubblicitari come 127.0.0.1.

Utilizzo "Firefox" e come estensioni ho [NetCraft Toolbar], [dwhelper], [DownThemAll].
Ho disattivato le estensioni, ma i messaggi in "/var/log/httpd/access.log" e "/var/log/httpd/error.log" (con il "mio" Apache attivato sulla porta 80) continuano ad apparire.
Tali messaggi appaiono, inoltre, anche utilizzando "Seamonkey" e "Konqueror" ...quindi, purtroppo, non credo possa dipendere dal browser!

Inoltre non credo che tu abbia una tabella degli host (/etc/hosts) che risolvono i siti pubblicitari in localhost ... ma fai preso a controllare ...

Beh.....in effetti il mio "/etc/hosts" si riduce a:

Codice: Seleziona tutto

127.0.0.1               localhost
192.168.0.5           darkstar.mynet darkstar

Io non capisco, perché il server dove gira beppegrillo dovrebbe fare una cosa simile?

Forse perchè il Beppe è in vena di scherzi .... ma, a quanto pare, solo con me!

Puoi cercare il codice incriminato?

Come posso fare per cercare il codice incriminato? ...I messaggi che appaiono sono solo quelli che ho postato; inoltre il "syslog" ed il "messages" non riportano nulla

Per ora, comunque, ho attivato nuovamente Apache sulla porta 8080 (...e non 80).

Ciao! e

[conraid]

Come posso fare per cercare il codice incriminato?

guardi il sorgente della pagina quando ti capita una situazione simile cercando di capire da cosa è prodotto.
Perché se:
- non usi dns che fanno adblocking
- non usi software simili (da estensioni a software per iptables a file hosts)

ho provato anche io e mi da gli stessi messaggio. E' quel sito, o meglio, è opentracker, sarà un sito di statistiche boh

[conraid]

Se guardi il sorgente trovi una chiamata a opentracker
h_t_t_p://server1.opentracker.net/?site=www.beppegrillo.it
guardando questa pagina (che mostra il codice) vedi delle richieste di collect.jsp
avranno fatto qualche errore o chissà come funziona

un motivo in più per stare lontano da questo sito e da beppegrillo

[Zapotech]

Ciao Conraid! Grazie
Hai svelato l'arcano...stanando l' opentracker!

Ho scaricato il file "http://grillorama.beppegrillo.it/catalog/index.php"
Ho aperto quel file con il browser e sono apparsi, di nuovo, i messaggi ..."incriminati" sui log di Apache!
Ho eliminato, dal file "index.php", la segg. sezione:

Codice: Seleziona tutto

<!-- OPENTRACKER HTML START -->
<script defer
src="http://server1.opentracker.net/?site=www.beppegrillo.it"></script>
<!-- OPENTRACKER HTML END -->

ed i messaggi "incriminati" non sono più apparsi!

Credo quindi, ma vi chiedo conferma, che non ci siano pericoli di sicurezza per Apache, quando
si verifica un redirect (...anche se non voluto...) di questo tipo.....

Ciao!

[Luci0]

Certo che se si scrive del codice ad hoc si potrebbe tentare un attacco ad un server http , anche se questo é dietro un firewall ...

EDIT:

P.S. con vedevo gli errori perché ero rimasto sul sito www.beppegrillo.it mentre su grillorama.beppegrillo.it cliccando sui bottoni per acquistare ... saltano subito fuori!

[Zapotech]

P.S. con vedevo gli errori perché ero rimasto sul sito http://www.beppegrillo.it mentre su grillorama.beppegrillo.it cliccando sui bottoni per acquistare ... saltano subito fuori!

...Sì, infatti succede solo in corrispondenza di quel link, all'interno di quel dominio....!

Mi sembrava (e mi sembra....) una cosa alquanto ..."inquietante" , il fatto di essere ..."vittima" di un redirect verso il mio WebServer Apache, considerando che trattasi di redirect non voluto (quindi niente "/etc/hosts", no estensioni adv-blocking, ....)!

Inizialmente pensavo a un qualcosa di errato o similare relativamente alla mia configurazione di Apache ma,
il fatto che anche tu e Conraid abbiate verificato sul campo il ...."fenomeno", mi toglie questo dubbio.

Grazie ai vostri interventi e all' "OpenTracker" stanato, oggi ...so qualcosa più di ieri!

Ciao!