{"id":9269,"date":"2012-09-08T10:54:50","date_gmt":"2012-09-08T08:54:50","guid":{"rendered":"http:\/\/\/\/sitestory.dk\/wordpress\/?p=9269"},"modified":"2015-01-01T11:50:00","modified_gmt":"2015-01-01T10:50:00","slug":"logfilen-afsloerer-hjemmesidens-uoenskede-gaester","status":"publish","type":"post","link":"https:\/\/sitestory.dk\/wordpress\/2012\/09\/08\/logfilen-afsloerer-hjemmesidens-uoenskede-gaester\/","title":{"rendered":"Logfilen afsl\u00f8rer hjemmesidens u\u00f8nskede g\u00e6ster"},"content":{"rendered":"

I serverens adgangs-logfil for hjemmesiden eller bloggen kan man identificere de robotter, spammere og hackere, man helst er fri for.<\/strong><\/p>\n

De fleste med en hjemmeside eller blog f\u00f8lger med i, hvilke sider der f\u00e5r bes\u00f8g, hvilke s\u00f8gninger der bringer folk til siderne osv. Ofte har udbyderen et statistikprogram, eller man kan fx bruge Google Analytics.<\/p>\n

Disse programmer fort\u00e6ller dog sj\u00e6ldent om de mange robotter, som ogs\u00e5 kommer p\u00e5 bes\u00f8g og grov\u00e6der af din b\u00e5ndbredde, eller om suspekte spam-robotter og \u201dhacker-f\u00f8lere\u201d.<\/p>\n

De fort\u00e6ller heller ikke altid, hvem der hotlinker til dine billeder, alts\u00e5 sm\u00e6kker et af dine billeder p\u00e5 deres egen side med et direkte link til billedets originale adresse, s\u00e5 du f\u00e5r lov at l\u00e6gge b\u00e5ndbredde til.<\/p>\n

Serverens logfil \u2013 Access log<\/h3>\n

For at identificere disse st\u00f8rrelser og evt. formene dem adgang skal man selv granske logfilen over bes\u00f8g, hvis man da har adgang til den. Der kan v\u00e6re forskel p\u00e5, hvordan forskellige servere strukturerer logfilen, men her er et eksempel p\u00e5 en enkelt logning i min logfil:<\/p>\n

2.105.72.250 – – [07\/Sep\/2012:15:56:43 +0200] “GET \/wordpress\/2010\/12\/20\/til-tenerife-og-sydens-sol\/ HTTP\/1.1” 200 9734 “http:\/\/www.at-rejse-er-at-leve.dk\/spanien.htm” “Opera\/9.80 (Windows NT 6.1; Win64; x64; U; da) Presto\/2.10.289 Version\/12.02”<\/p>\n

Det ser lidt kryptisk ud, men er egentlig ganske enkelt. F\u00f8rst den bes\u00f8gendes IP-adresse. Den kan ogs\u00e5 st\u00e5 sammen med navnet p\u00e5 udbyderen \u2013 det er lidt forskelligt.<\/p>\n

Dern\u00e6st dato og klokkesl\u00e6t, som er +0200 timer foran UTC.<\/p>\n

Den n\u00e6ste streng (afgr\u00e6nset af anf\u00f8rselstegn) oplyser foresp\u00f8rgslens type (request method), i dette tilf\u00e6lde \u201dGET\u201d som er den mest normale. Efter \u201dGET\u201d st\u00e5r stien til den \u00f8nskede fil efterfulgt af HTTP\/1.1.<\/p>\n

Tallet herefter (200) er den HTTP-kode, serveren returnerer som svar p\u00e5 foresp\u00f8rgslen. De interessante koder i denne forbindelse er 404 (file not found), 403 (forbidden = afvist) og 500 (server error).<\/p>\n

Det n\u00e6ste tal (9734) fort\u00e6ller, hvor mange bytes der er overf\u00f8rt.<\/p>\n

Imellem de to n\u00e6ste anf\u00f8rselstegn finder man henvisningen (referrer), i dette tilf\u00e6lde hjemmesiden at-rejse-er-at-leve<\/a>. Det kan ogs\u00e5 v\u00e6re en af dine egne sider, hvis den bes\u00f8gende f\u00f8lger et internt link. Feltet kan ogs\u00e5 st\u00e5 tomt (med en bindestreg), og s\u00e5 er den bes\u00f8gende typisk en robot.<\/p>\n

Det sidste felt er den bes\u00f8gendes User Agent, som fort\u00e6ller noget om den bes\u00f8gendes software, men det vil typisk ogs\u00e5 v\u00e6re her, at robotter pr\u00e6senterer sig selv ved navn \u2013 medmindre det er lyssky robotter!<\/p>\n

Robotter og hackere<\/h3>\n

Mange robotter pr\u00e6senterer sig ved navn i det sidste felt, User Agent, og du vil blive overrasket over, hvor mange der kommer p\u00e5 bes\u00f8g, og hvor meget b\u00e5ndbredde de sluger.<\/p>\n

Men der er ogs\u00e5 robotter, som ikke pr\u00e6senterer sig, og dem kan man identificere, ved at der ikke er nogen henvisning. Nogen har heller ingen User Agent, og det er suspekt.<\/p>\n

Spam-robotter vil typisk skrive en af dine egne sider som henvisning og benytte foresp\u00f8rgslen \u201dPOST\u201d i stedet for \u201dGET\u201d. S\u00e5dan ser det ogs\u00e5 ud, hvis en helt legitim kommentar l\u00e6gges p\u00e5 din blog, men hvis der ikke er nogen henvisningsside, eller det ikke er muligt at kommentere fra den angivne side, er det med sikkerhed en spam-robot.<\/p>\n

Man kan ogs\u00e5 sl\u00e5 IP-adressen op (fx hos WhatIsMyIPAddress<\/a>), og hvis den fx peger p\u00e5 Kina, er der ikke megen tvivl.<\/p>\n

Der er ogs\u00e5 robotter, der forkl\u00e6der sig som fx Googlebot, men som i virkeligheden er spam-robotter. Googlebot vil imidlertid ikke bruge \u201dPOST,\u201d og IP-adressen afsl\u00f8rer dem ogs\u00e5.<\/p>\n

Hacker-f\u00f8lere kan man typisk identificere, ved at serveren returnerer 404 \u2013 file not found. Mange hackere s\u00f8ger vidt og bredt efter fx s\u00e5rbare WordPress plugins, og hvis serveren ikke returnerer 404, ved de, at der er bid.<\/p>\n

S\u00e5 hvis du bruger et af de plugins, de s\u00f8ger efter, kan din side v\u00e6re s\u00e5rbar over for hackerangreb.<\/p>\n

Hvis der i feltet, hvor der normalt bedes om en fil, st\u00e5r en hel masse krimskrams og noget, der ligner kommandoer, er der grund til at v\u00e6re p\u00e5 vagt, for s\u00e5 kan det fx v\u00e6re fors\u00f8g p\u00e5 SQL injection<\/a>, hvor hackere l\u00e6gger fjendtlig kode ind i din database.<\/p>\n

Jamen er det til at overskue?<\/h3>\n

En logfil kan indeholde mange tusinde poster, og s\u00e5 mister man nemt overblikket. Jeg har derfor skrevet et program i Excel, som kan importere logfilen (som er en tekstfil) til et Excel regneark.<\/p>\n

N\u00e5r man har importeret logfilen, genneml\u00f8ber programmet alle posterne og sorterer dem efter forskellige kriterier. Man kan se mulige hotlinks, navngivne robotter, mulige spamrobotter, 404 fejl, afviste bes\u00f8gende (403) samt bes\u00f8gende der kan v\u00e6re suspekte.<\/p>\n

Det kan v\u00e6re en hj\u00e6lp til at vurdere, om der er nogen, man vil formene adgang ved at redigere sin .htaccess-fil (hvis man har mulighed herfor), og man kan holde \u00f8je med, om nogen (fx en robot), man har<\/strong> blokeret, kommer ind p\u00e5 anden m\u00e5de (fx med en anden IP).<\/p>\n

I det n\u00e6ste indl\u00e6g skriver jeg mere om regnearket, som du vil kunne downloade.<\/p>\n

Andre indl\u00e6g om dette emne:<\/strong><\/p>\n