Likes Likes:  0
Resultaten 1 tot 13 van de 13
Geen
  1. #1
    Host commando in apache error logs
    geregistreerd gebruiker
    1.626 Berichten
    Ingeschreven
    18/06/04

    Locatie
    Maastricht

    Post Thanks / Like
    Mentioned
    6 Post(s)
    Tagged
    0 Thread(s)
    26 Berichten zijn liked


    KvK nummer: 14101842

    Thread Starter

    Host commando in apache error logs

    Ik kom deze heel veel tegen in de apache error logs:
    Usage: host [-aCdlriTwv] [-c class] [-N ndots] [-t type] [-W time]
    [-R number] [-m flag] hostname [server]
    -a is equivalent to -v -t ANY
    -c specifies query class for non-IN data
    -C compares SOA records on authoritative nameservers
    -d is equivalent to -v
    -l lists all hosts in a domain, using AXFR
    -i IP6.INT reverse lookups
    -N changes the number of dots allowed before root lookup is done
    -r disables recursive processing
    -R specifies number of retries for UDP packets
    -s a SERVFAIL response should stop query
    -t specifies the query type
    -T enables TCP/IP mode
    -v enables verbose output
    -w specifies to wait forever for a reply
    -W specifies how long to wait for a reply
    -4 use IPv4 query transport only
    -6 use IPv6 query transport only
    -m set memory debugging flag (trace|record|usage)
    Zo te zien wordt dus het host commando gebruikt, misschien door een webshop of zoiets? Geen idee maar het werkt storend als je de logs moet doorzoeken.
    Nu ben ik dus op zoek naar iets wat van dit commando gebruik zou kunnen maken.

    Ik heb wel een vermoeden van welk gebruikersaccount het afkomstig is, want een paar dagen geleden kwam dit bericht van CSF/LFD:
    Onderwerp: lfd on server.mydomain.nl: Excessive resource usage: ppxxxxxx (32543 (Parent PID:32050))

    Time: Wed Jan 15 17:12:26 2014 +0100
    Account: ppxxxxxx
    Resource: Virtual Memory Size
    Exceeded: 250 > 150 (MB)
    Executable: /usr/bin/host
    Command Line: host -W 1 157.56.93.93
    PID: 32543 (Parent PID:32050)
    Killed: No
    Deze heeft hoofdzakelijk wordpress installaties en webshops op zijn account. Hoe kan ik nu het beste uitzoeken door welk script precies dit commando gebruikt wordt? Want dat stond helaas niet in de mail van de firewall en ook niet in de apache error log. In de domeinlog zag ik er ook niets van zo vlug.
    Het gaat om een server met Directadmin.

  2. #2
    Host commando in apache error logs
    Programmeur / Hoster
    3.952 Berichten
    Ingeschreven
    20/06/06

    Locatie
    Wijlre

    Post Thanks / Like
    Mentioned
    28 Post(s)
    Tagged
    0 Thread(s)
    647 Berichten zijn liked


    Naam: John Timmer
    Bedrijf: SystemDeveloper.NL
    Functie: Eigenaar
    URL: www.systemdeveloper.nl
    KvK nummer: 14083066
    View johntimmer's profile on LinkedIn

    Citaat Oorspronkelijk geplaatst door Blacky Bekijk Berichten
    Ik kom deze heel veel tegen in de apache error logs:


    Zo te zien wordt dus het host commando gebruikt, misschien door een webshop of zoiets? Geen idee maar het werkt storend als je de logs moet doorzoeken.
    Nu ben ik dus op zoek naar iets wat van dit commando gebruik zou kunnen maken.

    Ik heb wel een vermoeden van welk gebruikersaccount het afkomstig is, want een paar dagen geleden kwam dit bericht van CSF/LFD:


    Deze heeft hoofdzakelijk wordpress installaties en webshops op zijn account. Hoe kan ik nu het beste uitzoeken door welk script precies dit commando gebruikt wordt? Want dat stond helaas niet in de mail van de firewall en ook niet in de apache error log. In de domeinlog zag ik er ook niets van zo vlug.
    Het gaat om een server met Directadmin.
    grep ?
    SystemDeveloper.NL - 64BitsWebhosting.EU : Softwareontwikkeling & Hosting freaks

  3. #3
    Host commando in apache error logs
    geregistreerd gebruiker
    1.626 Berichten
    Ingeschreven
    18/06/04

    Locatie
    Maastricht

    Post Thanks / Like
    Mentioned
    6 Post(s)
    Tagged
    0 Thread(s)
    26 Berichten zijn liked


    KvK nummer: 14101842

    Thread Starter
    Ja al geprobeerd... Doe ik zoeken op host -w dan vindt ie niets.
    Doe ik zoeken op host of host met een spatie, dan vindt ie zowat alle files omdat overal wel ergens iets van host of localhost in staat.
    Of ik doe iets verkeerd, kan ook. Ik gebruikte deze:
    Code:
    grep -H -i -n -r 'host ' /home/user/domains/*/public_html

  4. #4
    Host commando in apache error logs
    Programmeur / Hoster
    3.952 Berichten
    Ingeschreven
    20/06/06

    Locatie
    Wijlre

    Post Thanks / Like
    Mentioned
    28 Post(s)
    Tagged
    0 Thread(s)
    647 Berichten zijn liked


    Naam: John Timmer
    Bedrijf: SystemDeveloper.NL
    Functie: Eigenaar
    URL: www.systemdeveloper.nl
    KvK nummer: 14083066
    View johntimmer's profile on LinkedIn

    Citaat Oorspronkelijk geplaatst door Blacky Bekijk Berichten
    Ja al geprobeerd... Doe ik zoeken op host -w dan vindt ie niets.
    Doe ik zoeken op host of host met een spatie, dan vindt ie zowat alle files omdat overal wel ergens iets van host of localhost in staat.
    Of ik doe iets verkeerd, kan ook. Ik gebruikte deze:
    Code:
    grep -H -i -n -r 'host ' /home/user/domains/*/public_html
    Je kunt het resultaat pipen naar een 'grep -v localhost' om snel grote groepen regels eruit te filteren
    SystemDeveloper.NL - 64BitsWebhosting.EU : Softwareontwikkeling & Hosting freaks

  5. #5
    Host commando in apache error logs
    geregistreerd gebruiker
    1.626 Berichten
    Ingeschreven
    18/06/04

    Locatie
    Maastricht

    Post Thanks / Like
    Mentioned
    6 Post(s)
    Tagged
    0 Thread(s)
    26 Berichten zijn liked


    KvK nummer: 14101842

    Thread Starter
    Dus je bedoeld dat localhost er dan niet meer als resultaat uit komt? Phuu.. ik ben niet thuis in grep.
    Hoe doe je zoiets?



  6. #6
    Host commando in apache error logs
    moderator
    6.028 Berichten
    Ingeschreven
    21/05/03

    Locatie
    NPT - BELGIUM

    Post Thanks / Like
    Mentioned
    39 Post(s)
    Tagged
    0 Thread(s)
    481 Berichten zijn liked


    Naam: Dennis de Houx
    Bedrijf: All In One
    Functie: Zaakvoerder
    URL: www.all-in-one.be
    Ondernemingsnummer: 0867670047

    Citaat Oorspronkelijk geplaatst door Blacky Bekijk Berichten
    Dus je bedoeld dat localhost er dan niet meer als resultaat uit komt? Phuu.. ik ben niet thuis in grep.
    Hoe doe je zoiets?
    Zo dus:

    Code:
    grep -H -i -n -r 'host ' /home/user/domains/*/public_html | grep -v 'localhost'
    Dennis de Houx - All In One ~ Official ISPsystem partner

    Lees hier de webhostingtalk.nl forum regels en voorwaarden!

  7. #7
    Host commando in apache error logs
    geregistreerd gebruiker
    1.626 Berichten
    Ingeschreven
    18/06/04

    Locatie
    Maastricht

    Post Thanks / Like
    Mentioned
    6 Post(s)
    Tagged
    0 Thread(s)
    26 Berichten zijn liked


    KvK nummer: 14101842

    Thread Starter
    Oh gewoon er achter zetten? Ik dacht dat ie hem dan juist ging bekijken. Bedankt, ga ik onthouden!

    Helaas helpt het niet. Er blijven honderden files in de output komen:
    Met worden als "ihost =", "dbhost", "host =" en ik kwam er zelfs een tegen met veel spaties;
    Code:
    class-snoopy.php:44:        var $host                       =
    Buiten alle foutmeldingen van host refused to connect, contact your webhost etc. etc. etc.

    Dus vermoedelijk ga ik hem zo niet vinden.
    Is er niet een mogelijkheid om de log van apache wat uitgebreider te maken op een of andere manier (desnoods tijdelijk), zodat je niet alleen die foutmelding in de error_log krijgt maar dat er ook bij komt te staan van waaruit (welk script ofzo) het geinitieerd wordt?

  8. #8
    Host commando in apache error logs
    Programmeur / Hoster
    3.952 Berichten
    Ingeschreven
    20/06/06

    Locatie
    Wijlre

    Post Thanks / Like
    Mentioned
    28 Post(s)
    Tagged
    0 Thread(s)
    647 Berichten zijn liked


    Naam: John Timmer
    Bedrijf: SystemDeveloper.NL
    Functie: Eigenaar
    URL: www.systemdeveloper.nl
    KvK nummer: 14083066
    View johntimmer's profile on LinkedIn

    Mja, kan toch niet zo lastig zijn om even wat logs te bekijken als je weet wat erin staat?

    vi <jouw apache error log file>
    /Usage en [enter] om naar de eerste regel te springen met je Usage: etc melding
    En dan in de buurt even kijken wat er aan de hand is. Eventueel tijdstip opzoeken in je apache request log file.
    SystemDeveloper.NL - 64BitsWebhosting.EU : Softwareontwikkeling & Hosting freaks

  9. #9
    Host commando in apache error logs
    geregistreerd gebruiker
    1.626 Berichten
    Ingeschreven
    18/06/04

    Locatie
    Maastricht

    Post Thanks / Like
    Mentioned
    6 Post(s)
    Tagged
    0 Thread(s)
    26 Berichten zijn liked


    KvK nummer: 14101842

    Thread Starter
    Het is niet lastig om logs te bekijken. Ik doe dat overigens normaliter met nano en dan ctrl-w om te zoeken.

    Maar ik probeerde met grep te zoeken welke logfile dat ik dan moet gaan bekijken. Die gebruiker heeft iets van 20 domeinen in zijn account en dan ben ik er nog niet eens zeker van dat hij de enige is die deze fout veroorzaakt.

    De errorlog laat alleen zien wat ik in mijn eerste bericht in de quote zette. Dus welke log moet ik dan kijken?
    Dit is wat er net boven staat:
    [Sun Jan 12 03:35:41 2014] [error] [client 69.58.178.56] File does not exist: /var/www/html/404.shtml
    Usage: host [-aCdlriTwv] [-c class] [-N ndots] [-t type] [-W time]
    [-R number] [-m flag] hostname [server]
    Ik kan best een logfile doorzoeken, maar als er niets anders staat dan alleen dit.... waar moet ik dan nog kijken? Dan lijkt het mij toch dat het alleen nog aangeroepen kan worden door een of ander script, toch?
    Ik begrijp alleen niet waarom dat stukje van het script wat het aanroept niet erbij staat in de error_log. Daarom dus zoeken. Er staat niet eens een tijd bij, niks, alleen die usage melding die je ook ziet als je host intypt in console en dan enter er achter.
    Laatst gewijzigd door Blacky; 18/01/14 om 16:42.

  10. #10
    Host commando in apache error logs
    Programmeur / Hoster
    3.952 Berichten
    Ingeschreven
    20/06/06

    Locatie
    Wijlre

    Post Thanks / Like
    Mentioned
    28 Post(s)
    Tagged
    0 Thread(s)
    647 Berichten zijn liked


    Naam: John Timmer
    Bedrijf: SystemDeveloper.NL
    Functie: Eigenaar
    URL: www.systemdeveloper.nl
    KvK nummer: 14083066
    View johntimmer's profile on LinkedIn

    Je hebt dan toch het tijdstip ongeveer (voor en na de error) ? In je normale logs moet je dan wel iets kunnen vinden rond die tijd? Eventueel in je cron logs.
    Of grep eens in de scripts op system() of exec() e.d. commando's. Iets in de trant van : grep 'host' | grep 'exec' en dat soort combinaties.
    SystemDeveloper.NL - 64BitsWebhosting.EU : Softwareontwikkeling & Hosting freaks

  11. #11
    Host commando in apache error logs
    geregistreerd gebruiker
    1.626 Berichten
    Ingeschreven
    18/06/04

    Locatie
    Maastricht

    Post Thanks / Like
    Mentioned
    6 Post(s)
    Tagged
    0 Thread(s)
    26 Berichten zijn liked


    KvK nummer: 14101842

    Thread Starter
    De error is vrijwel doorlopend. Dus die tijdstippen zijn dan wel heel erg globaal. Maar dat is nog niet zo erg.
    Maar wat bedoel je met normale logs? In /var/log/messages staan rond die tijden alleen wat iptables regels. In de httpd access logs zie je er totaal niets van.

    Cronlogs gaan het in elk geval niet worden, de user draait geen cron, heb wel voor de zekerheid gekeken.
    Met grep gezocht in de user directory op die commando's wat je schrijft.....
    Code:
    grep -H -i -n -r 'system()' /home/user/domains/*/public_html | grep 'exec'
    geen resultaat.

    Ben nu aan het zoeken met de melding in het bericht van CSF, die command line "host -W 1 157.56.93.93" moet toch ook ergens in te vinden zijn, maar die zie ik ook niet terug, ook niet in de apache logs van de gebruikers.
    Ik denk dat ik het voor gezien houdt of nog maar eens ga kijken als er weer een firewall melding komt. Maar ik blijf het wel vaag vinden dat er geen uitgebreidere melding van komt in de error_log.

  12. #12
    Host commando in apache error logs
    Programmeur / Hoster
    3.952 Berichten
    Ingeschreven
    20/06/06

    Locatie
    Wijlre

    Post Thanks / Like
    Mentioned
    28 Post(s)
    Tagged
    0 Thread(s)
    647 Berichten zijn liked


    Naam: John Timmer
    Bedrijf: SystemDeveloper.NL
    Functie: Eigenaar
    URL: www.systemdeveloper.nl
    KvK nummer: 14083066
    View johntimmer's profile on LinkedIn

    Citaat Oorspronkelijk geplaatst door Blacky Bekijk Berichten
    De error is vrijwel doorlopend. Dus die tijdstippen zijn dan wel heel erg globaal. Maar dat is nog niet zo erg.
    Maar wat bedoel je met normale logs? In /var/log/messages staan rond die tijden alleen wat iptables regels. In de httpd access logs zie je er totaal niets van.

    Cronlogs gaan het in elk geval niet worden, de user draait geen cron, heb wel voor de zekerheid gekeken.
    Met grep gezocht in de user directory op die commando's wat je schrijft.....
    Code:
    grep -H -i -n -r 'system()' /home/user/domains/*/public_html | grep 'exec'
    geen resultaat.

    Ben nu aan het zoeken met de melding in het bericht van CSF, die command line "host -W 1 157.56.93.93" moet toch ook ergens in te vinden zijn, maar die zie ik ook niet terug, ook niet in de apache logs van de gebruikers.
    Ik denk dat ik het voor gezien houdt of nog maar eens ga kijken als er weer een firewall melding komt. Maar ik blijf het wel vaag vinden dat er geen uitgebreidere melding van komt in de error_log.
    Dat je zo niks vind kan ik me voorstellen. system() zul je als regexp moeten invullen (idem voor andere dingen) aangezien het een functie is die normaal parameters heeft
    SystemDeveloper.NL - 64BitsWebhosting.EU : Softwareontwikkeling & Hosting freaks

  13. #13
    Host commando in apache error logs
    geregistreerd gebruiker
    1.626 Berichten
    Ingeschreven
    18/06/04

    Locatie
    Maastricht

    Post Thanks / Like
    Mentioned
    6 Post(s)
    Tagged
    0 Thread(s)
    26 Berichten zijn liked


    KvK nummer: 14101842

    Thread Starter
    Pfff... ik was al blij een kleinigheid van grep te weten. Van regexp dingen en code enzo... is niet mijn ding.

Webhostingtalk.nl

Contact

  • Rokin 113-115
  • 1012 KP, Amsterdam
  • Nederland
  • Contact
© Copyright 2001-2021 Webhostingtalk.nl.
Web Statistics