log garbage ?

[pedagang]

mohon diterangkan log garbage berikut ini
(dari web site juga banyak log yg acces denied)

sebenarnya nggak ada masalah apa-apa, hanya ingin tahu saja

115.205.67.241|Tue 04 Aug 2015 0211 +0000|GET http://www.zj12580.cn/patient/reg1?t=0.6796627396793238 HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Foxy/1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
Host: www.zj12580.cn
Pragma: no-cache
Cookie: (null); JSESSIONID=A42474FC57DD62FC54635937E22550EE.c; ASPSESSIONIDASBDCQDQ=CFDLNGPDHHLHHAJANMAMAAOK; route=3056aea8e2f6f4730e1711d404a6af7e; BAEID=A1A15C187E35443B43452FC63FE3D2C0:FG=1; PHPSESSID=pqpl1oib00ae3dhf15tc1fu6d4; AWSELB=297DCB0B062AF6448744E50DD6B0937401C3004A42E6193F7680606A2BD1B2AABEF68FBFE9ED75B155D3772341D830652721121464E166F4DCA8BFC1C2B31E0B563313207A; userVistorId=91914109406; ECS[visit_times]=88; CFID=55088; CFTOKEN=2F653959-A2A5-41F7-99F5B1D2441DD31D; steel520=710850cf-30ec-4fdc-8be2-d069c95f8939; manocrms=elqifhcb00ipi3ipttdtfm1h94; csrftoken=ajcNM8IiCubcGD7SAXTZBePOfPc4nwJc; ABTEST=0|1438583300|v1; bds_dqm3Zppfi2VXzbxQQDec3A9G_state=d52b7d7a2562a54d6f2ba2d1fd2462ca; ui_language=en_US; laravel_session=eyJpdiI6Im5VcVBTRVZ6cXVqa2ErUzJZRVlka1pweG5xWmNVOHRvQVlhM0dSUU95VlU9IiwidmFsdWUiOiJieStsd0JNbXRlejFLYkZHNUR2RzlmT21lR0tKVzBFVVwvSnFuY3JcL2ZzaGZQSWxidlRpZFNKQm9IdnFDUmphb1lib0J6cDY5TDZiaE9SVmVHa0xjcWpBPT0iLCJtYWMiOiI5YTdlYzVjMzZjYzkwNDc1MzM0YmE0MmM0MjliMzk5YzJiODIxMGZmMjNmMjcxMmM0Y2EzMGY4YWJjNTA4MjBkIn0%3D; VISITOR=4b751273-6a15-4d65-a6c9-2e396f33ffeb; ASPSESSIONIDACRTBQTC=EAFLPAODPOPGLPLMNINNOALF; Hm_lvt_9e587fb9adef325f8d998c95d459d4f3=1435888520,1436010836,1436430260; __cfduid=d34d2f023e61f4b3a4ed89e5d22f18cf61410084739168; mop_uniq_ckid=125.122.83.234_1417757098_94507426; safedog-flow-item=E7AFC7A827788669070EFCEA0F6B4ECD; SESS6858eeaeb81abfa9971410bca8a16a10=F82SMItU7R8OIYzA7bkDIjhoRe9pSK8DruuUZ2xcyH8

 

[masiqbal]

Dugaan saya ada yg coba hack dengan menginject cookie ke browser.

 

[pedagang]

@masiqbal makasih, dipelajari

itu karena bikin signature dg web tsb dan sedikit komen kasar pada forum inggris

- ini web baru, belum ada pengunjung, jadi kemungkinan dia langsung sending ke website (server)
- yg terdeteksi dia coba edit dan delete content web

access denied 08/05/2015 - 08:25 /taxonomy/term/4/edit Anonymous (not verified)

- ban IP nggak bisa karena IP dia selalu berubah
- beberapa berhasil di ban dan kicked oleh hiawatha web server seperti log yg di atas
- cek lewat rkhunter tidak ada apa-apa

apakah dari log tersebut merupakan serangan yg biasa saja dan tidak perlu diperhatikan ?

 

[masiqbal]

Kemungkinan dia pakai browser emulator semacam selenium. Yg dia lakukan adalah cookie/session hijacking. Saya belum pernah pakai hiawatha, tapi harusnya bisa di-blok oleh web server apapun, dengan cara mengecek apakah ada HTTP_COOKIE dengan pola tersebut. Misalnya Anda pakai PHP kemungkinan besar tidak bikin session id dengan nama JSESSIONID. Dengan demikian, jika ada request menyertakan cookie key JSESSIONID ditolak aja. Kalau saya kadang tidak menolak unauthorized request, tapi saya redirect ke website lain misalnya website polisi buat iseng2. Hehehe.

 

[mustafaramadhan]

Ini berarti 'keberhasilan' hiawatha untuk mendeteksi 'kelakuan' menyimpang dari 'pengunjung'. Ini tidak akan terdeteksi oleh RKHunter karena 'pengunjung' tidak berhasil 'obrak-abrik' system.

 

[pedagang]

@masiqbal makasih lagi, pelajaran-nya makin mengerucut (sessionid), untuk sementara sy manfaatkan dg cara redirect, selanjutnya mungkin dg penguatan block pada web server

@mustafaramadhan , iya Pak, masih aman.

 

[pedagang]

wah, ngeri juga,
sessionid terlalu banyak
sy mendahulukan penguatan web server (hiawatha) yg standar

 

[pedagang]

ada log yg flooding juga, tapi sudah-lah, sudah cukup mendapat clue
terimakasih pada masiqbal yg telah memberi pencerahan soal cara baca log
dan terimakasih pada mustafaramadhan dg panel yg mudah ngatur hiawatha dll

case closed

 

[Abang Noob]

Ini berarti 'keberhasilan' hiawatha untuk mendeteksi 'kelakuan' menyimpang dari 'pengunjung'. Ini tidak akan terdeteksi oleh RKHunter karena 'pengunjung' tidak berhasil 'obrak-abrik' system.

ini berlaku untuk hiawatha sebagai webserver sendiri, atau bisa sebagai hiawatha-proxy pak?

 

[mustafaramadhan]

ini berlaku untuk hiawatha sebagai webserver sendiri, atau bisa sebagai hiawatha-proxy pak?

Kedua-duanya.