当检查我的一些客户的日志文件时,我发现这是用户名authentication的用户。 我们有一个用于基本Webauthentication的.htusers文件,我在.htusers中find的.htusers中的所有其他用户,而不是@^Y@.@{phqsp~{2'/2|pq{jvk@-1('@lvo)&1--1.(/1)'@./* user。
64b Opensuse 12上的服务器版本是2.2.22
第一个问题:这个用户是否能够接收由.htusers文件保护的内容?
下一个:任何人有更多关于这个磨合尝试的信息? 除了来自世界各地的大量访问日志外,我在Google上没有发现任何内容。
编辑:只要添加logentries:
xyzx - @^Y@.@{phqsp~{2'/2|pq{jvk@-1('@lvo)&1--1.(/1)'@./* [06/Jan/2013:16:53:16 +0000] "GET xxxxxxxxxxxxxxx HTTP/1.1" 200 676 "xxxxxxxxxxxxxxx" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"
xyzx - @^Y@.@{phqsp~{2'/2|pq{jvk@-1('@lvo)&1--1.(/1)'@./* [06/Jan/2013:16:53:16 +0000] "GET xxxxxxxxxxxxxxx HTTP/1.1" 200 523 "xxxxxxxxxxxxxxx" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"
xyzx - @^Y@&@{phqsp~{2'/2|pq{jvk@-1('@lvo)&1--1.(/1)'@./* [06/Jan/2013:16:57:47 +0000] "GET xxxxxxxxxxxxxxx HTTP/1.1" 200 11 "xxxxxxxxxxxxxxx" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"
如果xxxxxxed的资源位于保护区,我认为有一些坏消息。 您的日志中的http状态码200告诉您的服务器已经愉快地将资源发送到客户端xyzx如果basic-auth以任何方式失败,则会返回401(禁止)。
200旁边的数字告诉你在答案中已经发送了多less字节。 如果成功访问数据,请检查xxxxxx'es后面的资源是否实际上是676,523和11个字节大小,作为另一个提示。
更新/解决scheme:
正如在评论中发现的那样,上述访问是在不受保护的地方重新分配资源,从而导致http状态码200(OK)。 令人困惑的事实是,日志中显示未知的用户名是由于在http请求中设置“授权”标头的可能性,而不pipe服务器是否要求授权或者服务器上是否已知用户名。 所以显然这是一些webcrawler或bot默认情况下设置auth头部的工作。 也许是无辜的,也许不是,但显然不像第一眼看到日志文件那样有害。