[ Apache ] Cherche explication sur donnée access.log

Marsh Posté le 26-04-2006 à 10:33:41

:hello:

Depuis quelques jours j'ai remis en route mon serveur apache @ home.
Hier soir j'ai décidé de regarder un peu ce qui se passait au niveau de ma log serveur, et je suis tombé sur des enregistrements que je ne connais pas :
En règle générale, on voit les URLS appelées par les clients, avec l'ip correspondante ainsi que le code retour renvoyé.

Hors dans ma log, j'ai plusieurs entrées où je ne vois pas les URLS appelées (du moins elles ne correspondent à rien sur mon site), et je me demande à quoi ça correspond.

Je vous mets les exemples :

Code :

=========================================================================================
86.200.XX.XXX - - [23/Apr/2006:15:57:35 +0200] "recipientid=99&sessionid=3157" 200 8383
86.200.XX.XXX - - [23/Apr/2006:16:22:08 +0200] "recipientid=103&sessionid=8082" 200 8383
86.200.XX.XXX - - [23/Apr/2006:20:28:43 +0200] "recipientid=99&sessionid=719" 200 8383
86.200.XX.XXX - - [23/Apr/2006:20:28:44 +0200] "recipientid=105&sessionid=847" 200 8383
86.200.XX.XXX - - [23/Apr/2006:20:31:17 +0200] "recipientid=111&sessionid=720" 200 8383
=========================================================================================
=========================================================================================
86.219.XXX.XXX- - [24/Apr/2006:20:49:07 +0200] "recipientid=189&sessionid=2104" 200 8383
86.219.XXX.XXX - - [24/Apr/2006:20:49:27 +0200] "recipientid=191&sessionid=2182" 200 8383
86.219.XXX.XXX - - [24/Apr/2006:20:59:09 +0200] "recipientid=197&sessionid=2183" 200 8383
=========================================================================================
=========================================================================================
86.206.XXX.XXX - - [25/Apr/2006:17:18:54 +0200] "recipientid=117&sessionid=3813" 200 8383
86.206.XXX.XXX - - [25/Apr/2006:17:30:21 +0200] "recipientid=123&sessionid=3814" 200 8383
86.206.XXX.XXX - - [25/Apr/2006:17:36:01 +0200] "recipientid=127&sessionid=3815" 200 8383
86.206.XXX.XXX - - [25/Apr/2006:18:08:28 +0200] "recipientid=133&sessionid=3332" 200 8383
86.206.XXX.XXX - - [25/Apr/2006:18:09:20 +0200] "recipientid=135&sessionid=3120" 200 8383
=========================================================================================

De plus, ces requêtes HTTP n'apparaissent même pas en GET, contraitement aux autres !

Ce qui est encore plus surprenant, c'est qu'après avoir pisté un minimum ces différentes IP (merci nslookup et les caches non rafraichis ), il s'avère qu'elles proviennent toutes de la même ville.
La dernière correspondant à l'ip d'une connaissance de la ville en question, mais qui m'assure qu'il ne s'est pas connecté sur mon site@home (je n'ai pas de raisons de mettre sa parole en doute ).

Alors, avez-vous des idées ? (trojan sur le pc de la connaissance en question qui balancerait des attaques ?)
Autre ?

Merci d'avance :jap: