Nach diversen nächtlichen Zugriffen von höchst verdächtigen IP-Adressen auf den Port 443, (vom Router gemeldet), wollte ich mal schauen, wer sich da so rumtreibt und auf welche Inhalte auf meiner Syno versucht wird, zuzugreifen.
Allerdings ist das Logging nur für http und nicht für https aktiviert. Deswegen ist hier Handarbeit notwendig.
Zuerst ein Hinweis:
Wer nach dieser Anleitung vorgeht, sollte sich im Klaren darüber sein, dass man sich so auch seine funktionierende Konfiguration zerstören kann.
Deswegen erfolgt die Nutzung dieser Anleitung auf eigene Gefahr! Wer die Daten nicht sichert, ist selber schuld (die copy-Befehle habe ich sogar auch beigefügt, das Rücksichern sollte als Transferleistung jedem möglich sein
). Empfehlenswert sind natürlich auch Grundkenntnisse im Umgang mit Editoren auf der Kommandozeile, wie z.B. vi, den ich hier genutzt habe.
Hinweise auf Fehler und Verbesserungswünsche, werden natürlich gerne entgegengenommen
Wer nicht abgeschreckt ist, meldet sich z.B. über putty an der Syno-Konsole an und los geht es.
Dieser erste Schritt für http ist nicht notwendig, aber eine Stelle für alle Logs ist meiner Meinung nach einfacher handzuhaben, wenn man schon selber an der Konfiguration rumstrickt.
Wir editieren die
Vorher sichern:
nach den beiden folgenden Zeilen suchen und bei der oberen das # weg, die zweite mit # auskommentieren
Nun ein
und ein
sollte jetzt eine Ausgabe produzieren, wenn man über http auf seine Webseiten zugreift. (Beendet wird das mit Strg C).
Jetzt fehlt nur noch https:
hierzu wird die
editiert.
Vorher sichern:
Nach folgenden Zeilen suchen und das "CustomLog /dev/null \ " auskommentieren (die Zeile wird mit dem "\" umgebrochen)
Darunter die beiden folgenden Zeilen eintragen.
Mit
den apachen neu starten.
Ein
sollte jetzt ebenfalls Ausgaben produzieren.
Anpassen des evtl. vorhandenen webalizers.
dazu benötigen wir
vorher sichern:
nach LogFile suchen, die gefundene Zeile auskommentieren
und diese Zeile einbauen
Paket webalizer neustarten (über das Paketzentrum)
Man kann in der ssl.conf-user statt
auch
nutzen, damit alles in ein Access-Log geschrieben wird.
Dann braucht man in der webalizer.conf aber
um dann im Webalizer beides zu sehen.
Bei mir gibt es auf Port 80 nur Zugriffe von "innen", und auf Port 443 nur von "außen", deswegen die Trennung der beiden Logs.
Viel Spaß und macht nix kaputt
Stefan
Allerdings ist das Logging nur für http und nicht für https aktiviert. Deswegen ist hier Handarbeit notwendig.
Zuerst ein Hinweis:
Wer nach dieser Anleitung vorgeht, sollte sich im Klaren darüber sein, dass man sich so auch seine funktionierende Konfiguration zerstören kann.
Deswegen erfolgt die Nutzung dieser Anleitung auf eigene Gefahr! Wer die Daten nicht sichert, ist selber schuld (die copy-Befehle habe ich sogar auch beigefügt, das Rücksichern sollte als Transferleistung jedem möglich sein
). Empfehlenswert sind natürlich auch Grundkenntnisse im Umgang mit Editoren auf der Kommandozeile, wie z.B. vi, den ich hier genutzt habe.Hinweise auf Fehler und Verbesserungswünsche, werden natürlich gerne entgegengenommen
Wer nicht abgeschreckt ist, meldet sich z.B. über putty an der Syno-Konsole an und los geht es.
Dieser erste Schritt für http ist nicht notwendig, aber eine Stelle für alle Logs ist meiner Meinung nach einfacher handzuhaben, wenn man schon selber an der Konfiguration rumstrickt.
Wir editieren die
Rich (BBCode):
/usr/syno/apache/conf/httpd.conf-user
Rich (BBCode):
cp /usr/syno/apache/conf/httpd.conf-user /usr/syno/apache/conf/httpd.conf-user.orgnach den beiden folgenden Zeilen suchen und bei der oberen das # weg, die zweite mit # auskommentieren
Rich (BBCode):
CustomLog /var/log/httpd-access-user.log combined
#CustomLog /dev/null combined
Rich (BBCode):
/usr/syno/etc/rc.d/S97apache-user.sh restartund ein
Rich (BBCode):
tail -f /var/log/httpd-access-user.logJetzt fehlt nur noch https:
hierzu wird die
Rich (BBCode):
/usr/syno/apache/conf/extra/httpd-ssl.conf-userVorher sichern:
Rich (BBCode):
cp /usr/syno/apache/conf/extra/httpd-ssl.conf-user /usr/syno/apache/conf/extra/httpd-ssl.conf-user.org
Rich (BBCode):
# Per-Server Logging:
# The home of a custom SSL log file. Use this when you want a
# compact non-error SSL logfile on a virtual host basis.
#CustomLog /dev/null \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
Rich (BBCode):
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
CustomLog /var/log/httpd-ssl-access-user.log combined
Rich (BBCode):
/usr/syno/etc/rc.d/S97apache-user.sh restartEin
Rich (BBCode):
tail -f /var/log/httpd-ssl-access-user.logAnpassen des evtl. vorhandenen webalizers.
dazu benötigen wir
Rich (BBCode):
/volume1/@appstore/Webalizer/webalizer.conf (oder ein entsprechendes anderes volume, ggf. anpassen)vorher sichern:
Rich (BBCode):
cp /volume1/@appstore/Webalizer/webalizer.conf /volume1/@appstore/Webalizer/webalizer.conf.orgnach LogFile suchen, die gefundene Zeile auskommentieren
Rich (BBCode):
#LogFile /var/lib/httpd/logs/access_logund diese Zeile einbauen
Rich (BBCode):
LogFile /var/log/httpd-ssl-access-user.logPaket webalizer neustarten (über das Paketzentrum)
Man kann in der ssl.conf-user statt
Rich (BBCode):
CustomLog /var/log/httpd-ssl-access-user.log combined
Rich (BBCode):
CustomLog /var/log/httpd-access-user.log combinedDann braucht man in der webalizer.conf aber
Rich (BBCode):
CustomLog /var/log/httpd-access-user.log combinedBei mir gibt es auf Port 80 nur Zugriffe von "innen", und auf Port 443 nur von "außen", deswegen die Trennung der beiden Logs.
Viel Spaß und macht nix kaputt
Stefan
