Froschs Blog

Computer und was das Leben sonst noch so zu bieten hat

Zur Website | Impressum

apache2 liebt DNS-Resolving

7. Januar 2009 um 16:36 Uhr von Atari-Frosch

Ich habe gerade eine ausführliche Diskussion mit dem Apache2 hier auf diesem Server. Seit 25.12. um 18:38:37 meint der nämlich, den Eintrag HostnameLookups Off in der apache2.conf ignorieren und möglichst alle IP-Adressen für access.log auflösen zu müssen.

Betroffen sind dabei nur www.atari-frosch.de und blog.atari-frosch.de, nicht jedoch eine weitere Domain, die ebenfalls dort liegt (und keine Subdomain von atari-frosch.de ist).

Die Änderung erfolgte mitten in einer Zugriffsserie von offensichtlichen Adreß-Harvestern. Während der eine unaufgelöst blieb, wurde die IP des anderen nach mehreren Zugriffen ohne Namensauflösung vor der genanten Uhrzeit plötzlich zu einem niederländischen Host aufgelöst.

Googlen war (bisher) erfolglos.

Erfolglos war es weiterhin, die Anweisung HostnameLookups Off nochmal explizit in die VirtualHosts-Datei der betroffenen Domain zu schreiben und dann auch komplett neu zu starten.

Änderungen an der apache2.conf oder an irgendeiner anderen relevanten Datei habe ich in diesem Zeitraum nicht gemacht; zumindest kann ich mich daran nicht erinnern. Erst am 29.12.2008 habe ich einige Dateien editiert, um das CaCert-Zertifikat für https einzubinden. Insofern ist das eine typische „ich hab nix gemacht!!1”-Situation 😉

Ein Update des apache2 kam in der Zeit auch nicht; das letzte Update war laut /var/cache/apt/packages/ am 06.09.2008. Die letzten Updates überhaupt in dem Bereich waren einige perl-Pakete am 19.12.2008. Es bestand also eigentlich überhaupt kein Grund für den apache2, sein Logging-Verhalten zu ändern.

Jemand 'ne Idee?

2 Kommentare zu “apache2 liebt DNS-Resolving”

  1. Alex Schestag quakte:

    Problem und Lösung werden hier beschrieben:

    http://www.usenet-forums.com/apache-web-server/9952-hostnamelookups-off-no-i-really-mean.html

    Grüße,

    Alex


  2. frosch quakte:

    Arghs, danke. Paßt. Das heißt: Fast.
    Also: Ich habe einige IP-Blöcke per deny from in der .htaccess ausgesperrt:

    deny from ^82.99.30.
    deny from ^64.27.

    (von blog.atari-frosch,de). Es sind also eigentlich keine Domainnamen dabei. Das Dach am Zeilenanfang scheint hier das Problem zu sein.
    Hier ist Apache wohl echt ein bißchen doof. Bei den dreiteiligen Adressen könnte ich das Dach noch weglassen, weil der Punkt am Ende klarstellt, daß es der Anfang der IP-Adresse sein muß; aber bei zweistelligen Einträgen ist das eben nicht mehr klar. Ich möchte ja nicht als Kollateralschaden xxx.64.27.xxx blocken. Da muß ich mir nun wohl eine andere Lösung suchen.


Kommentieren

Bitte beachte die Kommentarregeln!

XHTML: Du kannst diese Tags verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>