Webserver spinnt?

[begin_prog]

Hallo,

im Apache-Log eines LAMP-Servers finden sich tausende gleichartiger Log-Einträge.

Eine "Welle" sieht so aus, dass die 1. Zeile keinen Referer hat:

<IP-Adresse> - - [18/Dec/2017:08:04:20 +0100] "GET /pfad/logout.php?lang=de HTTP/1.1" 200 152 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:57.0) Gecko/20100101 Firefox/57.0"

Danach folgen innerhalb 20 Sekunden 107 gleiche Zeilen mit Referer, von der selben IP:

<IP-Adresse> - - [18/Dec/2017:08:04:20 +0100] "GET /pfad/logout.php?lang=de HTTP/1.1" 200 152 "http://www.domain.de/pfad/logout.php?lang=de" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:57.0) Gecko/20100101 Firefox/57.0"

Dann ist 25 Minuten Pause, dann geht wieder eine "Welle" los.

Solche Anfragen kommen von Kollegen und von außerhalb. Nehmen wir an, das ist nicht böswillig: Kann es sein, dass Apache oder das Logging spinnt, sodass aus einer echten Anfrage hundert Log-Einträge werden?

Oder was kommt als Ursache in Frage?

 

[HorstSch87]

Meine erste Idee wäre eine Redirect Loop. Versucht die Logout.php eventuell, Nutzer irgendwohin weiterzuleiten?

 

[begin_prog]

Nein, die logout.php ist unverändert.

Der Login auf der Seite wird auch protokolliert. Ein Teil der Seite ist ohne Login zugänglich. Wenn man diesen Teil aufruft, wird das technisch wie ein "Logout mit anschließendem Login" behandelt. Das System schreibt dann "logged in as anonymous" ins Protokoll.

Die Fälle, wo es hunderte Log-Einträge gibt, kommen scheinbar von solchen Zugriffen:

logged in as anonymous, remote:<IP-Adresse>:43330
logged in as anonymous, remote:<IP-Adresse>:43332
logged in as anonymous, remote:<IP-Adresse>:43334
logged in as anonymous, remote:<IP-Adresse>:43336

Wie man sieht, werden die Portnummern quasi in Zweierschritten durchgezählt.

Andere Surfer, die sich eingeloggt haben und mit der Seite normal arbeiten, scheinen also nicht so einen Müll zu produzieren.

Würde ein Browser andauernd diese Seite aufrufen?

 

[konkretor]

auch sonst keine htaccess datei rumfliegen?

 

[begin_prog]

Die .htaccess sagt:

RewriteEngine On
RewriteCond %{HTTP_HOST} !^www\.domain\.de$
RewriteRule ^(.*)$ https://www.domain.de/$1 [L,R=301]

 

[HorstSch87]

24 Minuten wären die Standardzeit, nach der bei PHP die Session ausläuft. Sicher, dass es alle 25 Minuten sind und nicht 24?
Für mich sieht das folgendermaßen aus:
In deinem Log steht als Referer eine http Domain. Deine RewriteRule leitet alle Anfragen auf die https Variante um. Jetzt wäre die Frage, was in der logout.php überhaupt drinsteht, ohne Code kann man da nur raten. Es kann durchaus sein, dass die Logout.php z.B. irgendwo die http Domain nutzt, dann könnte es möglich sein, dass du da ständig zwischen http und https hin und hergeleitet wirst.