Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

apache1-client_denied_by_server_configuration

0 views
Skip to first unread message

Ronny Plattner

unread,
Jul 22, 2008, 2:29:16 PM7/22/08
to
Hallo !

Hier hab ich eine unangenehme Sache, deren Lösung mir nicht gelingen
will. Es geht um 2 vhosts unter Apache 1, wobei einer die Software
openads installiert - die auf dem 2. Host zum Einsatz kommt.

Im Apache error-log finde ich zuhauf solche Einträge:

-snip-
[Tue Jul 22 19:48:30 2008] [error] [client 85.81.xx.yy] client denied by
server configuration: /home/user2/www/openads/adx.js
[Tue Jul 22 19:48:30 2008] [error] [client 85.81.xx.yy] client denied by
server configuration: /home/user2/www/openads/adjs.php
[Tue Jul 22 19:48:30 2008] [error] [client 85.81.xx.yy] client denied by
server configuration: /home/user2/www/openads/adview.php
[Tue Jul 22 19:48:32 2008] [error] [client 84.131.186.206] client denied
by server configuration: /home/user2/www/openads/adjs.php
[Tue Jul 22 19:48:35 2008] [error] [client 85.81.xx.yy] client denied by
server configuration: /home/user2/www/openads/adx.js
[Tue Jul 22 19:48:35 2008] [error] [client 85.81.xx.yy] client denied by
server configuration: /home/user2/www/openads/adjs.php
[Tue Jul 22 19:48:35 2008] [error] [client 85.81.xx.yy] client denied by
server configuration: /home/user2/www/openads/adview.php
-snap-

Die oben angeführten Dateien haben alle "die richtigen Rechte" (644, ob
ich der Gruppe www-data oder users zuweise, spielt keine Rolle) - die
darüber liegenden Verzeichnisse + openads Verzeichnis haben alle x-Rechte.

Hier die entsprechenden zeitgleichen Logeinträge im access-log.

-snip-
85.81.xx.yy - - [22/Jul/2008:19:48:30 +0200] "GET /openads/adx.js
HTTP/1.1" 304 - "http://www.portal.com/index.php" "Mozilla/4.0
(compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322)" "-"
85.81.xx.yy - - [22/Jul/2008:19:48:30 +0200] "GET
/openads/adjs.php?n=284191279&clientid=30&target=_blank&exclude=,&referer=http%3A//www.portal.com/index.php
HTTP/1.1" 200 847 "http://www.portal.com/index.php" "Mozilla/4.0
(compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322)" "-"
85.81.xx.yy - - [22/Jul/2008:19:48:30 +0200] "GET
/openads/adimage.php?filename=post_banner.jpg&contenttype=jpeg HTTP/1.1"
304 - "http://www.portal.com/index.php" "Mozilla/4.0 (compatible; MSIE
7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;
SV1) ; .NET CLR 1.1.4322)" "-"
85.81.xx.yy - - [22/Jul/2008:19:48:30 +0200] "GET /openads/adx.js
HTTP/1.1" 304 - "http://www.portal.com/index.php" "Mozilla/4.0
(compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322)" "-"
85.81.xx.yy - - [22/Jul/2008:19:48:30 +0200] "GET
/openads/adjs.php?n=566185296&clientid=12&target=_blank&exclude=,&referer=http%3A//www.portal.com/index.php
HTTP/1.1" 200 1171 "http://www.portal.com/index.php" "Mozilla/4.0
(compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322)" "-"
85.81.xx.yy - - [22/Jul/2008:19:48:30 +0200] "GET /openads/adg.js
HTTP/1.1" 304 - "http://www.portal.com/index.php" "Mozilla/4.0
(compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322)" "-"
85.81.xx.yy - - [22/Jul/2008:19:48:30 +0200] "GET
/openads/adlog.php?bannerid=24&clientid=12&zoneid=0&source=&block=0&capping=0&cb=87b3cfd906d6f095befbb744bd1fe62a
HTTP/1.1" 200 43 "http://www.portal.com/index.php" "Mozilla/4.0
(compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322)" "-"
85.81.xx.yy - - [22/Jul/2008:19:48:30 +0200] "GET /openads/adx.js
HTTP/1.1" 403 304 "http://www.portal.com/index.php" "Mozilla/4.0
(compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322)" "-"
85.81.xx.yy - - [22/Jul/2008:19:48:30 +0200] "GET
/openads/adjs.php?n=646740181&clientid=17&target=_blank&exclude=,&referer=http%3A//www.portal.com/index.php
HTTP/1.1" 403 306 "http://www.portal.com/index.php" "Mozilla/4.0
(compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE
6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322)" "-"
85.81.xx.yy - - [22/Jul/2008:19:48:30 +0200] "GET
/openads/adview.php?clientid=14&n=ac8ffb14 HTTP/1.1" 403 308
"http://www.portal.com/index.php" "Mozilla/4.0 (compatible; MSIE 7.0;
Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
; .NET CLR 1.1.4322)" "-"
-snap-


Schaut so aus, als würde doch manches ausgeliefert werden.

Hier die Apache Konfiguration des vhostes der von openads "beliefert" wird:

-snip-
<VirtualHost 213.2mm.xx.rrr>
ServerName portal.com
ServerAlias *.portal.com
DocumentRoot /home/user1/www/
ScriptAlias /cgi-bin/ /home/user1/cgi-bin/
CustomLog /home/user1/log/access_log combined
UserDir disabled
<Directory /home/user1/www/>
######################
# RON - hier nun mal testweise explizit angefuehrt
Order Allow,Deny
Allow from all
#######################
php_admin_flag allow_url_fopen on
</Directory>
</VirtualHost>
-snap-

Schaut ansich vernünftig aus. Hier die des vhostes, auf dem openads läuft

-snip-
<VirtualHost 213.2mm.xx.rrr>
ServerName produkt.at
ServerAlias *.produkt.at
DocumentRoot /home/user2/www/
ScriptAlias /cgi-bin/ /home/user2/cgi-bin/
CustomLog /home/user2/log/access_log combined
UserDir disabled
<Directory /home/user2/www/>
allow from all
php_admin_flag register_globals on
</Directory>
</VirtualHost>
-snap-


Da die Zugriffe auf die im Error-log angeführten Dateien sind nicht
unbedeutend - kommt also sehr oft vor.

Hat jemand eine Idee, wo ich im Apache?-Keller die immer stärker
riechende Leiche suchen sollte?


Vielen Dank im Voraus
Ronny


ps: alle urls geändert ...

Ronny Plattner

unread,
Jul 22, 2008, 3:08:19 PM7/22/08
to
Hallo !

Hier hab ich eine unangenehme Sache, deren Lösung mir nicht gelingen

will. Es geht um 2 vhosts unter Apache 1, wobei unter einem die Software
openads läuft - die auf dem 2. vHost auf der Homepage zum Einsatz kommt.

Ronny Plattner

unread,
Jul 22, 2008, 3:10:27 PM7/22/08
to
Hallo !


Die Zugriffe auf die im Error-log angeführten Dateien sind sehr häufig.

Alexander Griesser

unread,
Jul 22, 2008, 3:50:18 PM7/22/08
to
Ronny Plattner schrieb:

Schon mal probiert die Order bei diesem VHost anzugeben, also:

> <VirtualHost 213.2mm.xx.rrr>
> ServerName produkt.at
> ServerAlias *.produkt.at
> DocumentRoot /home/user2/www/
> ScriptAlias /cgi-bin/ /home/user2/cgi-bin/
> CustomLog /home/user2/log/access_log combined
> UserDir disabled
> <Directory /home/user2/www/>

Order Allow,Deny

> allow from all
> php_admin_flag register_globals on
> </Directory>
> </VirtualHost>

Ohne Eintrag ist glaub ich Deny, Allow der Default und ohne
Deny line wird einfach mal alles denied.

ciao,
Alex

Ronny Plattner

unread,
Jul 22, 2008, 4:14:37 PM7/22/08
to
Hallo !

Alexander Griesser schrieb:

In /etc/apache/http.conf hab ich folgenden Eintrag (alle vhosts liegen
in /home/userxyz/www/)

-snip-
# Control access to UserDir directories. The following is an example
# for a site where these directories are restricted to read-only.
#
<Directory /home/*/www>
AllowOverride FileInfo AuthConfig Limit
# Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
Options MultiViews FollowSymLinks IncludesNoExec
<Limit GET POST OPTIONS PROPFIND>
Order allow,deny
Allow from all
</Limit>
<Limit PUT DELETE PATCH PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
Order deny,allow
Deny from all
</Limit>
</Directory>
-snap-

Das müßte doch greifen, oder?


Ronny

Alexander Griesser

unread,
Jul 22, 2008, 4:19:28 PM7/22/08
to
Ronny Plattner schrieb:

> In /etc/apache/http.conf hab ich folgenden Eintrag (alle vhosts liegen
> in /home/userxyz/www/)
>
> <Directory /home/*/www>
> [...]

> <Limit PUT DELETE PATCH PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
> Order deny,allow
> Deny from all
> </Limit>
> </Directory>
> -snap-
>
> Das müßte doch greifen, oder?

Ich bin mir jetzt nicht sicher, aber ich glaube nicht, weil diese
Konfiguration ist quasi die Default Konfiguration wenn nix anderes
angegeben ist, also wenn du z.B. bei dem vhost das "Allow From All"
ganz wegtust, dann vielleicht, aber sobalds da ist, wird die
Konfiguration vom VHost definitv mehr beachtet als die globale
Einstellung.

Hast es schon probiert?

ciao,
Alex

Ronny Plattner

unread,
Jul 22, 2008, 4:46:39 PM7/22/08
to
Hallo !

Alexander Griesser schrieb:

Ja, hab es eben probiert und es scheint zu greifen. Prima, Danke!

Eben nochmal auf

http://httpd.apache.org/docs/1.3/mod/mod_access.html#allow

nachgelesen ...

-snip-
Note that all Allow and Deny directives are processed, unlike a typical
firewall, where only the first match is used. The last match is
effective (also unlike a typical firewall). Additionally, the order in
which lines appear in the configuration files is not significant -- all
Allow lines are processed as one group, all Deny lines are considered
as another, and the default state is considered by itself.

Ordering is one of:

Allow,Deny
First, all Allow directives are evaluated; at least one must match,
or the request is rejected. Next, all Deny directives are evaluated. If
any matches, the request is rejected. Last, any requests which do not
match an Allow or a Deny directive are denied by default.
Deny,Allow
First, all Deny directives are evaluated; if any match, the request
is denied unless it also matches an Allow directive. Any requests which
do not match any Allow or Deny directives are permitted.
Mutual-failure
This order has the same effect as Order Allow,Deny and is
deprecated in its favor.
-snap-

Bzgl. der von Dir oben geschilderten Situation kann ich jetzt nichts
sagen - werde ggf. ein ander Mal recherchieren.


Merci
Ronny

0 new messages