Include File not found / Webbox, bei fehlerhaften Zugriffen, z.B. durch bots oder hacker oder sonstwem.

  • riawie danke!

    ich habe nun richtig geguckt und es gibt das Template WEBNOTFOUND auch. Der Inhalt ist:


    "

    <HTML>

    <HEAD>

    <TITLE>David Client Web</TITLE>


    <meta http-equiv="Content-Type" content="text/html; charset=##charset##">


    <script language=javascript>

    var OScripts = null;

    function getScriptObj ()

    {

    if (!window.top.frames.scriptfrm)

    {

    window.setTimeout ("getScriptObj();", 500);

    }

    OScripts = window.top.frames.scriptfrm;

    }


    getScriptObj ();

    </script>

    </HEAD>

    <body style="border:1px solid #6E6E6E;">

    <Table cellspacing="0" Cellpadding="5">

    <TR>

    <TD>

    <FONT FACE="TAHOMA, ARIAL, HELVETICA, SANS-SERIF" SIZE="2" FONT COLOR="#000000"><B>Attention!</B></FONT>

    <P style="font-family:Tahoma,ARIAL, HELVETICA, SANS-SERIF; font-size:10pt;">

    This archive could not be opened.<P style="font-family:Tahoma,ARIAL, HELVETICA, SANS-SERIF; font-size:10pt;">

    This may be due to the following reasons:<BR>

    1. Remote access has not been enabled for this archive<BR>

    2. This archive does not contain any entries<BR>

    3. The archive contains another password than specified<BR>

    4. The URL could not be found<BR>

    </FONT>

    </TD>

    </TR>

    </Table>

    </BODY>

    </HTML>


    "



    Auf Dateiebene habe ich gesehen das es seit 2018 einen David\Archive\www.bak Ordner gibt.

    Hier liegt auch ein Template drin welches den Inhalt von dir beschreibt.

    Heißt das ich die Meldungen weiterhin bekomme, ich würde nun probieren das Template aus dem www.bak Ordner zu benutzen.


    Wieder zurück im david Client kann ich das Template nicht ändern da es in einem gepackten Ordner (blaue Ordner) liegt. Geht eine Funktionalität verloren wenn ich den Ordner unter Eigenschaften Dienste/Dateien zusammenfasse deaktiviere/entpacke?

  • Das ist schon kurios, vor allem das er sich nicht nur über die Fehlende Datei beklagt sondern sie als fehlende include Datei einstuft...


    Scheint aber auch kein anderer hier zu kennen.

    Und ich kann es nicht nachstellen, solche Meldungen bekomme ich nicht bzw. wenn dann nur wenn ich explizit eine nicht existierende Datei im include Verzeichnis aufrufe.

    Wir haben das Include Datei not found auch seit eh und je.

    Ich habe das folgendermaßen gelöst: Ich Parse das Logfile und blocke die Zugriffe mit Include Datei not found mit einem Blocker, sodaß derjenige der das auslöst nicht mehr zugreifen kann, als eine ART Intrusion Detection!


    Das sieht nach der Verarbeitung so aus: so habe ich gleichzeitig suspicios IPs etc.

    Server4:
    IP: 162.142.125.40
    User: [Unknown]
    Block Date: 07.06.2021 05:00:00
    Unblock Date: 10.06.2021 23:00:00
    Protocol: Include File not found
    Total IP addresses currently blocked: 13

    09-f9-11-02-9d-74-e3-5b
    MfG Kingcopy seit C16 / C64
    Fachinformatiker / Systemintegration
    IT-Systemadministrator
    David (R) 20 User / 500 GB
    David (R) 200 User / 2,5 TB
    d8-41-56-c5-63-56-88-c0

    Einmal editiert, zuletzt von kingcopy ()

  • Wieder zurück im david Client kann ich das Template nicht ändern da es in einem gepackten Ordner (blaue Ordner) liegt. Geht eine Funktionalität verloren wenn ich den Ordner unter Eigenschaften Dienste/Dateien zusammenfasse deaktiviere/entpacke?

    Sorry, hatte das damals nicht mehr gesehen...

    Ich weiß nicht ob es Dir noch nützt, aber da der Thread ja wieder aktiviert wurde kann es ja auch für andere noch interessant sein ;)

    Der Ordner David\Archive\www sollte nicht gepackt sein, entsprechen geht auch keine Funktionalität verloren wenn man diesen Fehler korrigiert ;)

  • Hallo zusammen,


    ich habe leider auch dieses Problem. Eure Webbox Einstellungen passen so hier, leider bräuchte ich zur vermeintlichen Lösung "www/template und webnotfound" eine Anleitung :o(


    Wie ihr vermute ich, dass diese "include file not found" Einträge etwas wie Anklopfen/Angreifen/Ausspähen ist. Ich habe diese Einträge angesehen, welche zw. dem 1.3.2022 bis 02.03.2022 14:40 Uhr aufgeführt waren, deren IP genommen und jede dieser IP's gesucht, was in Summer (teilweise auch über den Zeitraum hinaus ca. 2700) Einträge macht.


    Dies ist erschreckend und beängstigend.


    Nun wollte ich das Thema schnell und effizient angehen: beim Zeitpunkt "jetzt" anfangen, IP notieren, diese IP suchen, alle Einträge zu dieser IP bei den Sucherergebnissen auswählen und einheitlich markieren (z.B. kritisch), dann den nächst älteren Eintrag nehmen und das Prozedre wiederholen. Anschließend die erfasste IP's (Russland, Ukraine, ... selten auch andere Länder) im Router sperren. Leider scheitert der Plan vielen Stellen, wo ich auf Hilfe von euch hoffe:


    1. wenn ich bei "finden" die IP reinkopieren findet er ja nichts, danach kann ich "Inhalt suchen" anklicken und finde die Einträge, wo diese IP enthalten ist:

    --> bei zahlreichen IP's kam einfach eine leere Liste, obwohl mindestens 1 Eintrag ist, wo ich sie rauskopiert habe --> Warum?

    --> bei anderen IP's wird nur der eine Eintrag gefunden oder eben die Anzahl x

    --> ich erkenne kein Schema oder Grund, habe darauf hin neben dem Client auf dem Server auch einen PC mit dem Client probiert, Fehler blieb. Nach Client und auch nach Server Neustart unverändert


    2. wenn ich in der Trefferliste meiner Suche alle Einträge markiere und in einen Unterordner "angreifende IP's" verschieben will macht das David auch, aber sind bei Ereignisse noch drin UND im Unterordner

    --> Warum ist das so?

    --> mein Workaround ist, dass ich a) alle verschiebe und b) dann unter Ereignisse nochmals die IP suche und dann in der Trefferliste wieder alle markiere und lösche - dann sind sie nicht mehr im Ereignis-Ordner und damit nicht mehr doppelt


    3. wenn ich das beschriebene Löschen umsetze, dann kommt die Meldung " 123 markierte Einträge werden aus der Trefferliste der Suche entfernt" und ob ich die originalen Einträge löschen will

    --> Warum kann ich dann die IP nicht mehr suchen?

    --> Normalerweise müsste ich die IP doch im Ordner "Ereignisse" suchen können, er würde sie dann im Unterordner finden. Selbst wenn ich im Unterordner die IP suche finde ich nichts, obwohl sie zahlreich in den Einträgen ist

    --> Wie kann ich denn korrekt löschen bzw. die Suchoption anpassen, dass meine "gelöschten IPs" wieder richtig gesucht werden?


    Bin am verzweifeln und neben den Massen unter Ereignisse sind letztendlich unter Protokoll ähnliche Probleme. Nur das hier "Access to Archive without ARCHIVE.INI or out of HTML Root rejected" auftaucht, unter's Strich aber die gleichen Angriffe stattfinden.


    Was mir unklar ist: Kann man am David Server irgendwo automatisieren: Wenn ein und die selbe IP / Hostname im Zeitraum x die Anzahl y an "Fehlern" erzeugt, dann sperre ihn für einen bestimmten Zeitraum bzw. immer


    SOS

  • Versuch das Ganze mal wenn du die konventionelle Suche verwendest. Die Volltextsuche vom SQL Server ist in Bezug auf IP Adressen wohl etwas "zickig". Vorteil bei der Konventionellen Suche dürfte dann auch sein, dass das Verschieben von Einträgen aus dem Suchergebnis in ein anderes Verzeichnis funktioniert, zumindest ist das bei mir so. Also Rechtsklick auf das Archive und dann "Suchen..."
    Die konventionelle Suche kannst du in den Client Einstellungen unter Global/Outdated aktivieren.

  • Moin, ich exumhiere mal diesen Thread, da es bzgl. des Themas neue Erkenntnisse gibt. Bei uns trat bei einem Kunden obiges Problem auf, obwohl Port 443 derzeit noch geschlossen ist und über Port 80 nur das Let's-Encrypt-Zertifikat erneuert werden soll. Da waren wir verwirrt, weil in der Webbox die Option "Port 80 nur für Let's Encrypt verwenden" gesetzt ist und dennoch die Fehler beim Zugriff auf nicht vorhandene lokale URLs auftraten.


    Der Tobit-Support sagt dazu: "Diese Meldungen gab es in dem Fall unnötigerweise und wir planen hierzu im kommenden Rollout eine Anpassung. Wenn der Schalter bzgl Port 80 gesetzt ist, erhalten die Gegenstellen außer bei Let´s Encrypt Anfragen den Fehler "HTTP ERROR 403" (Zugriff verweigert)."


    OK, das mit dem Fehler 403 ist vermutlich der korrekte Weg, die Sache zu handhaben, auch wenn ich persönlich mir fast gewünscht hätte, dass die Anfrage einfach kommentarlos verworfen wird. Aber das ist wohl eher die Aufgabe einer dedizierten Firewall. Immerhin wird das "Ereignisse"-Archiv demnächst mutmaßlich etwas leerer. :)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!