Could not find the session record nach Update auf 3.2 im Log

**Babelfisch** · 07.02.2014, 14:04

Nachdem ich Contao von 3.1 auf 3.2 aktualisiert habe, finde ich jetzt sehr viele solche Einträge im Contao-Log:

Code:

Ursprung: Frontend
Kategorie: ACCESS
Details: Could not find the session record
Funktion: Contao\User::authenticate

Oft stecken da Bots von Suchmaschinen dahinter oder auch normale Browser-UAs. Vor Contao 3.2 hatte ich eine solche Meldung nie (nicht, dass ich wüsste) und nun aller halbe Stunde.

Hat jemand eine Idee, was dahinter steckt und ob sich das beheben lässt?

Gruß

**juju** · 23.02.2014, 13:10

Hallo Babelfisch,

ich habe nach dem kürzlichen Update auf 3.2.7 die gleichen (neuen) Meldungen und mich würde das auch interessieren.

Weißt Du schon mehr? Oder kann uns jemand zum Licht führen? ;-)

1000 Dank & Grüße,
juju

**peter64** · 06.03.2014, 19:07

Ich habe die selben Meldungen im System-Log.

Den Beitrag von Babelfisch kann ich insofern noch ergänzen, als die IP-Adresse die selbe ist, die ein user bei fehlgeschlagenem Login mit falschem Benutzernamen hatte.

Gibt es hier jemanden, der sagen kann, was die Meldung bedeutet?

Gruß Peter

**peter64** · 08.03.2014, 15:16

Darf ich die Moderation bitten, den Thread zu verschieben, falls wir hier mit unserer Frage nicht am richtigen Ort sind?

Danke und Gruß
Peter

***lucina*** · 08.03.2014, 17:17

Darfst Du, aber die Moderation ist sich sicher, dass es hierhin gehört.

Ab und an habe ich diese Meldung auch. Das letzte mal, als ein vermutlicher Chinabot mit gefaktem Useragent-String eine Installation aufgerufen hat und eine #302 geerntet hat.. Im Accesslog ist nur der Aufruf der Domain enthalten - ich will jetzt keine Pferde scheu machen, aber ich muss zur Sicherheit dann doch mal das detaillierte Logging anschauen.

Code:

220.181.51.75 - - [07/Mar/2014:04:27:19 +0100] "GET / HTTP/1.1" 302 623 "-" "Mozilla/5.0 (Windows NT 5.1; rv:6.0.2) Gecko/20100101 Firefox/6.0.2" "test.com"
220.181.51.75 - - [07/Mar/2014:04:27:20 +0100] "GET /de/ HTTP/1.1" 200 24373 "-" "Mozilla/5.0 (Windows NT 5.1; rv:6.0.2) Gecko/20100101 Firefox/6.0.2" "test.com"
220.181.51.76 - - [07/Mar/2014:04:27:22 +0100] "GET / HTTP/1.1" 302 627 "-" "Mozilla/5.0 (Windows NT 5.1; rv:6.0.2) Gecko/20100101 Firefox/6.0.2" "www.test.com"
220.181.51.75 - - [07/Mar/2014:04:27:23 +0100] "GET /de/ HTTP/1.1" 200 24381 "-" "Mozilla/5.0 (Windows NT 5.1; rv:6.0.2) Gecko/20100101 Firefox/6.0.2" "www.test.com"

That's all, folks.

Vielleicht klärt Ihr mal, unter welchen Bedingungen das bei Euch auftritt?

**peter64** · 09.03.2014, 16:18

Danke Lucina,

da die Meldungen seit update auf 3.2.x häufiger auftreten und vorher nicht, ist wohl eine neue Prüfroutine dafür verantwortlich. Aber leider sagt der Text des Prüfungsergebnisses im System-Log für einen Nichtprogrammierer nichts aus.

Hier ein Beispiel von heute:

Meldung im System-Log:

Code:

ID: 	55292
Datum: 	09.03.2014 16:30
Ursprung: 	Frontend
Kategorie: 	ACCESS
Benutzer: 	
Details: 	Could not find the session record
Funktion: 	Contao\User::authenticate
IP-Adresse: 2.93.103.92
Browser: 	Mozilla/5.0 (Windows NT 5.1; rv:15.0) Gecko/20100101 Firefox/15.0

Und hier die Meldung aus der Access-Log:

Code:

2.93.103.92 - - [09/Mar/2014:16:30:14 +0100] "GET /forum/ HTTP/1.0" 404 204 "http://www.stolp.de/forum/" "Mozilla/5.0 (Windows NT 5.1; rv:15.0) Gecko/20100101 Firefox/15.0" www.stolp.de
2.93.103.92 - - [09/Mar/2014:16:30:14 +0100] "GET / HTTP/1.0" 200 30094 "http://www.stolp.de/" "Mozilla/5.0 (Windows NT 5.1; rv:15.0) Gecko/20100101 Firefox/15.0" www.stolp.de
2.93.103.92 - - [09/Mar/2014:16:30:16 +0100] "GET /registrieren.html HTTP/1.0" 200 13247 "http://www.stolp.de/registrieren.html" "Mozilla/5.0 (Windows NT 5.1; rv:15.0) Gecko/20100101 Firefox/15.0" www.stolp.de
2.93.103.92 - - [09/Mar/2014:16:30:17 +0100] "POST /registrieren.html HTTP/1.0" 200 13304 "http://www.stolp.de/registrieren.html" "Mozilla/5.0 (Windows NT 5.1; rv:15.0) Gecko/20100101 Firefox/15.0" www.stolp.de
2.93.103.92 - - [09/Mar/2014:16:30:19 +0100] "GET /forum/ HTTP/1.0" 404 204 "http://www.stolp.de/forum/" "Mozilla/5.0 (Windows NT 5.1; rv:15.0) Gecko/20100101 Firefox/15.0" www.stolp.de
2.93.103.92 - - [09/Mar/2014:16:30:19 +0100] "GET / HTTP/1.0" 200 30094 "http://www.stolp.de/" "Mozilla/5.0 (Windows NT 5.1; rv:15.0) Gecko/20100101 Firefox/15.0" www.stolp.de

Ich kann daraus nur lesen, dass nach einer Seite "Forum" gesucht wurde, die allerdings nicht existiert.
Dann wird die Startseite aufgerufen und dann einmal mit GET und einmal mit POST die Registrierungsseite.
Danach noch einmal das nicht vorhandene Forum und wieder die Startseite.

Die IP gehört zum Provider VimpelCom in der Region Yaroslavl/Russland.

Gruß Peter

***lucina*** · 09.03.2014, 16:41

Immerhin, ein Bot: http://www.stopforumspam.com/ipcheck/2.93.103.92 - der betreffende Rechner hat wohl eine umfangreichere Payload ...

(was meine Vermutung bestätigt, dass da jemand automatisiert einzusteigen versucht, einen Seitenaufruf mit Parametern macht und scheitert. Bleibt die Frage, was die da eigentlich übergeben möchten und wie man es tötet)

**peter64** · 10.03.2014, 16:10

Lucina,

klingt alles einleuchtend.

Aber wenn mir der System-Log als einfacher Anwender des CMS etwas sagen soll, dann müsste es eindeutiger sein.
Aus "Could not find the session record" kann ich nicht ohne weiteres schließen, dass der "Access denied" wurde. Und nur das würde mich beruhigen.

Danke, "again what learned ;-)"

Peter

**Babelfisch** · 10.03.2014, 17:04

Auf jeden Fall sind hier auch ganz „normale“ Bots beteiligt. Ich habe bspw. viele Einträge vom GoogleBot bei mir. Da im Contao-Log keine Sekunden mit aufgeführt werden, kann ich nur in etwa anhand des Apache-Logs raten, was der Bot versucht hat. In einigen Fällen scheint es so, als ob er Ajax-Requests machen wollte. Versuche ich jedoch selber diese Requests zu machen (auch per Script), erscheint keine Meldung im Contao-Log.

Gruß

**mcgruenigen** · 24.04.2014, 11:56

Hallo,
Ich hatte heute (erstmals) 12 dieser Meldungen im Contao-Log. Die Quell-IP ist vermutlich in Ordnung (Adressblock einer österreichischen Behörde) und es werden laut Apache Log eigentlich nur valide Seiten aufgerufen, die als Statuscode 200 zurückgeben. User Agent zeigt IE8.
Jemand eine Idee, wie ich mehr Details zu der Meldung einsehen könnte?

**kretschi** · 02.10.2014, 07:53

Contao 3.3.5

Code:

Datum: 	01.10.2014 12:29
Ursprung: 	Frontend
Kategorie: 	ACCESS
Benutzer: 	
Details: 	Could not find the session record
Funktion: 	Contao\User::authenticate
IP-Adresse: 	127.0.0.1
Browser: 	Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3)

Auf dem Server kann man nicht "surfen" von daher halte ich diese Meldungen auch für ein Anzeichen, dass jemand versucht einzusteigen und scheitert. Hatte mal über 100 Stück hintereinander!

**tab** · 02.10.2014, 13:07

Zitat von mcgruenigen

User Agent zeigt IE8.

Dann muss es wirklich eine Behörde sein

Wer verwendet sonst noch so einen Uraltbrowser? Aber die arbeiten wahrscheinlich noch mit Windows XP.

**Kahmoon** · 02.10.2014, 13:20

Bei mir war es heute Früh Alexa. Denke da schon eher an Contao als Ursache statt einem Bot. Aber die Meldungen stören mich eigentlich nicht.

Code:

Details:
Could not find the session record

Funktion:
Contao\User::authenticate

IP-Adresse:
174.129.228.0

Browser:
ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)

Thema: Could not find the session record nach Update auf 3.2 im Log

Themen-Optionen

Thema durchsuchen

Could not find the session record nach Update auf 3.2 im Log

Aktive Benutzer

Aktive Benutzer

Lesezeichen

Lesezeichen

Berechtigungen

Contao

Empfohlene Webdesign-Bücher

Details:	Could not find the session record
Funktion:	Contao\User::authenticate
IP-Adresse:	174.129.228.0
Browser:	ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)