nicht angemeldet
HTTP
0 0 Hier ist ein Schwein im Stall
0 0 0 0
HTTP
Hello,
Einfache Frage zu Beginn:
Was frage ich mit der Methode OPTIONS ab?
Zweite Frage:
Was findet man üblicherweise unter:
GET /_vti_inf.html
GET /_vti_bin/shtml.exe/_vti_rpc
Scheint sich ja um eine auf einen IIS gerichtet Abfrage zu handeln. Isch 'abe aber gar kein IIS *gg*
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
Hallo
Zweite Frage:
Was findet man üblicherweise unter:
GET /_vti_inf.html
GET /_vti_bin/shtml.exe/_vti_rpcja iis exploit.
Bert
--
E492: Not an editor command: Wq-
Hello,
Was findet man üblicherweise unter:
GET /_vti_inf.html
POST /_vti_bin/shtml.exe/_vti_rpc
ja iis exploit.
Bert
Danke Bert.
Ich weiß ja, wer es war.
Ist irgendwie schade, dass Leute hier aus dem Forum solche Sachen versuchen.
Also passt ein wenig auf Eure Server auf, wir haben ein Schwein unter unsHarzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau-
Hallo,
Ist irgendwie schade, dass Leute hier aus dem Forum solche Sachen versuchen.
Also passt ein wenig auf Eure Server auf, wir haben ein Schwein unter unswürdest du das bitte für Nicht-Eingeweihte erläutern?
Mit freundlichen Grüßen
André
--
http://forum.de.selfhtml.org/archiv/2003/10/60651/
Und denkt dran - lieber um fünf zuhause als um halb im Zinksarg ...-
Hello,
Ist irgendwie schade, dass Leute hier aus dem Forum solche Sachen versuchen.
Also passt ein wenig auf Eure Server auf, wir haben ein Schwein unter unswürdest du das bitte für Nicht-Eingeweihte erläutern?
Ich schaue regelmäßig in meine Logs und versuche auch Unregelmäßigkeiten darin zu verfolgen. Ein Teilnehmer dieses Forums hat in meinen Logs die entsprechnden Logeinträge verursacht, also versucht ein Exploit zu benutzen. Wie ich nun hereuasgefunden habe, wer das war, bleibt mein Geheimnis. Ich werde mich aber bei seinem Arbeitgeber schriftlich beschweren, es sei denn entschuldigt sich bei mir.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau-
Hallo Tom,
hm...die Möglichkeit dass er sich selber was eingefangen hat und daher (unwissentlich) Attacken auf andere Server startet ziehst Du nicht in Betracht?
Grüße,
Utz--
Mitglied im Ring Deutscher Mäkler-
Hello,
hm...die Möglichkeit dass er sich selber was eingefangen hat und daher (unwissentlich) Attacken auf andere Server startet ziehst Du nicht in Betracht?
In diesem Fall halte ich das für ausgeschlossen. In der Firma fängt man sich nichts ein. Zumindest keine Computerviren. Die kennen sich eigentlich seeehr gut aus.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau-
In diesem Fall halte ich das für ausgeschlossen. In der Firma fängt man sich nichts ein. Zumindest keine Computerviren. Die kennen sich eigentlich seeehr gut aus.
Kennen sich sehr gut aus, sind aber zu dumm, die Kennung eines IIS von der eines Apaches zu unterscheiden? Na, Du bist ja ein wahrer Held der Investigation.
-
Hello,
In diesem Fall halte ich das für ausgeschlossen. In der Firma fängt man sich nichts ein. Zumindest keine Computerviren. Die kennen sich eigentlich seeehr gut aus.
Kennen sich sehr gut aus, sind aber zu dumm, die Kennung eines IIS von der eines Apaches zu unterscheiden? Na, Du bist ja ein wahrer Held der Investigation.
Derjenige, der da seine Übungen macht, ist nicht für die Sicherheit in der Firma zuständig.
Hoast mi nun?
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
-
-
-
Hallo,
Ein Teilnehmer dieses Forums hat in meinen Logs die entsprechnden Logeinträge verursacht, also versucht ein Exploit zu benutzen. ... Ich werde mich aber bei seinem Arbeitgeber schriftlich beschweren, es sei denn entschuldigt sich bei mir.
???
Da ich nicht das technische Verständnis für deine Antwort aufbringen kann, soll heißen, ich verstehe kein Wort, nehme ich mich mal aus der Liste der üblichen Verdächtigen raus. ;-)
Ich bleibe wohl erst mal bei HMTL und CSS.
Mit freundlichen Grüßen
André
--
http://forum.de.selfhtml.org/archiv/2003/10/60651/
Und denkt dran - lieber um fünf zuhause als um halb im Zinksarg ... -
Jup die hatte ich auch schon mal bei mir drin...
Aber isch hab auch keinen IIS...
Ich hab mir aber nicht die Mühe gemacht rauszufinden wer es war.
Und isch habe keinen Arbeitgeber. :-)Ich schaue regelmäßig in meine Logs und versuche auch Unregelmäßigkeiten darin zu verfolgen. Ein Teilnehmer dieses Forums hat in meinen Logs die entsprechnden Logeinträge verursacht, also versucht ein Exploit zu benutzen. Wie ich nun hereuasgefunden habe, wer das war, bleibt mein Geheimnis. Ich werde mich aber bei seinem Arbeitgeber schriftlich beschweren, es sei denn entschuldigt sich bei mir.
naja so schwer ist das nicht rauszufinden, man muß sich nur ein
bischen einen Kopf machen wie hier was zusammenhängt.
Und dank Deiner Protokollierung die Du mit Deiner Grafik hast ist das relativ einfach.
Aus diesem Grund hab ich mich auch drüber aufgeregt als hier einige Leute verdeckt mitprotokolliert haben.TomIRL
-
Hallo TomIRL32,
Ich schaue regelmäßig in meine Logs und versuche auch Unregelmäßigkeiten darin zu
verfolgen. Ein Teilnehmer dieses Forums hat in meinen Logs die entsprechnden
Logeinträge verursacht, also versucht ein Exploit zu benutzen. Wie ich nun
hereuasgefunden habe, wer das war, bleibt mein Geheimnis.Gar nicht. Mehr als die IP und der Referer und vielleicht noch dem User-Agent wird
naemlich gar nicht uebermittelt. Und da explizit diese beiden URLs abgefragt wurden,
wahrscheinlich nichtmal diese beiden. Also alles heisse Luft.naja so schwer ist das nicht rauszufinden, man muß sich nur ein
bischen einen Kopf machen wie hier was zusammenhängt.
Und dank Deiner Protokollierung die Du mit Deiner Grafik hast ist das relativ einfach.
Aus diesem Grund hab ich mich auch drüber aufgeregt als hier einige Leute verdeckt
mitprotokolliert haben.Du, daran laesst sich gar nichts mitprotokollieren ausser der Information, wie oft die
Grafik von welcher IP aus aufgerufen wurde. Da haengen keinerlei Benutzerdaten dran -- der
Username wird naemlich nur innerhalb des my-Bereichs uebertragen, da nur der definiert,
dass er welche haben will.Grüße,
CK--
Sich erinnern bedeutet, aus einer Erfahrung nicht ausreichend gelernt zu haben.
http://wwwtech.de/-
Hallo Christian,
Gar nicht. Mehr als die IP und der Referer und vielleicht noch dem User-Agent wird
naemlich gar nicht uebermittelt.Naja, mit ein wenig Kombinatorik...
In seinen Logs sieht er, welche IP den angeblichen Exploit versucht. In seinen Logs sieht er weiterhin, welche IPs seine Signatur-Grafik anfordern. Wird die Grafik _nur_ hier als Signaturgrafik verwendet und stimmen diese IPs in einem kurzen Zeitraum überein, dann weiß er, dass der angebliche Angriff von einer Maschine mit einer IP kommt, über welche auch Postings in diesem Forum abgesetzt werden. Wenn das wirklich eine große Firma ist, kann man diese IP eventuell dieser Firma zuordnen. Wenn mann dann weiß, welcher Forums-Poster in dieser Firma angestellt ist, kann man diesen (trotzdem nicht[1]) verdächtigen.
[1]
Weil die genannte Maschine in einer großen Firma mit fast an Sicherheit grenzender Wahrscheinlichkeit ein Proxy sein wird.Weil es eben gar kein Angriff sein muss (wie gesehen).
Weil es, selbst wenn der Zugang nicht via Proxy erfolgte, mehrere Nutzer geben kann, die diesen Zugang nutzen.
Weil ...
viele Grüße
Axel
-
Hello,
um das Rätsel aufzuklären...
Weil man vielleicht auch noch Zugriff auf Logfiles der großen Firma hat *gg*
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau-
Hi Tom,
Weil man vielleicht auch noch Zugriff auf Logfiles der großen Firma hat *gg*
tippe auf Bitworks ;-)
MfG, Dennis.
--
Mein SelfCode: ie:{ fl:{ br:^ va:) ls:< fo:) rl:( n4:& ss:) de:> js:( ch:{ sh:( mo:} zu:|
Zufällige Hinweise:
------------------------
Fuer die Neulinge: Auf viele Fragen findet man eine
Antwort im </archiv/>, das man auch durchsuchen kann
http://suche.de.selfhtml.org/-
Hello,
Weil man vielleicht auch noch Zugriff auf Logfiles der großen Firma hat *gg*
tippe auf Bitworks ;-)Nee, das ist ja nur eine ganz kleine Firmengruppe von l,auter Einzelkämpfern bis 10-Mann-Firmen. Zusammen sien es inzwioschen bestimmt auch 240 Leute, aber die Firma, für die ich da gelegentlich arbeite, ist weltweit tätig und hat inzwischen wohl ca. 3000 feste Mitarbeiter.
Und da darf ich dann auch in manche Logs gucken, weil deren Auswertung eben genau meine Aufgabe ist.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
-
-
Hallo Axel,
Gar nicht. Mehr als die IP und der Referer und vielleicht noch dem User-Agent wird
naemlich gar nicht uebermittelt.Naja, mit ein wenig Kombinatorik...
In seinen Logs sieht er, welche IP den angeblichen Exploit versucht. In seinen Logs
sieht er weiterhin, welche IPs seine Signatur-Grafik anfordern. Wird die Grafik _nur_
hier als Signaturgrafik verwendet und stimmen diese IPs in einem kurzen Zeitraum
überein, dann weiß er, dass der angebliche Angriff von einer Maschine mit einer IP
kommt, über welche auch Postings in diesem Forum abgesetzt werden.Ich sagte ja, dass der Poster von hier ist ist so ziemlich das einzige, was man aus Logs
ivM der Grafik schliessen kann.Grüße,
CK--
Willst du die Freuden dieser Welt geniessen, so musst du auch ihr Leid erdulden.
http://wwwtech.de/
-
-
-
-
-
-
Hallo,
ja iis exploit.
Nur wenn man FrontPage als IIS Exploit bezeichnet (ok, ok, sooo
abwegig ist das ja nicht mal :)Ich weiß ja, wer es war.
Und?
Ist irgendwie schade, dass Leute hier aus dem Forum solche Sachen versuchen.
Welche Sachen? Schauen, ob FP Extensions vorhanden sind? Sich in
der IP vertun? Einfach neugierig sein?Also passt ein wenig auf Eure Server auf, wir haben ein Schwein unter uns
Kann sein, aber alleine durch den von dir beschriebenen Aufruf
rechtfertigt das sicher in keinster Weise deine "Aufregung", bzw.
deinen Schrieb an den Arbeitgeber desjenigen.Tschau, Stefan
-
Hello Stefan,
Nur wenn man FrontPage als IIS Exploit bezeichnet (ok, ok, sooo
abwegig ist das ja nicht mal :)Es hat sich ja inzwischen aufgeklärt. Und da wir hier in einem sensiblen Fachforum sind, ist eine Warnung mehr immer besser, als eine zuwenig. Und wenn ich denjenigen mal persönlich kennenlerne, kann ich mich auch persönlich entschuldigen für meine Aufregung und dann können wir die Sau rauslassen.
Ich habe kein Problem damit, öffentlich zu erklären, dass nicht der User Schuld war, sondern die Software Scheiße ist. Also entschludige bitte <username> dass ich Dich verdächtigt habe.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau-
Es hat sich ja inzwischen aufgeklärt. Und da wir hier in einem sensiblen Fachforum sind, ist eine Warnung mehr immer besser, als eine zuwenig.
"Und da wir die führende Nation der Welt sind, haben wir vorsorglich ein paar Bomben geworfen, ein Krieg mehr ist in solchen Fällen immer besser als einer zu wenig. Die Beweise sahen aber auch wirklich sowas von hieb- und stichfest aus..."
-
Hello,
Es hat sich ja inzwischen aufgeklärt. Und da wir hier in einem sensiblen Fachforum sind, ist eine Warnung mehr immer besser, als eine zuwenig.
"Und da wir die führende Nation der Welt sind, haben wir vorsorglich ein paar Bomben geworfen, ein Krieg mehr ist in solchen Fällen immer besser als einer zu wenig. Die Beweise sahen aber auch wirklich sowas von hieb- und stichfest aus..."
Ich denke, dass Du dich für eine solche Äußerung ganz schnell entschuldigen solltest.
Das ist nicht nur geschmacklos, sondern auch dumm. Ich habe _einen_ "Angriff" geschildert, Du unterstellt mir hier abe eine Attacke auf Tausende von Unschuldigen.Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau-
Das ist nicht nur geschmacklos, sondern auch dumm. Ich habe _einen_ "Angriff" geschildert, Du unterstellt mir hier abe eine Attacke auf Tausende von Unschuldigen.
Wie schön Du verharmlosen kannst und jemanden, der durch Deinen selbstgerechten Rachefeldzug in Schwierigkeit kommen könnte, marginalisierst. Du hast nicht nur einen Angriff geschildert, Du hast bei der erstbesten passenden Antwort den Verursacher als Schwein bezeichnet, wolltest ihn bei seinem Arbeitgeber anschwärzen und hast jede Möglichkeit eines viralen Versehens Kraft Deines "weitreichenden" Wissens ausgeschlossen.
Was Bush im Großen veranstaltet, ziehst Du im Kleinen durch: Erst zutreten, dann prüfen und, falls nötig, eine mehr oder minder großzügige Entschuldigung hinterherschieben. Die normale Vorgehensweise wäre ein freundlich-bestimmter Hinweis an den Verantwortlichen, dass möglicherweise etwas nicht stimmen könnte. Dein Aufplustern war dagegen unter aller Sau. Punkt.
-
Was Bush im Großen veranstaltet, ziehst Du im Kleinen durch: Erst zutreten, dann prüfen und, falls nötig, eine mehr oder minder großzügige Entschuldigung hinterherschieben. Die normale Vorgehensweise wäre ein freundlich-bestimmter Hinweis an den Verantwortlichen, dass möglicherweise etwas nicht stimmen könnte. Dein Aufplustern war dagegen unter aller Sau. Punkt.
Tja mit einem Unterschied im Gegensatz zu Dir, hat Tom sich entschuldigt.
Dein Verhalten hier ist auch unter aller Sau.-
Tja mit einem Unterschied, im Gegensatz zu Dir hat Tom sich entschuldigt.
Diese Mühe hätte er besser vorher investiert. Entschuldigungen sind in Fällen, in denen andere zu Schaden kommen könnten, kein Instant-Ersatz für unterlassene Hirnleistung im Vorfeld.
-
-
-
-
-
-
-
-
-
Hallo Tom,
Was findet man üblicherweise unter:
GET /_vti_inf.html
GET /_vti_bin/shtml.exe/_vti_rpcDas sind die Versuche eines FrontPage-Clients mit den (bei Dir nicht vorhandenen) FrontPage-Extensions zu kommunizieren.
--> Die hat jeder millionenfach in seinen LogFiles. Kein Grund zur Aufregung.
Viele Grüße
Carstenals Anhang der Quelltext einer real existierenden _vti_inf.html:
<html>
<head>
<meta http-equiv="Content-Type"
content="text/html; charset=iso-8859-1"><title> FrontPage-Konfigurationsinformation</title>
</head><body>
<!-- _vti_inf.html version 0.100>
<!--
Diese Datei enthält wichtige Daten, die vom FrontPage Client (FrontPage Explorer und FrontPage Editor) verwendet werden, um mit den auf diesem Web Server installierten Server-Erweiterungen zu kommunizieren.Die unten angeführten Werte werden von FrontPage während der Installation automatisch eingestellt. Es ist normalerweise nicht nötig, diese Werte zu ändern, aber für den Fall, daß es doch erforderlich sein sollte, folgt hier eine Aufstellung der Parameter:
'FPShtmlScriptUrl', 'FPAuthorScriptUrl'und 'FPAdminScriptUrl' geben die relativen URLs der Skripts an, die FrontPage für Remote-Dokumenterstellung verwendet. Diese Werte sollten nicht geändert werden.
'FPVersion' gibt die Version der FrontPage Server-
Erweiterungen an und sollte nicht geändert werden.
--><!-- FrontPage Configuration Information
FPVersion="4.0.2.6513"
FPShtmlScriptUrl="_vti_bin/shtml.dll/_vti_rpc"
FPAuthorScriptUrl="_vti_bin/_vti_aut/author.dll"
FPAdminScriptUrl="_vti_bin/_vti_adm/admin.dll"
-->
<p><!--webbot bot="PurpleText"
preview="Diese Seite wird während der Installation von FrontPage in den Stammordner Ihres FrontPage Webs kopiert. Sie enthält Daten, die der FrontPage Client verwendet, um mit den auf diesem Web Server installierten FrontPage Server-Erweiterungen zu kommunizieren. Diese Datei darf nicht gelöscht werden. "
--></p><h1>FrontPage-Konfigurationsinformation </h1>
<p>Diese Seite enthält in HTML-Kommentaren Konfigurationsdaten,
die von FrontPage Explorer und FrontPage Editor benötigt werden,
um mit den auf diesem Web Server installierten FrontPage Server-Erweiterungen
zu kommunizieren. Diese Datei darf nicht gelöscht werden.</p>
</body>
</html>-
Hello,
Was findet man üblicherweise unter:
GET /_vti_inf.html
POST /_vti_bin/shtml.exe/_vti_rpcDas sind die Versuche eines FrontPage-Clients mit den (bei Dir nicht vorhandenen) FrontPage-Extensions zu kommunizieren.
Danke für die Aufklärung.
Das passt dann auch zu dem OPTIONS-Request.Habe zwar meine Doku dazu immer noch nicht wiedergefunden, aber irgendwie ist diese Frontpage-Extension dann ja blöd. Sie bekommt die Options gesendet, da steht schon nicht das drin, was sie eigentlich braucht. Dann fordert sie Mit get die Info-Datei an, bekommt aber nur einen 4xx-Fehler und Postet trotzdem noch ein Setting, das aber natürlich als nicht vorhandener Service mit 406 quittiert wird.
Und das in einer Firma, die nachweislich Aktionär bei Billy The Gator ist.
Das "Schwein" nehme ich offiziell und öffentlich zurück und wenn wir uns mal persönlich treffen sollten, lassen wir die Sau raus. Vielleicht treffen wir da noch eine meiner Ex-Ehefrauen... *gg* Dann wirds erst richtig lustig.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
-
Hallo,
Einfache Frage zu Beginn:
Was frage ich mit der Methode OPTIONS ab?http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html#sec9.2
Zweite Frage:
Hat sich ja wohl zwischenzeitlich geklärt?
viele Grüße
Axel
-
Hello,
Was frage ich mit der Methode OPTIONS ab?
http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html#sec9.2Bahnhof
Das gabs doch auch irgendwie auf Deutsch mit ein paar Beispielen. Ich finds nicht mehr und unser Sammelsurium-Server ist momentan nicht erreichbnar.
Zweite Frage:
Hat sich ja wohl zwischenzeitlich geklärt?Ja, ich denke schon.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau-
Hallo,
Was frage ich mit der Methode OPTIONS ab?
http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html#sec9.2
BahnhofDas war mal dazu gedacht, dass Clients den Server fragen können, was er ist und welche HTTP-Methoden er unterstützt. Durch die vielen Exploits, die sich auf Sicherheitslücken in speziellen Servern eingeschossen haben, erlauben allerdings die meisten Server diese Methode nicht mehr.
Das gabs doch auch irgendwie auf Deutsch mit ein paar Beispielen. Ich finds nicht mehr und unser Sammelsurium-Server ist momentan nicht erreichbnar.
http://www.html-world.de/program/http_3.php
Das Beispiel zu OPTIONS ist allerdings lustig:
OPTIONS / HTTP/1.1
Host: www.html-world.deDer dazugehörige Response:
HTTP/1.1 200 OK
Date: Wed, 03 Mar 2004 08:34:50 GMT
Server: Apache/1.3.27 (Unix)
Content-Length: 0
Allow: GET, HEAD, POST
Connection: closeLaut Response ist OPTIONS gar nicht erlaubt. ;-))
Solltest Du noch einen Server finden, der diese Methode unterstützt, kannst Du es auch selbst via Telnet probieren:
Windows-Telnet:
________________________________________________________________
open www.domain.tld 80
________________________________________________________________
OPTIONS / HTTP/1.1
________________________________________________________________
(nach Eingabe 2x Enter)viele Grüße
Axel
-
Hello und danke Axel,
also gehts in PHP einfach mit fsockopen() abzufragen und es ist kein besonderes Abfrageformat notwendig. das war eigentlich eben noch mein Problemchen.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
-
-
-
Hallo Tom,
vielleicht interessiert Dich http://forum.de.selfhtml.org/archiv/2004/9/89175/#m532512 (weiter unten wirds interessanter nehme ich an).
Beste Grüße
Viennamade -
Hello,
es wird immer lustiger:
POST /aaflex/flex-feedback.flx HTTP/1.01 hab ich nicht im Angebot
und mal wieder als Serie:
216.148.62.202 POST /cgi-bin/formmail/formmail.cgi HTTP/1.1
157.181.161.13 POST /cgi-bin/mailform.pl HTTP/1.1
211.76.137.11 POST /cgi-bin/formmail.pl HTTP/1.0Habe ich auch nicht im Angebot.
Sind also mal wieder nette Meldungen für IIS oder SdI oder wie das jetzt heißt.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau-
Moin!
216.148.62.202 POST /cgi-bin/formmail/formmail.cgi HTTP/1.1
157.181.161.13 POST /cgi-bin/mailform.pl HTTP/1.1
211.76.137.11 POST /cgi-bin/formmail.pl HTTP/1.0Sind also mal wieder nette Meldungen für IIS oder SdI oder wie das jetzt heißt.
Nö, das sind Tests, ob du angreifbare Formmailer installiert hast. Vollkommen serverunabhängig - die Spammer brauchen doch neue Distributionswege, und dynamische IPs sind nicht so beliebt, weil man die ja durchaus filtern könnte.
- Sven Rautenberg
-
Hello Sven,
216.148.62.202 POST /cgi-bin/formmail/formmail.cgi HTTP/1.1
157.181.161.13 POST /cgi-bin/mailform.pl HTTP/1.1
211.76.137.11 POST /cgi-bin/formmail.pl HTTP/1.0Sind also mal wieder nette Meldungen für IIS oder SdI oder wie das jetzt heißt.
Nö, das sind Tests, ob du angreifbare Formmailer installiert hast. Vollkommen serverunabhängig - die Spammer brauchen doch neue Distributionswege, und dynamische IPs sind nicht so beliebt, weil man die ja durchaus filtern könnte.
Ja, das habe ich wohl gesehen. Ich meine damit auch nur, dass es ganz gut wäre, solche Logeintäge mal zu sammeln in der SaferSurf-Gemeinde um denn vielleicht doch mal irgendwann die Burschen zu packen...
Aber die drei scheinen ja wohl zusammen zu gehören. Tauchen öfter auf in den Logs und immer in kurzen zeitlichen Abständen. Diesmal standen sie direkt untereinander.
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau-
Tagchen Tom,
Nö, das sind Tests, ob du angreifbare Formmailer installiert hast. Vollkommen serverunabhängig - die Spammer brauchen doch neue Distributionswege, und dynamische IPs sind nicht so beliebt, weil man die ja durchaus filtern könnte.
Ja, das habe ich wohl gesehen. Ich meine damit auch nur, dass es ganz gut wäre, solche Logeintäge mal zu sammeln in der SaferSurf-Gemeinde um denn vielleicht doch mal irgendwann die Burschen zu packen...
Hehe, aber ein bisschen naiv bist du schon? Apropro, was ist SaferSurf-Gemeinde?
Aber die drei scheinen ja wohl zusammen zu gehören. Tauchen öfter auf in den Logs und immer in kurzen zeitlichen Abständen. Diesmal standen sie direkt untereinander.
Das liegt daran, dass diese Tests automatisiert passieren. Ein Spider grast die Server einfach alle ab.
Schöne Grüße nach Annersbarrich
-
-
-