fastix®: rätselhafte Zugriffe mehrmals pro Sekunde von einer IP ?

Beitrag lesen

SELF-Forum

rätselhafte Zugriffe mehrmals pro Sekunde von einer IP ?

fastix® Homepage des Autors
Informationen zu den Bewertungsregeln

Moin!

Da ist mir aufgefallen das manche Webseiten wie z. B. die Startseite
mehrmals pro Sekunde von der gleichen IP aufgerufen wurden. (bis zu 20 mal).

Wenn Du uns das betreffende Stück des Logfiles vorstellen würdest, so könnten wir Dich sicherlich beruhigen und Dir mal zeigen wie man an sowas rangeht.

Hier mal eine entsprechende Sequenz aus meinen Logfiles:

84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /globus.gif HTTP/1.1" 200 1043 www.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /box.gif HTTP/1.1" 200 558 www.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /search.gif HTTP/1.1" 200 1017 www.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /telefon-icon.gif HTTP/1.1" 200 1051 www.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /letter_small.gif HTTP/1.1" 200 1003 www.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /bgblau.gif HTTP/1.1" 200 64 www.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /edit.gif HTTP/1.1" 200 889 seminare.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /schrank.gif HTTP/1.1" 200 376 seminare.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /link.gif HTTP/1.1" 200 190 seminare.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /folder.gif HTTP/1.1" 200 508 seminare.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /bglinie.gif HTTP/1.1" 200 53 seminare.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /folder.open.gif HTTP/1.1" 200 511 seminare.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /layout.gif HTTP/1.1" 200 862 seminare.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /linuxserv.gif HTTP/1.1" 200 661 seminare.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /top.gif HTTP/1.1" 200 915 seminare.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"
84.152.xx.xx - - [25/Sep/2005:02:48:39 +0200] "GET /fastix.gif HTTP/1.1" 200 80 seminare.fastix.de "http://seminare.fastix.de/seminare_linuxserv.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; i-NavFourF)" "-"

  • Die Auswertung der IP-Adresse verweist auf die T-Com
      http://www.ripe.net/whois
      -> Vermutlich ein ganz normaler Zugang.

  • Abgeholt wurden offensichtlich nacheinander eine Webseite und dann die dazu gehörenden Grafiken
    Der Browser _scheint_ ein IE6 unter Windows XP zu sein dem ein Plug-In für das Auflösen von IDN-Domains (Mit Nicht-[alphanumerischen]-Zeichen (deutsch Umlaute) im Domainname) verbraten wurde.

  • Die Grafiken sind tatsächlich in der Webseite referenziert.

=> ein ganz normaler Zugriff

213.93.238.41 - - [25/Sep/2005:11:09:49 +0200] "GET /&prev=/search%3Fq%3Dfastix%2B%2Be-mail%26num%3D100%26hl%3Den%26lr%3D%26c2coff%3D1 HTTP/1.1" 404 14295 consult.fastix.de "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" "-"
...
/email.php&prev=/search%3Fq%3Dfastix%2B%2Be-mail%26num%3D100%26hl%3Den%26lr%3D%26c2coff%3D1 HTTP/1.1" 300 622 www.it-schule.de "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" "-"
...
213.93.238.41 - - [25/Sep/2005:11:10:21 +0200] "GET /impressum.php&prev=/search%3Fq%3Dfastix%2B%2Be-mail%26num%3D100%26hl%3Den%26lr%3D%26c2coff%3D1 HTTP/1.1" 300 634 banner.fastix.de "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" "-"
...
213.93.238.41 - - [25/Sep/2005:11:10:21 +0200] "GET /kleinweich_story.php&prev=/search%3Fq%3Dfastix%2B%2Be-mail%26num%3D100%26hl%3Den%26lr%3D%26c2coff%3D1 HTTP/1.1" 300 655 banner.fastix.de "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" "-"
...
213.93.238.41 - - [25/Sep/2005:11:10:31 +0200] "GET /impressum.php&prev=/search%3Fq%3Dfastix%2B%2Bemail%26num%3D100%26hl%3Den%26lr%3D%26c2coff%3D1 HTTP/1.1" 300 631 banner.fastix.de "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" "-"

Hier war Google so freundlich, mir mitzuteilen was da gesucht wurde: "fastix email", "fastix e-mail" und so weiter. Weil sich weitere der knapp 1000 Zugriffe von dieser IP innerhalb von 30 Minuten ereigneten gehe ich davon aus, der "Besucher" war ein Skript und kein IE. Das ist mir aufgefallen, weil sein Skript (oder wget) einen von mir dank der umfänglichen Fehlerkorrektur sämtlicher aktuellen Browser übersehenen Fehler nicht ausgleichen konnte. Ich habe den inzwischen freundlicherweise repariert, falls er das Skript nochmal starten möchte :)

Es handelt sich offenkundig um einen Spammer, der sich angepisst fühlt, weil ich ihn im Spamforum freundlich erwähnte. Deshalb spidert er meine Seiten und sucht nach von mir verwendeten Mailadressen. Toller Hecht.

=> Auch nichts, was mich beunruhigen muss.

MFFG (Mit freundlich- friedfertigem Grinsen)

fastix®

--
Als Freiberufler bin ich immer auf der Suche nach Aufträgen: Schulungen, Seminare, Training, Development
Beitrag melden
Informationen zu den Bewertungsregeln