rainer: merkwürdige zugriffe auf meinem host

Beitrag lesen

hallo!

ich habe meinen host (dot-net-domain bei einem kleinen aber feinen deutschen provider) via .htaccess so konfiguriert, daß als 404-seite die datei 404.php ausgegeben wird.

in dieser 404-php-seite ist ein simples script enthalten, das mir den zugriff auf die gerade aufgerufene fehlende dateie sofort via email zusendet. das mache ich deshalb, weil es beim debuggen oft wertvolle aufschlüsse liefert bzw. weil es mich ganz einfach interessiert, wenn irgendwer auf dateien auf meinen host zugreift, die nicht (mehr) vorhanden sind.

soweit, so gut. nun wird es spannend: ich habe heute eine gezippte datei via ftp auf den host geladen, dann per http wieder heruntergeladen und die datei sogleich wieder per ftp vom host gelöscht. und siehe da, nach wenigen minuten erhalte ich eine email von meinem 404-er- script, daß kurz nach mir jemand anders ebenfalls versucht hat, auf diese zip-datei zuzugreifen. diese spielchen habe ich ein paar mal wiederholt, immer das gleiche. wann immer ich eine zip-datei (und wer weiß, welche noch?) von meinem host herunterlade, wird von anderer stelle aus versucht, dies ebenfalls zu tun.

der inhalt der emails (ausgegeben von meinem 404er script) ist wie folgt:

ip = 208.50.101.153  
host = 208.50.101.153  
time = Tue Jun 1 17:57:28 2010  
browser = Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)  
referer =  
request-uri = /f.zip

manchmal ist es auch ein anderer host, der es probiert:

ip = 64.124.203.77  
host = 64.124.203.77.available.above.net  
time = Tue Jun 1 12:12:14 2010  
browser = Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)  
referer =  
request-uri = /01.zip

ich dachte zuerst, daß mein windows-host möglichweise kompromittiert wäre. deshalb habe ich das gleiche spielchen von meinem rechner i.d. arbeit probiert. und siehe da: genau das gleiche!

so habe ich also nach diesen IPs gesucht und festgestellt, daß diese IP bzw. host recht oft in diversen logfiles auftaucht. und manche sind der meinung, daß das irgendwelche anti-piraterie-companies sind, die fake-torrents ausliefern. das "problem" ist nur, daß ich weder torrent-clients installiert hatte oder habe und sich auf meinem host selbstverständlich keinerlei "verwerfliche" dateien zum download befanden oder befinden. im grunde ist mein host dermaßen langweilig, daß man damit ein ganzes fußballstadion einschläfern könnte.

die frage ist nun also, wie kommt es zu diesen merkwürdigen zugriffen auf meinen host??? wie kann es sein, daß irgendjemand da draußen "weiß", wann ich welches zip-pakete herunterlade?

gruß

rainer