nicht angemeldet
merkwürdige zugriffe auf meinem host
hallo!
ich habe meinen host (dot-net-domain bei einem kleinen aber feinen deutschen provider) via .htaccess so konfiguriert, daß als 404-seite die datei 404.php ausgegeben wird.
in dieser 404-php-seite ist ein simples script enthalten, das mir den zugriff auf die gerade aufgerufene fehlende dateie sofort via email zusendet. das mache ich deshalb, weil es beim debuggen oft wertvolle aufschlüsse liefert bzw. weil es mich ganz einfach interessiert, wenn irgendwer auf dateien auf meinen host zugreift, die nicht (mehr) vorhanden sind.
soweit, so gut. nun wird es spannend: ich habe heute eine gezippte datei via ftp auf den host geladen, dann per http wieder heruntergeladen und die datei sogleich wieder per ftp vom host gelöscht. und siehe da, nach wenigen minuten erhalte ich eine email von meinem 404-er- script, daß kurz nach mir jemand anders ebenfalls versucht hat, auf diese zip-datei zuzugreifen. diese spielchen habe ich ein paar mal wiederholt, immer das gleiche. wann immer ich eine zip-datei (und wer weiß, welche noch?) von meinem host herunterlade, wird von anderer stelle aus versucht, dies ebenfalls zu tun.
der inhalt der emails (ausgegeben von meinem 404er script) ist wie folgt:
ip = 208.50.101.153
host = 208.50.101.153
time = Tue Jun 1 17:57:28 2010
browser = Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
referer =
request-uri = /f.zip
manchmal ist es auch ein anderer host, der es probiert:
ip = 64.124.203.77
host = 64.124.203.77.available.above.net
time = Tue Jun 1 12:12:14 2010
browser = Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
referer =
request-uri = /01.zip
ich dachte zuerst, daß mein windows-host möglichweise kompromittiert wäre. deshalb habe ich das gleiche spielchen von meinem rechner i.d. arbeit probiert. und siehe da: genau das gleiche!
so habe ich also nach diesen IPs gesucht und festgestellt, daß diese IP bzw. host recht oft in diversen logfiles auftaucht. und manche sind der meinung, daß das irgendwelche anti-piraterie-companies sind, die fake-torrents ausliefern. das "problem" ist nur, daß ich weder torrent-clients installiert hatte oder habe und sich auf meinem host selbstverständlich keinerlei "verwerfliche" dateien zum download befanden oder befinden. im grunde ist mein host dermaßen langweilig, daß man damit ein ganzes fußballstadion einschläfern könnte.
die frage ist nun also, wie kommt es zu diesen merkwürdigen zugriffen auf meinen host??? wie kann es sein, daß irgendjemand da draußen "weiß", wann ich welches zip-pakete herunterlade?
gruß
rainer
-
Hi,
wie kann es sein, daß irgendjemand da draußen "weiß", wann ich welches zip-pakete herunterlade?
Hast du irgendwas „geschwätziges“ wie die Google-Toolbar (oder sonst eine Toolbar von einem anderen Anbieter) installiert ...?
MfG ChrisB
--
“Whoever best describes the problem is the person most likely to solve the problem.” [Dan Roam]-
nein. wobei ich nicht ausschließen möchte, daß irgendein add-on "telefoniert". das "dumme" ist nur, daß ich das phänomen bei unterschiedlichen rechnern habe. aber guter ansatz! werde mal mit wireshark testen, ob da was funkt.
danke!
-
ich weiß nun, woher die merkwürdigen aufrufe kommen: es ist die g-data-antivirensoftware, die an amerikanische server funkt, wenn ich ein zip-paket von einem host herunterlade. dies habe ich nun durch umfangreiche tests und packetsniffing via wireshark festgestellt. warum die das machen,
ist mir auch nicht klar (wahrscheinlich haben wir eh alle schon diverse bundestrojaner auf unseren kisten und wissen bloß nichts davon ;-)). ich werde eine entsprechende anfrage an g-data richten. jedenfalls finde ich das absolut sch*. bin gespannt, wie sie mir das erkären wollen.however, diese software fliegt von allen kisten!
dank an chrisB, der mich auf die richtige fährte brachte.
-
ach ja, noch ein hinweis: das entdeckte phänomen findet ausschließlich mit dem IE 7/8 statt. FF 3.x läßt sich nicht zu einer mitarbeit mit g-data und diversen übersee-servern überreden. auch mal interessant...
-
ach ja, noch ein hinweis: das entdeckte phänomen findet ausschließlich mit dem IE 7/8 statt. FF 3.x läßt sich nicht zu einer mitarbeit mit g-data und diversen übersee-servern überreden. auch mal interessant...
...und jetzt weiß ich auch warum: es ist nicht g-data sondern der smartscrenfilter des IE8!!!!!!!
-
-
-
-