Hallo zusammen...
ich habe seit gestern sehr komische lOgeintraege in der Access_log
marno.dtip.de 213.20.26.80 - - [19/Nov/2002:19:30:00 +0100] "\xe3<" 501 - "-" "-" marno.dtip.de 80.134.50.234 - - [19/Nov/2002:19:30:06 +0100] "\xe3P" 501 - "-" "-" marno.dtip.de 80.128.196.16 - - [19/Nov/2002:19:30:13 +0100] "\xe3C" 501 - "-" "-" marno.dtip.de 80.133.8.156 - - [19/Nov/2002:19:30:18 +0100] "\xe3=" 501 - "-" "-" marno.dtip.de 217.82.70.221 - - [19/Nov/2002:19:30:30 +0100] "\xe3>" 501 - "-" "-" marno.dtip.de 80.134.50.234 - - [19/Nov/2002:19:30:51 +0100] "\xe3P" 501 - "-" "-" marno.dtip.de 80.133.8.156 - - [19/Nov/2002:19:32:10 +0100] "\xe3=" 501 - "-" "-" marno.dtip.de 80.133.8.156 - - [19/Nov/2002:19:32:19 +0100] "\xe3=" 501 - "-" "-" marno.dtip.de 217.234.188.234 - - [19/Nov/2002:19:32:36 +0100] "\xe3;" 501 - "-" "-" marno.dtip.de 217.234.188.234 - - [19/Nov/2002:19:32:37 +0100] "\xe3;" 501 - "-" "-"
Den Zeiten nach sieht man ja auch, das es nicht ganz wenige sind. Leider finde ich beim google'n auch nichts brauchbares. Andere Admins �haben von diesen Eintraegen noch nichts bemerkt. Komisch ist das allerdings schon, da auf dem Server hier eigentlich garnichts laeuft. Es ist nen Apache drauf, aber mehr zu spiel zwecken. Insgesamt besteht der Server auch nicht sehr lange. nmap gibt mir auch nichts wirklich interessantes aus, es scheinen allerdings praktisch nur dyn. t-online ips zu sein die hier anfragen.
Sch�n wenn Du investigative Instrumente einsetzt - Du scheinst ein Forschergeist zu sein. Vielleicht m�chtest Du Dich mit deinem Lieblingssniffer auf die Lauer legen (tcpdump -s 0 -w /tmp/strange_req.dump -c 10000 port 80 ) und entdeckst einen neuen Wurm oder �hnliches Ungeziefer. Die Ausgabe des Dumps w�re interessant, allerdings scheint das in keinerlei Hinsicht ein HTTP-Request zu sein.
BTW l�uft der Apache auf dem gemeinen Port 80, unter einer festen IP?
Nur verstehe ich absolut nicht was das ist.
X-Files?!
gruss, .max
