Hallo Dirk,
ganz schnell nochmal vor Weihnachten:
On 12/22/2002 12:26 AM, Dirk Dettmering wrote:
Mojn,
Max Dittrich wrote:
On 11/19/2002 7:39 PM, Marius-Dieter Noetzel wrote:
ich habe seit gestern sehr komische lOgeintraege in der Access_log
marno.dtip.de 213.20.26.80 - - [19/Nov/2002:19:30:00 +0100] "\xe3<" 501 - "-" "-"
[snip]
Den Zeiten nach sieht man ja auch, das es nicht ganz wenige sind. Leider finde ich beim google'n auch nichts brauchbares. Andere Admins �haben von diesen Eintraegen noch nichts bemerkt. Komisch ist das allerdings schon, da auf dem Server hier eigentlich garnichts laeuft. Es ist nen Apache drauf, aber mehr zu spiel zwecken. Insgesamt besteht der Server auch nicht sehr lange. nmap gibt mir auch nichts wirklich interessantes aus, es scheinen allerdings praktisch nur dyn. t-online ips zu sein die hier anfragen.
Sch�n wenn Du investigative Instrumente einsetzt - Du scheinst ein Forschergeist zu sein. Vielleicht m�chtest Du Dich mit deinem Lieblingssniffer auf die Lauer legen (tcpdump -s 0 -w /tmp/strange_req.dump -c 10000 port 80 ) und entdeckst einen neuen Wurm oder �hnliches Ungeziefer. Die Ausgabe des Dumps w�re interessant, allerdings scheint das in keinerlei Hinsicht ein HTTP-Request zu sein.
BTW l�uft der Apache auf dem gemeinen Port 80, unter einer festen IP?
OK, beim letzten mal war es daf�r zu sp�t, aber ich habe dieses Ph�nomen jetzt noch 2 weitere male erlebt, das letzte mal ist gerade noch voll im Gange. Die Daten dazu findet ihr unter: http://pc16154.pharmazie.uni-marburg.de/apache/
Sch�n, mit dem Dump kann man was anfangen. Wenn Du Dir den Dump mit ethereal oder ganz einfach mit "strings" ansiehst, deuten die Klartextanteile der Daten, die die Clients nach Verbindungsaufbau senden, ziemlich auf eDonkey bzw. eMule hin.
emule.dyndns.org Der Dude[emule.de hubi [emule.de] http://emule-proj eMule v0.23b [Tar
Also scheint es kein Exploit sondern mal wieder ein Folge des 24h-Disconnect von T-DSL und Du kannst Dich gl�cklich sch�tzen die IP-Addresse eines eDonkey-Servers geerbt zu haben. :)
Das komische ist, das tritt nur zu Hause auf meinem Serverchen mit dynamischer IP und DSL-Flat �ber T-Online auf. Auf den anderen 8 Webservern, die ich administriere, habe ich s�mtliche Logs der letzten 12 Monate durchgegrept und auch nicht einen einzigen entsprechenden Eintrag gefunden.
Nicht komisch, Deine dynamisch zugeteilte IP ist halt noch in irgendwelchen Serverlisten f�r o.e. Filesharingddienste verzeichnet, wovon Deine fest angeschlossenen Server verschont bleiben.
[...]
keine Zeit, keine Zeit und ein frohes Fest .max
