Chinesische IP nutzt meinen Server als Zombie?

Alles, was den Apache betrifft, kann hier besprochen werden.

Chinesische IP nutzt meinen Server als Zombie?

Postby drysler » 05. April 2005 10:55

Hallo, habe nen VServer bei server4you.de mit Debian/testing.

Jetzt schau ich mal ins apache log, und da steht:

Code: Select all
212.190.72.15 - - [05/Apr/2005:10:40:29 +0200] "GET / HTTP/1.0" 302 216 "-"

84.154.167.223 - - [05/Apr/2005:10:49:25 +0200] "GET / HTTP/1.1" 302 228 "-"

64.242.88.10 - - [05/Apr/2005:10:56:05 +0200] "GET / HTTP/1.1" 302 228 "-"

61.172.37.233 - - [05/Apr/2005:11:06:44 +0200] "GET http://focusin.ads.targetnet.com//ad/id=fang79314&opt=hhn&rw=468&rh=60&cv=210&uid=1 HTTP/1.0" 302 304 "http://www.getmore4.com"

61.172.37.233 - - [05/Apr/2005:11:06:47 +0200] "GET http://focusin.ads.targetnet.com//ads/ad.cgi?id=fang79314&opt=hhn&rw=468&rh=60&cv=210&uid=1&tc=CTFTW HTTP/1.0" 200 769 "http://focusin.ads.targetnet.com//ad/id=fang79314&opt=hhn&rw=468&rh=60&cv=210&uid=1"

61.172.37.233 - - [05/Apr/2005:11:06:52 +0200] "GET http://fad-1106.nyc1.targetnet.com/ad/id=fang79314&opt=htj&pt=13642153318234197775&pfin=1634QEN1ZF38P&cv=210&uid=1630127035&url=http://jcontent.bns1.net/bns/new/tag01.js HTTP/1.0" 302 221 "-"

61.172.37.233 - - [05/Apr/2005:11:06:57 +0200] "GET http://focusin.ads.targetnet.com//ad/id=fang79314&opt=hhj&rw=468&rh=60&cv=210&uid=4096324 HTTP/1.0" 200 742 "http://www.getmore4.com"

61.172.37.233 - - [05/Apr/2005:11:06:59 +0200] "GET http://fad-1106.nyc1.targetnet.com/ad/id=fang79314&opt=htj&pt=13642153361183805198&pfin=16ELJBL8L44KZ&cv=210&uid=1044822130 HTTP/1.0" 302 235 "-"


neben den vereinzelten normalen aufrufen mit GET /, sind da sehr dubiose Aufrufe von der IP 61.172.37.233 (laut dnsstuff.com in shanghai provided, aber ohne DNS-Eintrag), die per GET ADServer aufrufen und offfensichtlich klicks generieren.

Nun zeigt das Apache Error-Log:


Code: Select all
[Tue Apr  5 08:53:23 2005] [error] [client 61.180.231.2] request failed: URI too long
[Tue Apr  5 08:53:26 2005] [error] [client 61.180.231.2] File does not exist: /var/www/default/_vti_bin/_vti_aut/fp30reg.dll
[Tue Apr  5 10:09:03 2005] [error] [client 61.180.231.2] File does not exist: /var/www/default/_vti_bin/_vti_aut/fp30reg.dll
[Tue Apr  5 10:09:04 2005] [error] [client 61.180.231.2] request failed: URI too long


also wurde mein Server eindeutig auf Schwachstellen gescannt.

Ich frag mich also, welche Schwachstelle da ausgenutzt wird, um dubiose ADServer über meinen Server zu kontaktieren.

Werde jetzt auf jeden Fall die IP mal lokal Blacklisten.
drysler
 
Posts: 5
Joined: 28. March 2005 01:11

Postby drysler » 05. April 2005 11:02

mir ist grad aufgefallen, dass es sogar 2 IPs sind, die seit Tagen immer das gleiche spiel treiben:

IP: 61.180.231.2 scannt knapp 1 mal am Tag den Server

IP: 61.172.37.233 ruft ca. jede Stunde die Adserver auf.

was is da nur los!!! :evil:
drysler
 
Posts: 5
Joined: 28. March 2005 01:11

Postby PF4 » 05. April 2005 12:13

Hi,

du solltest vielleicht mal nachsehen wie es bei dir auf dem Server mit mod_proxy aussieht.
"2 Dinge sind unendlich die Dummheit der Menschheit und das Universum , aber beim Universum bin ich mir noch nicht sicher“
Albert Einstein
PF4
 
Posts: 528
Joined: 10. March 2003 09:15

Postby drysler » 05. April 2005 13:23

hm,
hab mod_proxy mal rausgeladen, hatte ihn drin zwecks mod_redirect mit dem Flag [P], [P] brauch ich aber nicht mehr, benutze jetzt redirect [R].

Hätte vielleicht den Proxy nur für localhost erlauben sollen, für diesen zweck.


aber was mich noch viel mehr beunruhigt sind diese "Machenschaften", die da von langer Hand geplant vor sich gehen, wie es aussieht, mit dem Ziel, Werbeeinnahmen zu erzielen. Ein Aufruf einer der AdUrls ergab einen deutschsprachigen Werbebanner, was darauf hinweist, dass wohl ausländische Zombies etc. (zwecks anonymisierung) dazu benutzt werden, im deutschen Raum AdClicks über "deutsche" Proxys" zu erzeugen.

Vielleicht übertreibe ich ja auch, aber da stimmt was nicht. :?
drysler
 
Posts: 5
Joined: 28. March 2005 01:11

Postby PF4 » 05. April 2005 13:35

Hi,

geplant ja aber ned unbedingt genau auf dich.
Da laufen irgendwo auf der Welt Scanner die Rechner nach offenen Proxys abscannen und dann automatisch diese Aufrufe machen.
Grundsätzlich gilt im web, alles was du Erlaubst wird auch gemacht!
Also schön aufpassen beim cofigen
"2 Dinge sind unendlich die Dummheit der Menschheit und das Universum , aber beim Universum bin ich mir noch nicht sicher“
Albert Einstein
PF4
 
Posts: 528
Joined: 10. March 2003 09:15


Return to Apache

Who is online

Users browsing this forum: No registered users and 1 guest