Apache Friends Support Forum

[drysler]

Hallo, habe nen VServer bei server4you.de mit Debian/testing.

Jetzt schau ich mal ins apache log, und da steht:

Code: Select all

212.190.72.15 - - [05/Apr/2005:10:40:29 +0200] "GET / HTTP/1.0" 302 216 "-"

84.154.167.223 - - [05/Apr/2005:10:49:25 +0200] "GET / HTTP/1.1" 302 228 "-"

64.242.88.10 - - [05/Apr/2005:10:56:05 +0200] "GET / HTTP/1.1" 302 228 "-"

61.172.37.233 - - [05/Apr/2005:11:06:44 +0200] "GET http://focusin.ads.targetnet.com//ad/id=fang79314&opt=hhn&rw=468&rh=60&cv=210&uid=1 HTTP/1.0" 302 304 "http://www.getmore4.com"

61.172.37.233 - - [05/Apr/2005:11:06:47 +0200] "GET http://focusin.ads.targetnet.com//ads/ad.cgi?id=fang79314&opt=hhn&rw=468&rh=60&cv=210&uid=1&tc=CTFTW HTTP/1.0" 200 769 "http://focusin.ads.targetnet.com//ad/id=fang79314&opt=hhn&rw=468&rh=60&cv=210&uid=1"

61.172.37.233 - - [05/Apr/2005:11:06:52 +0200] "GET http://fad-1106.nyc1.targetnet.com/ad/id=fang79314&opt=htj&pt=13642153318234197775&pfin=1634QEN1ZF38P&cv=210&uid=1630127035&url=http://jcontent.bns1.net/bns/new/tag01.js HTTP/1.0" 302 221 "-"

61.172.37.233 - - [05/Apr/2005:11:06:57 +0200] "GET http://focusin.ads.targetnet.com//ad/id=fang79314&opt=hhj&rw=468&rh=60&cv=210&uid=4096324 HTTP/1.0" 200 742 "http://www.getmore4.com"

61.172.37.233 - - [05/Apr/2005:11:06:59 +0200] "GET http://fad-1106.nyc1.targetnet.com/ad/id=fang79314&opt=htj&pt=13642153361183805198&pfin=16ELJBL8L44KZ&cv=210&uid=1044822130 HTTP/1.0" 302 235 "-"


neben den vereinzelten normalen aufrufen mit GET /, sind da sehr dubiose Aufrufe von der IP 61.172.37.233 (laut dnsstuff.com in shanghai provided, aber ohne DNS-Eintrag), die per GET ADServer aufrufen und offfensichtlich klicks generieren.

Nun zeigt das Apache Error-Log:

Code: Select all

[Tue Apr  5 08:53:23 2005] [error] [client 61.180.231.2] request failed: URI too long
[Tue Apr  5 08:53:26 2005] [error] [client 61.180.231.2] File does not exist: /var/www/default/_vti_bin/_vti_aut/fp30reg.dll
[Tue Apr  5 10:09:03 2005] [error] [client 61.180.231.2] File does not exist: /var/www/default/_vti_bin/_vti_aut/fp30reg.dll
[Tue Apr  5 10:09:04 2005] [error] [client 61.180.231.2] request failed: URI too long


also wurde mein Server eindeutig auf Schwachstellen gescannt.

Ich frag mich also, welche Schwachstelle da ausgenutzt wird, um dubiose ADServer über meinen Server zu kontaktieren.

Werde jetzt auf jeden Fall die IP mal lokal Blacklisten.

[drysler]

mir ist grad aufgefallen, dass es sogar 2 IPs sind, die seit Tagen immer das gleiche spiel treiben:

IP: 61.180.231.2 scannt knapp 1 mal am Tag den Server

IP: 61.172.37.233 ruft ca. jede Stunde die Adserver auf.

was is da nur los!!!

[PF4]

Hi,

du solltest vielleicht mal nachsehen wie es bei dir auf dem Server mit mod_proxy aussieht.

[drysler]

hm,
hab mod_proxy mal rausgeladen, hatte ihn drin zwecks mod_redirect mit dem Flag [P], [P] brauch ich aber nicht mehr, benutze jetzt redirect [R].

Hätte vielleicht den Proxy nur für localhost erlauben sollen, für diesen zweck.


aber was mich noch viel mehr beunruhigt sind diese "Machenschaften", die da von langer Hand geplant vor sich gehen, wie es aussieht, mit dem Ziel, Werbeeinnahmen zu erzielen. Ein Aufruf einer der AdUrls ergab einen deutschsprachigen Werbebanner, was darauf hinweist, dass wohl ausländische Zombies etc. (zwecks anonymisierung) dazu benutzt werden, im deutschen Raum AdClicks über "deutsche" Proxys" zu erzeugen.

Vielleicht übertreibe ich ja auch, aber da stimmt was nicht.

[PF4]

Hi,

geplant ja aber ned unbedingt genau auf dich.
Da laufen irgendwo auf der Welt Scanner die Rechner nach offenen Proxys abscannen und dann automatisch diese Aufrufe machen.
Grundsätzlich gilt im web, alles was du Erlaubst wird auch gemacht!
Also schön aufpassen beim cofigen