Jetzt schau ich mal ins apache log, und da steht:
- Code: Select all
212.190.72.15 - - [05/Apr/2005:10:40:29 +0200] "GET / HTTP/1.0" 302 216 "-"
84.154.167.223 - - [05/Apr/2005:10:49:25 +0200] "GET / HTTP/1.1" 302 228 "-"
64.242.88.10 - - [05/Apr/2005:10:56:05 +0200] "GET / HTTP/1.1" 302 228 "-"
61.172.37.233 - - [05/Apr/2005:11:06:44 +0200] "GET http://focusin.ads.targetnet.com//ad/id=fang79314&opt=hhn&rw=468&rh=60&cv=210&uid=1 HTTP/1.0" 302 304 "http://www.getmore4.com"
61.172.37.233 - - [05/Apr/2005:11:06:47 +0200] "GET http://focusin.ads.targetnet.com//ads/ad.cgi?id=fang79314&opt=hhn&rw=468&rh=60&cv=210&uid=1&tc=CTFTW HTTP/1.0" 200 769 "http://focusin.ads.targetnet.com//ad/id=fang79314&opt=hhn&rw=468&rh=60&cv=210&uid=1"
61.172.37.233 - - [05/Apr/2005:11:06:52 +0200] "GET http://fad-1106.nyc1.targetnet.com/ad/id=fang79314&opt=htj&pt=13642153318234197775&pfin=1634QEN1ZF38P&cv=210&uid=1630127035&url=http://jcontent.bns1.net/bns/new/tag01.js HTTP/1.0" 302 221 "-"
61.172.37.233 - - [05/Apr/2005:11:06:57 +0200] "GET http://focusin.ads.targetnet.com//ad/id=fang79314&opt=hhj&rw=468&rh=60&cv=210&uid=4096324 HTTP/1.0" 200 742 "http://www.getmore4.com"
61.172.37.233 - - [05/Apr/2005:11:06:59 +0200] "GET http://fad-1106.nyc1.targetnet.com/ad/id=fang79314&opt=htj&pt=13642153361183805198&pfin=16ELJBL8L44KZ&cv=210&uid=1044822130 HTTP/1.0" 302 235 "-"
neben den vereinzelten normalen aufrufen mit GET /, sind da sehr dubiose Aufrufe von der IP 61.172.37.233 (laut dnsstuff.com in shanghai provided, aber ohne DNS-Eintrag), die per GET ADServer aufrufen und offfensichtlich klicks generieren.
Nun zeigt das Apache Error-Log:
- Code: Select all
[Tue Apr 5 08:53:23 2005] [error] [client 61.180.231.2] request failed: URI too long
[Tue Apr 5 08:53:26 2005] [error] [client 61.180.231.2] File does not exist: /var/www/default/_vti_bin/_vti_aut/fp30reg.dll
[Tue Apr 5 10:09:03 2005] [error] [client 61.180.231.2] File does not exist: /var/www/default/_vti_bin/_vti_aut/fp30reg.dll
[Tue Apr 5 10:09:04 2005] [error] [client 61.180.231.2] request failed: URI too long
also wurde mein Server eindeutig auf Schwachstellen gescannt.
Ich frag mich also, welche Schwachstelle da ausgenutzt wird, um dubiose ADServer über meinen Server zu kontaktieren.
Werde jetzt auf jeden Fall die IP mal lokal Blacklisten.