Beliebte Inhalte

Neue Mitglieder

  • Manul_
  • Ralph
  • kleenegeli
  • HELMUT
  • rcoerdt

Aktuelle SeiteWähle Forum / Perl / Allgemeines zu Perl / Wurde ich gehackt ?

Wurde ich gehackt ?

Bild von fred0815

By fred0815 - Posted on 03 März 2010

Hi alle,
ich habe in meinen Logfiles merkwürdige Einträge mit denen ich nichts anfangen kann.
Ich hoffe das ich hier richtig bin und jemand damit was anfangen kann.
Habe xampp installiert und in den Logfiles vom Apache folgende Einträge:

85.93.200.150 - - [02/Mar/2010:23:59:34 +0100] "/\x07h\xd6\xbd\x0ea4#\xd7\x01\xb9\x02\xb4\xeb\xc2tvhV\xf0\xd7\x85;B\x9b4\xb1\xb7q\ttZ\x10\x9f" 400 1057
125.224.193.87 - - [03/Mar/2010:05:03:17 +0100] "CONNECT 203.188.201.253:25 HTTP/1.1" 403 1138
193.47.80.51 - - [03/Mar/2010:06:26:47 +0100] "GET /robots.txt HTTP/1.1" 200 24
193.47.80.51 - - [03/Mar/2010:06:26:47 +0100] "GET /counter/live.php HTTP/1.1" 200 1254
195.243.179.106 - - [03/Mar/2010:06:30:51 +0100] "\x95)8Ro&\xe6\xe9\xdd\x9e\xd4\xfc\xbb" 200 9130
195.243.179.106 - - [03/Mar/2010:06:31:17 +0100] "\x9b0.\xddJ\xc6\xa5o4Z\xf4!\xe9\xe8\x07\xafMV\"T\x80tk`{Xq,\xfb\x84WGu\b\xdb\x9d" 200 9130
195.243.179.106 - - [03/Mar/2010:06:31:29 +0100] "\xe4BH\xb5\x85\xf2C" 200 9130
195.243.179.106 - - [03/Mar/2010:06:33:05 +0100] "s\xee3RK\xfb~\xe9\xf2\xaa\xd5\x8d&\xb7" 200 9130
195.243.179.106 - - [03/Mar/2010:06:34:34 +0100] "s\x81M7\xcb\xe9\x04\xc0%?\x01\xca\xec\x01&\x96\xce\xf3m'w%87[\x9a\xcb\xe7`\xf3l\x10\x93F\x82\xd8]\x97\x94_\x89\xc5\x83\x0f\xd7\x01\x96\x99}\\\xaf\xe9\xf5\x14\xa0\xce\xa1)\x13\xf1" 400 1057
195.243.179.106 - - [03/Mar/2010:06:35:22 +0100] "\xccRY\x91\xbb\t\xd5Sx\x9e\xd5\xd4z]\xf6\x84y~\x02\xbc\xad]\\\x81R\xd5\xaf<\xe3um\xde\xf8M0fR\xc0\x18?" 400 1057
195.243.179.106 - - [03/Mar/2010:06:36:13 +0100] "\x0e\x82z\xff@\x9d@o\xc3\xaa|\xac\xa7\xb0\xae:r\x143" 200 9130
195.243.179.106 - - [03/Mar/2010:06:37:54 +0100] "Jfa\xf3\xb7w5\x0f\xc65s\xe6 Z\xe5|\x03\xa0R\xc1\xd1\xcd\xc0\x88R\xfbh\xde\x9f\x17\x9b~\xb6%0\xe4\x0e\x89:w1\x02\xba\xf8\xda\xe4\xd6" 400 374
195.243.179.106 - - [03/Mar/2010:06:38:22 +0100] "@K\x8d\xaa\xad" 200 9130
195.243.179.106 - - [03/Mar/2010:06:38:52 +0100] "\xa7Z8U\t#\xef\xbd\xfc\x96\xb5\xf6\xa0\x05\xb9\xa2/\x8cRPy;:\xc5\xc3(\xd1\x04g\xb8N\xb5\xd4" 400 374
195.243.179.106 - - [03/Mar/2010:06:39:06 +0100] "]\x0c\xfe#\xf4\xf3\x16\xa4\xafF\x15\xd9ZzB\x880{\xab\xe2\x87\x82" 400 1057
195.243.179.106 - - [03/Mar/2010:06:39:29 +0100] "\x81\xf3m\xceL\x89\xd8:>\v\x81y\"7\x85\xed\xb5\x80]\xb2H\x1f=p\x90G\xd8\xb1s\xf5\x13" 400 1057
195.243.179.106 - - [03/Mar/2010:06:40:06 +0100] "\x07\xd6#\x1d\xa3j\xc9\"E6\xa9\xfc\\qa\xc3\xe1[\x13x\x1di\x9e\xb9'\x19\xcc\x121\xb15\x96*\x94!\x93\x16" 200 9130
195.243.179.106 - - [03/Mar/2010:06:41:39 +0100] "\x84#\xc3\xd8g\xb1.V\xd0\x97\vq\xb5\x01\x0c\xdb\x912Ud0\xc1\xd4\x1c(*s\x19\x8b\xa6d\x13\xf0\x89\xce\x88\xab\x16\x8c\xc4\xc5\xc2N\xb59\xbe\xd0\r:\x1c\xc5\xcbk\xb6" 400 374
195.243.179.106 - - [03/Mar/2010:06:42:14 +0100] "\xe0}(\xc0\xc2\xa5\x9e<\x140I\xfc\xb6\xd9/\x97Y\xf0\xd9\xab\x8ad\x9f\x9c\xbc\x86\xd1g\xa4\x96J\xa4 \xf5x\xdc%+\xb0`^\xc3!\xffV\xf6\xd5\x86,=\xa9\xdbQ\x95S\xba\x8c\xf12.\\Vo\x90$1}\xe4\x9b" 400 1057
195.243.179.106 - - [03/Mar/2010:06:45:06 +0100] "\xccP\xf0[\xf7c\x93\xbc\x96\x1bV\xc9Le\x9c0-+\xca\x07\xfcZd\x1f\x177\x7f%\xee\x82\xca\x10>2r" 200 9130
195.243.179.106 - - [03/Mar/2010:06:46:11 +0100] "\xbc]\x91M\xf8\xe2\xb2\xc6\x9b\xda\xddR\x9f\xd6\x15\xfb\xaao]$y\x97\xad\xae'N\xe4(\xeaA\xf1\xe9\x9e\x8e[>\x16d\x9c\x87\xa31}\xaf\x15\xf2\xc6\xeb\xe3\x1bU5\xc4\xbe\xba\xe4p\x06\xc0d\x17\xdd\xea]\x13\x8b" 200 9130
195.243.179.106 - - [03/Mar/2010:06:46:27 +0100] "I0s\xd4\r\xd1\xd1\vM\xdf\xbb:cS\xbd\xe7\xba+\\\xd0\x1c\x16\xce\xaa\x9b.\x10\x0fZ\t\xd6i\xd9N\x8a\xb2\x85\xe7" 400 374
195.243.179.106 - - [03/Mar/2010:06:47:51 +0100] "1\x8c\xfd\\\xd3\xe0\x9b\x05\x04\x8e\xb5\xaa\x1fde\xfe\b-}\xd9\xfa\x1e\x8a\xa5|$" 200 9130
195.243.179.106 - - [03/Mar/2010:06:49:03 +0100] "L\x0f\xa5\x17\xb8\x8eh\x9b\xbd\xf2\"w\xbbVUQB\x88\x15" 200 9130
195.243.179.106 - - [03/Mar/2010:06:49:26 +0100] "\xff\xd9\x9a?o\x90" 200 9130
195.243.179.106 - - [03/Mar/2010:06:50:31 +0100] "\xce\xb7FjB\x9c\x99\x81\xbb!\xb3\x8c\x1d\x8e\x12\xcc\xa0\x97\xb4T\xe6\x0e\x96M\x83\x02\xe6\xbc\x818\xca\xfc\xb4\xffI\x19\x7f:\xbe\x9d\xb8*i\xf1+\xee\x13\x17{f" 400 1057
195.243.179.106 - - [03/Mar/2010:06:50:40 +0100] "\xe0\xcezK\xb5\xb7\xe5\x04T\xe3\xa8\xb7\xc7`a4\x8b\x83\xd8o\xf24\x9f\x8avFi\x8b\xd3IR`" 200 9130
195.243.179.106 - - [03/Mar/2010:06:54:41 +0100] "\xe9\xe2\x9c\x91\xde\x87c\x06\x04%\xd4\xff\xbc\x884" 200 9130
195.243.179.106 - - [03/Mar/2010:06:55:25 +0100] "'?\xd9\x94\xd5%F\xbeab=\xfa>A\xa5\xd3m^\xb0\xadZ\x16S\xf8\xf8T\x9d\x9e\xa8\xe3\xb4X\xdb\xdb\x97\xecSu\x96\xd7\x8f$f\xf1\xd6\x90\xe9" 200 9130
195.243.179.106 - - [03/Mar/2010:06:56:44 +0100] "\x91\xe1\xaf\xc8M\xc7\xcb5q.Tt\xa2}=]\xa4a\xc4M\xbf\xd43\xf0D\xf9\x06`\xd0\xd3\x83\xb5\xcfzc\xa4aA\xb5\t\xa8\xc8\x1f\x9e\x80<\xf1\xcbtU\xc0\xd3K\xce\xcb1\x9ba$\xd7\xf1\xe2\xdam\x94a\x9f" 400 1057
94.136.210.170 - - [03/Mar/2010:10:19:22 +0100] "\xdaD>\x86>\x9c2N\xe8\xfdM\xda\xc3\xc4X \xb7\xbc\xd3L,\xc4\xb4{e\xd8\x13\xf5\xe2\xd1D11.\xdd\x16\xe4\xbb\x10P67$\xaao(\xb1\xed\xee\xeb\xbbya\x8c" 400 1057
94.136.210.170 - - [03/Mar/2010:10:54:14 +0100] "\x97\x87tJK\xa7" 200 9130
83.149.3.122 - - [03/Mar/2010:12:42:30 +0100] "\xd6Z\xa1\xb1\x16\xbe" 200 9130

Trackback URL für diesen Beitrag:

http://community.perl.de/trackback/38
0
Eigene Bewertung: Keine
‹ Existenzprüfung Textdatei sortieren ›
Tags
Gehackt
Verfasst von admin am 3. März 2010 - 13:26.

Hi

es sieht so aus, als würde es gerade jemand versuchen. Erstelle schleunigst eine .htaccess-Datei und verbiete der IP-Adresse den Zugriff auf Deinen Server. Solltest Du schon eine .htaccess-Datei haben, für folgende Zeile ein:

deny from 195.243.179.106

Woher die IP-Adresse kommt, kannst Du hier sehen: Klick

Es muss aber nicht unbedingt sein, daß der Angriff von dort kommt bzw. der IP-Inhaber überhaupt weiß, was da von seinem Rechner aus geschieht.

Gruss

Uli

Danke für die schnelle
Verfasst von fred0815 am 3. März 2010 - 15:47.

Danke für die schnelle Antwort.
Ja, ich habe eine .htaccess Datei, aber die Zugriffe kommen ständig von anderen IP`s, da nutzt das sperren einzelner IP´s wenig.
Die Frage ist, ob ich schon Teil eines Botnets bin, ohne das ich das weiss.
Bei manchen Anfragen steht 200, also Erfolg dahinter und ich weiss nicht was der Code bedeutet.

Hacker
Verfasst von admin am 3. März 2010 - 16:00.

Schau mal, ob welche Dateien aufgerufen werden und ob die auf Deinem Server zu finden sind. Wenn ja, prüfe deren Inhalt.
Ferner kannst Du per .htaccess auch den User-Agent aus der Logdatei erkennen und sperren. In der Regel ist es wget oder lynx... gibt aber noch Tonnen anderer.
Mach mal den ReWrite-Mod an und hau das mal in Deine .htacces

RewriteCond %{HTTP_USER_AGENT} ^CherryPicker [OR]
RewriteCond %{HTTP_USER_AGENT} ^ChinaClaw [OR]
RewriteCond %{HTTP_USER_AGENT} ^Crescent [OR]
RewriteCond %{HTTP_USER_AGENT} ^Custo [OR]
RewriteCond %{HTTP_USER_AGENT} ^DISCo [OR]
RewriteCond %{HTTP_USER_AGENT} ^Download\ Demon [OR]
RewriteCond %{HTTP_USER_AGENT} ^eCatch [OR]
RewriteCond %{HTTP_USER_AGENT} ^EirGrabber [OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailCollector [OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailSiphon [OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailWolf [OR]
RewriteCond %{HTTP_USER_AGENT} ^Express\ WebPictures [OR]
RewriteCond %{HTTP_USER_AGENT} ^ExtractorPro [OR]
RewriteCond %{HTTP_USER_AGENT} ^EyeNetIE [OR]
RewriteCond %{HTTP_USER_AGENT} ^FlashGet [OR]
RewriteCond %{HTTP_USER_AGENT} ^GetRight [OR]
RewriteCond %{HTTP_USER_AGENT} ^GetWeb! [OR]
RewriteCond %{HTTP_USER_AGENT} ^Go!Zilla [OR]
RewriteCond %{HTTP_USER_AGENT} ^Go-Ahead-Got-It [OR]
RewriteCond %{HTTP_USER_AGENT} ^GornKer [OR]
RewriteCond %{HTTP_USER_AGENT} ^GrabNet [OR]
RewriteCond %{HTTP_USER_AGENT} ^Grafula [OR]
RewriteCond %{HTTP_USER_AGENT} ^HMView [OR]
RewriteCond %{HTTP_USER_AGENT} HTTrack [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Image\ Stripper [OR]
RewriteCond %{HTTP_USER_AGENT} ^Image\ Sucker [OR]
RewriteCond %{HTTP_USER_AGENT} Indy\ Library [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^InterGET [OR]
RewriteCond %{HTTP_USER_AGENT} ^Internet\ Ninja [OR]
RewriteCond %{HTTP_USER_AGENT} ^Irvine [OR]
RewriteCond %{HTTP_USER_AGENT} ^JetCar [OR]
RewriteCond %{HTTP_USER_AGENT} ^JOC\ Web\ Spider [OR]
RewriteCond %{HTTP_USER_AGENT} Indy\ Library [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^InterGET [OR]
RewriteCond %{HTTP_USER_AGENT} ^Internet\ Ninja [OR]
RewriteCond %{HTTP_USER_AGENT} ^Irvine [OR]
RewriteCond %{HTTP_USER_AGENT} ^JetCar [OR]
RewriteCond %{HTTP_USER_AGENT} ^JOC\ Web\ Spider [OR]
RewriteCond %{HTTP_USER_AGENT} ^larbin [OR]
RewriteCond %{HTTP_USER_AGENT} ^LeechFTP [OR]
RewriteCond %{HTTP_USER_AGENT} ^Mass\ Downloader [OR]
RewriteCond %{HTTP_USER_AGENT} ^Microsoft.URL [OR]
RewriteCond %{HTTP_USER_AGENT} ^MIDown\ tool [OR]
RewriteCond %{HTTP_USER_AGENT} ^Navroad [OR]
RewriteCond %{HTTP_USER_AGENT} ^NearSite [OR]
RewriteCond %{HTTP_USER_AGENT} ^NetAnts [OR]
RewriteCond %{HTTP_USER_AGENT} ^NetSpider [OR]
RewriteCond %{HTTP_USER_AGENT} ^Net\ Vampire [OR]
RewriteCond %{HTTP_USER_AGENT} ^NetZIP [OR]
RewriteCond %{HTTP_USER_AGENT} ^NICErsPRO [OR]
RewriteCond %{HTTP_USER_AGENT} ^Octopus [OR]
RewriteCond %{HTTP_USER_AGENT} ^oegp [OR]
RewriteCond %{HTTP_USER_AGENT} ^Offline\ Explorer [OR]
RewriteCond %{HTTP_USER_AGENT} ^Offline\ Navigator [OR]
RewriteCond %{HTTP_USER_AGENT} ^PageGrabber [OR]
RewriteCond %{HTTP_USER_AGENT} ^Papa\ Foto [OR]
RewriteCond %{HTTP_USER_AGENT} ^pavuk [OR]
RewriteCond %{HTTP_USER_AGENT} ^pcBrowser [OR]
RewriteCond %{HTTP_USER_AGENT} dloader(NaverRobot) [OR]
RewriteCond %{HTTP_USER_AGENT} ^RealDownload [OR]
RewriteCond %{HTTP_USER_AGENT} ^ReGet [OR]
RewriteCond %{HTTP_USER_AGENT} ^SearchExpress [OR]
RewriteCond %{HTTP_USER_AGENT} ^SiteSnagger [OR]
RewriteCond %{HTTP_USER_AGENT} ^SmartDownload [OR]
RewriteCond %{HTTP_USER_AGENT} ^SuperBot [OR]
RewriteCond %{HTTP_USER_AGENT} ^SuperHTTP [OR]
RewriteCond %{HTTP_USER_AGENT} ^Surfbot [OR]
RewriteCond %{HTTP_USER_AGENT} ^Siphon [OR]
RewriteCond %{HTTP_USER_AGENT} ^tAkeOut [OR]
RewriteCond %{HTTP_USER_AGENT} ^Teleport\ Pro [OR]
RewriteCond %{HTTP_USER_AGENT} ^VoidEYE [OR]
RewriteCond %{HTTP_USER_AGENT} ^Web\ Image\ Collector [OR]
RewriteCond %{HTTP_USER_AGENT} ^Web\ Sucker [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebAuto [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebBandit [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebCopier [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebFetch [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebGo\ IS [OR]
RewriteCond %{HTTP_USER_AGENT} ^ReGet [OR]
RewriteCond %{HTTP_USER_AGENT} ^SearchExpress [OR]
RewriteCond %{HTTP_USER_AGENT} ^SiteSnagger [OR]
RewriteCond %{HTTP_USER_AGENT} ^SmartDownload [OR]
RewriteCond %{HTTP_USER_AGENT} ^SuperBot [OR]
RewriteCond %{HTTP_USER_AGENT} ^SuperHTTP [OR]
RewriteCond %{HTTP_USER_AGENT} ^SuperBot [OR]
RewriteCond %{HTTP_USER_AGENT} ^SuperHTTP [OR]
RewriteCond %{HTTP_USER_AGENT} ^Surfbot [OR]
RewriteCond %{HTTP_USER_AGENT} ^Siphon [OR]
RewriteCond %{HTTP_USER_AGENT} ^tAkeOut [OR]
RewriteCond %{HTTP_USER_AGENT} ^Teleport\ Pro [OR]
RewriteCond %{HTTP_USER_AGENT} ^VoidEYE [OR]
RewriteCond %{HTTP_USER_AGENT} ^Web\ Image\ Collector [OR]
RewriteCond %{HTTP_USER_AGENT} ^Web\ Sucker [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebAuto [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebBandit [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebCopier [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebFetch [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebGo\ IS [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebLeacher [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebReaper [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebSauger [OR]
RewriteCond %{HTTP_USER_AGENT} ^Website\ eXtractor [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebStripper [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebWhacker [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebZIP [OR]
RewriteCond %{HTTP_USER_AGENT} ^Widow [OR]
RewriteCond %{HTTP_USER_AGENT} ^WWWOFFLE [OR]
RewriteCond %{HTTP_USER_AGENT} ^Xaldon\ WebSpider [OR]
RewriteCond %{HTTP_USER_AGENT} ^Zeus [OR]
RewriteCond %{HTTP_USER_AGENT} ^lynx [OR]
RewriteCond %{HTTP_USER_AGENT} ^wget [OR]
RewriteCond %{HTTP_USER_AGENT} ^ZyBorg
RewriteRule ^(.*) http://%{REMOTE_ADDR}/ [R=301,L]

Dateien werden keine
Verfasst von fred0815 am 3. März 2010 - 16:16.

Dateien werden keine aufgerufen, es sind auch keine neuen oder veränderten Dateien zu sehen.
Meine Befürchtung ist das was dynamisch generiert wird und im Hintergrund abläuft.
Rewrite hab ich an. Was bewirkt denn dieses ?:
RewriteCond %{HTTP_USER_AGENT} ^ZyBorg
RewriteRule ^(.*) http://%{REMOTE_ADDR}/ [R=301,L]

ReWrite
Verfasst von admin am 3. März 2010 - 16:23.

Das Script bewirkt, dass, wenn einer von diesen Bots daherkommt, seine Anfrage auf sich selbst zurückgeleitet wird mit dem "Umzugsflag 301" - Dieser bedeutet: Moved permanently

OK, Danke.
Verfasst von fred0815 am 3. März 2010 - 16:44.

OK, Danke.
Und was dieses
\xd6Z\xa1\xb1\x16\xbe
heisst kann man das rausfinden ?
So ein Verzeichnis habe ich nicht, trotzdem steht 200 da.

Habe einen neuen Eintrag in der Log:
84.154.7.157 - - [03/Mar/2010:16:32:24 +0100] "w{\t\x97\x8e\x84r" 400 1057

P.S. Den Syntax habe ich gefunden:
http://www.modrewrite.de/mod_rewrite.syntax.phtml

OK, habe alles befolgt,
Verfasst von fred0815 am 4. März 2010 - 12:40.

OK, habe alles befolgt, jedoch scheint sich nichts geändert zu haben:

99.229.0.179 - - [04/Mar/2010:05:09:14 +0100] "\xcb\x10\xe0\xaei\xce\xf8\xed\x94@\xf1\xd7\ra" 400 1057
118.70.124.28 - - [04/Mar/2010:05:20:14 +0100] "w\xf0Z" 200 9130
118.70.124.28 - - [04/Mar/2010:05:22:08 +0100] "\xa0EK\xbb+M+\xa4\b\xc9" 400 1057
210.245.54.77 - - [04/Mar/2010:05:41:09 +0100] "r\x81\x95[\xf2m\xe7#\x14pF\v\xe7}\xa0>Y\xb4Hl\xec\x98\xcf\x07" 400 374
210.245.54.77 - - [04/Mar/2010:05:41:25 +0100] "o\xb8\xa8j\xdf[_\xe9;P4PX%\x03\vf\xff4%a\xd2\xd3\xe6\xadX\xe2\xe8\xfb(\xfd\x9c+\xa1G\x83ea\xc5rV\x14" 400 1057
118.70.124.28 - - [04/Mar/2010:05:48:19 +0100] "\xef:\x91>\x8d\xdd\xc2\xc7\xb1\xbbEB\xdbl!\xc9_\xed\xa2\x12\xbc\x94\x14[\x01\xb5\xec\xd6\xf2\x14" 200 9130
118.70.124.28 - - [04/Mar/2010:06:09:12 +0100] "[+\x91.\xde\x0c\xefFz\xb5\\\x99\xa8]7H\xa2\\9\xac\xf5_W\xfa\xa1\xab[j\xba\xaa\x0f\xf9Lk\xdc\xcf\x06<\x02\xb4\x15^i\r;\xeb\xc4\xbd_\x82~\xdc\xbap\xa6\x0f\xac\xa4\b8\xcf\xde\xd3" 400 374
118.70.124.28 - - [04/Mar/2010:06:20:03 +0100] "\xf4\xaak\xc7\xc1\v\x07\xd2\xfc\xd1\x14\x9d\x16\xf1'\xc4\x9d\x11d\xf9R\xe22\xb7M\xad+\b\xe8S\x8ey\x8f&\x04\xd1`\xd1\x8c\x81\xfe`V\xee\xbe\x96B\xe2\xa7\xc9\xc7[Q\xfa\xb4\x92gm," 400 1057
210.245.54.77 - - [04/Mar/2010:06:28:19 +0100] "O\x1c\xef\x1e\xaa5\x8f?E\x83\x05k/0\xf4Ar56" 200 9130
118.70.124.28 - - [04/Mar/2010:06:28:52 +0100] "Q\xe2\xaf*\x9b#\x06P\xf5\x95\xf8\x1f\xd0\xc3O3\xff\x86:\xa0\xed]\x9b@\xcf\xccr\xa5y\x1d\x8c\x81\x8b\x86\xc2\xb8gK\xdaz\x0e\x9c\xe66\x03Q" 400 1057
210.245.54.77 - - [04/Mar/2010:06:30:53 +0100] "&\x11\xf7\xf5>\xe4+\xba=\x9b<H2SkE\xcbk\xf3\xfd\xd0%\x8833" 200 9130
210.245.54.77 - - [04/Mar/2010:06:31:21 +0100] "\x8f3\xc0\x14=+c\xee\xc1\xbdaN\xbd$\x12]\xc8\x8e\x90\xf2\x86\"P\x1d\x7f\xc2-\x7fy\x0f" 200 9130
210.245.54.77 - - [04/Mar/2010:06:31:27 +0100] "\xaa-\xaf\xbd\xc9\xf3\xff\x9d\xc4Z\x03\x8b\xe8\xf4\x1f:\xb7\x84\xb2\xb4\xd7\xbe" 200 9130
210.245.54.77 - - [04/Mar/2010:06:33:08 +0100] "n\x9f\x97\xf7\xe0\xa6?/\x02\x7f\xe6\x9f\xe5F\x81\x99\xb5\xdc" 200 9130
95.155.27.38 - - [04/Mar/2010:12:23:01 +0100] "\xe2\xe5e\x87\xeb\xc2fs\xfc\xf3\x0c\xb8,D\xfaM<\xf0\xa4\x1b" 400 1057

Hat vielleicht noch jemand eine Idee ?

Hilft nur wieder ein bisserl
Verfasst von admin am 4. März 2010 - 12:52.

Hilft nur wieder ein bisserl .htaccess :)

RewriteCond %{REQUEST_URI} x0 [OR,NC]
RewriteCond %{QUERY_STRING} x0 [OR,NC]
RewriteCond %{REQUEST_URI} x1 [OR,NC]
RewriteCond %{QUERY_STRING} x1 [OR,NC]
RewriteCond %{REQUEST_URI} x2 [OR,NC]
RewriteCond %{QUERY_STRING} x2 [OR,NC]
RewriteCond %{REQUEST_URI} x3 [OR,NC]
RewriteCond %{QUERY_STRING} x3 [OR,NC]
RewriteCond %{REQUEST_URI} x4 [OR,NC]
RewriteCond %{QUERY_STRING} x4 [OR,NC]
RewriteCond %{REQUEST_URI} x5 [OR,NC]
RewriteCond %{QUERY_STRING} x5 [OR,NC]
RewriteCond %{REQUEST_URI} x6 [OR,NC]
RewriteCond %{QUERY_STRING} x6 [OR,NC]
RewriteCond %{REQUEST_URI} x7 [OR,NC]
RewriteCond %{QUERY_STRING} x7 [OR,NC]
RewriteCond %{REQUEST_URI} x8 [OR,NC]
RewriteCond %{QUERY_STRING} x8 [OR,NC]
RewriteCond %{REQUEST_URI} x9 [OR,NC]
RewriteCond %{QUERY_STRING} x9 [NC]
RewriteRule ^(.*) http://%{REMOTE_ADDR}/ [R=301,L]

Software
Verfasst von admin am 4. März 2010 - 13:09.

Hi

was hast Du für ne Software auf dem Rechner laufen? Forum? CMS?
Setze auch a , wenn Du Zugriff hast, per Shell den Befehl
mailq
und schau, ob Dein Server zum Mailen mißbraucht wird - falls ja, dann solltest Du jede Datei durchschauen, die im Webverzeichnis liegt, ob da Sicherheitslücken vorhanden sind.

Gruss

Uli

OK, hab die .htaccess
Verfasst von fred0815 am 4. März 2010 - 13:42.

OK, hab die .htaccess nachgebessert.
Ich habe Apache, PHP, Perl, Filezilla,Mysql und Mercury installiert.
Ah, und PHProjekt als Forum und Chatroom etc.

Mercury ist aber nur vom localhost erreichbar via Formail.pl zum übertragen von Nachrichten von der Homepage.
Dateien sind weder verändert noch dazugekommen, das kontrolliere ich ständig seitdem diese Einträge in der Log sind.

Was bewirkt das ? :
RewriteCond %{REQUEST_URI} x9 [OR,NC]
RewriteCond %{QUERY_STRING} x9 [NC]

Gruss

P.S. Tolles Forum, da wird dir geholfen :)

Hast Du mal mailq in der
Verfasst von admin am 4. März 2010 - 13:43.

Hast Du mal mailq in der Shell eingegeben? Wenn ja, was kam bei raus?

Hoppla, ganz vergessen. Das
Verfasst von fred0815 am 4. März 2010 - 13:51.

Hoppla, ganz vergessen.
Das ist eine Windows-XP Maschine.
Die Firewall blockt Anfragen auf Mercury und Mysql.
Habe nur FTP und HTTP freigegeben. Auch sftp und https.
Mercury ist nicht zum versenden von Mails eingerichtet, nur zum abholen.

XP
Verfasst von admin am 4. März 2010 - 13:56.

Hi

nicht böse sein... und nix gegen Microsoft, aber mit einem XP einen Webserver zu betreiben, ist schon grob fahrlässig (Kopfschüttel)

Tipp: Runterfahren, formatieren, LAMP  installieren.....

Gruss

Uli

Ja, OK, ich weiss. Lässt sich
Verfasst von fred0815 am 4. März 2010 - 14:08.

Ja, OK, ich weiss.
Lässt sich aber im Moment nicht ändern, das muss noch 6 Monate so weiterlaufen, weil noch ein Gameserver drauf läuft, den es nur für Windoofs gibt, dann kommt wieder eine Linuxkiste her, die den Webserver ablöst.
Gepatch wird auch regelmässig und der Rechner ist Virenfrei, LM-Hash aus usw.
Habe die Kiste auch von aussen ausführlich getestet, es sind keine Ports offen, die nicht offen sein sollten.
Mein Problem ist das ich diese Logeinträge nicht verstehe und es ja auch keine Fehlermeldungen gibt, ausser die Einträge oben.

counter
Verfasst von fred0815 am 10. März 2010 - 11:26.

Leider geht mein PHP-Counter jetzt nicht mehr.
Ich bekomme immer die Fehlermeldung 301.

Tag Cloud

Weiter

Aktive Forenbeiträge

Weiter

Neue Forenbeiträge

Weiter

Neueste Kommentare

Wer ist online

Zur Zeit sind 0 Benutzer und 1 Gast online.