Mailserver wurde schon wieder gehackt!! :-(

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
dilbar
Posts: 6
Joined: 2006-03-09 22:39

Mailserver wurde schon wieder gehackt!! :-(

Post by dilbar » 2006-07-28 17:48

Hallo Leute,

ich brauche dringend eure Hilfe.
Ich habe voreiniger Zeit spamprobleme mit meinem Server gehabt.
1Und 1 hatte mir geraten auf einen andren Server umzuziehen und alle daten mit zu nehmen. Das habe ich auch gemacht.
Der neue Server hat die neuste Plesk version und auch eine firewall, Spamassin. Leider hat die ganze sicherheit die ich eingebaut hatte nicht gebracht. Der server wurde jetzt wieder gehackt und es wird massig spam über unseren server versandt.
Ich habe jetzt nochmals mit 1und1 gesprochen die sagen mir das ist zurzeit normal und man kan da auch nix machen ausser alles Platt machen und von neuem alles anlegen.

Ich kann mir das nicht vorstellen.

Ich habe im forum einen sehr interesanten beitrag gelesen und denke das ich das Selbe problem habe.

http://www.rootforum.org/forum/viewtopic ... me&start=0

Jedoch finde ich alleine keine Lösung und benötige eure hilfe.
Ich möchte ausdrücklich darauf hinweisen das wenn jemand nicht helfen kann auch seine dummen Komentare lassen kann wiezu beispiel.
Schalt deinen Server ab oder lern was dazu).

So die folgenden infos kann ich euch ins netz stellen.

Das ist der Maillog
Jul 28 16:37:41 s15221337 qmail: 1154097461.511467 starting delivery 113212: msg 1155506 to remote nancy_mcdaniel56@yahoo.com
Jul 28 16:37:41 s15221337 qmail: 1154097461.511737 status: local 0/10 remote 20/20
Jul 28 16:37:47 s15221337 pop3d: Connection, ip=[82.100.247.217]
Jul 28 16:37:47 s15221337 pop3d: IMAP connect from @ [82.100.247.217]INFO: LOGIN, user=web4p97, ip=[82.100.247.217]
Jul 28 16:37:47 s15221337 pop3d: 1154097467.800664 LOGOUT, user=web4p97, ip=[82.100.247.217], top=0, retr=0, time=0, rcvd=18, sent=47, maildir=/var/qmail/mailnames/jahreszeiten-hotels.de/web4p97/Maildir
Jul 28 16:37:50 s15221337 pop3d: Connection, ip=[82.100.247.217]
Jul 28 16:37:50 s15221337 pop3d: IMAP connect from @ [82.100.247.217]INFO: LOGIN, user=web4p73, ip=[82.100.247.217]
Jul 28 16:37:50 s15221337 pop3d: 1154097470.912317 LOGOUT, user=web4p73, ip=[82.100.247.217], top=0, retr=0, time=0, rcvd=12, sent=39, maildir=/var/qmail/mailnames/jahreszeiten-hotels.de/web4p73/Maildir
Jul 28 16:37:52 s15221337 qmail: 1154097472.240330 delivery 113212: success: 4.79.181.14_accepted_message./Remote_host_said:_250_ok_dirdel/
Jul 28 16:37:52 s15221337 qmail: 1154097472.240507 status: local 0/10 remote 19/20
Jul 28 16:37:52 s15221337 qmail: 1154097472.240589 end msg 1155506
Jul 28 16:37:52 s15221337 qmail: 1154097472.268598 starting delivery 113213: msg 1155508 to remote nancy_newby@yahoo.com
Jul 28 16:37:52 s15221337 qmail: 1154097472.268757 status: local 0/10 remote 20/20
Jul 28 16:37:58 s15221337 relaylock: /var/qmail/bin/relaylock: mail from 83.138.65.36:35306 (rpsiii.han-solo.net)
Jul 28 16:37:58 s15221337 qmail: 1154097478.963387 new msg 1086156
Jul 28 16:37:58 s15221337 qmail: 1154097478.963553 info msg 1086156: bytes 21059 from <j.henning@nordmann.de> qp 10326 uid 2020
Jul 28 16:37:58 s15221337 qmail: 1154097478.978885 starting delivery 113214: msg 1086156 to local 36-vs@vier-jahreszeiten.de
Jul 28 16:37:58 s15221337 qmail: 1154097478.979080 status: local 1/10 remote 20/20
Jul 28 16:37:58 s15221337 qmail: 1154097478.991452 new msg 1111492
Jul 28 16:37:58 s15221337 qmail: 1154097478.991614 info msg 1111492: bytes 21171 from <j.henning@nordmann.de> qp 10329 uid 110
Jul 28 16:37:59 s15221337 qmail: 1154097479.007203 starting delivery 113215: msg 1111492 to local 36-web4p55@vier-jahreszeiten.de
Jul 28 16:37:59 s15221337 qmail: 1154097479.007383 status: local 2/10 remote 20/20
Jul 28 16:37:59 s15221337 qmail: 1154097479.007463 delivery 113214: success: did_0+1+1/qp_10329/
Jul 28 16:37:59 s15221337 qmail: 1154097479.007553 status: local 1/10 remote 20/20
Jul 28 16:37:59 s15221337 qmail: 1154097479.007629 end msg 1086156
Jul 28 16:37:59 s15221337 qmail: 1154097479.015344 delivery 113215: success: did_1+0+1/
Jul 28 16:37:59 s15221337 qmail: 1154097479.015507 status: local 0/10 remote 20/20
Jul 28 16:37:59 s15221337 qmail: 1154097479.015586 end msg 1111492
Jul 28 16:38:02 s15221337 relaylock: /var/qmail/bin/relaylock: mail from 217.72.192.227:38030 (fmmailgate02.web.de)
Jul 28 16:38:02 s15221337 qmail: 1154097482.771678 new msg 1086156
Jul 28 16:38:02 s15221337 qmail: 1154097482.771840 info msg 1086156: bytes 3198 from <k_sheridaneg@geocities.com> qp 10336 uid 2020
Jul 28 16:38:02 s15221337 qmail: 1154097482.787037 starting delivery 113216: msg 1086156 to local 36-aa@vier-jahreszeiten.de
Jul 28 16:38:02 s15221337 qmail: 1154097482.787201 status: local 1/10 remote 20/20
Jul 28 16:38:02 s15221337 qmail: 1154097482.799579 new msg 1111492
Jul 28 16:38:02 s15221337 qmail: 1154097482.799737 info msg 1111492: bytes 3310 from <k_sheridaneg@geocities.com> qp 10339 uid 110
Jul 28 16:38:02 s15221337 qmail: 1154097482.815480 starting delivery 113217: msg 1111492 to local 24-web4p79@jahreszeiten-hotels.de
Jul 28 16:38:02 s15221337 qmail: 1154097482.815676 status: local 2/10 remote 20/20
Jul 28 16:38:02 s15221337 qmail: 1154097482.815756 delivery 113216: success: did_0+1+1/qp_10339/
Jul 28 16:38:02 s15221337 qmail: 1154097482.815846 status: local 1/10 remote 20/20
Jul 28 16:38:02 s15221337 qmail: 1154097482.815931 end msg 1086156
Jul 28 16:38:02 s15221337 qmail: 1154097482.823719 delivery 113217: success: did_1+0+1/
Jul 28 16:38:02 s15221337 qmail: 1154097482.823880 status: local 0/10 remote 20/20
Jul 28 16:38:02 s15221337 qmail: 1154097482.823969 end msg 1111492


Hier ist die Accesslog
213.222.11.23 - - [28/Jul/2006:15:44:47 +0200] "GET / HTTP/1.0" 200 205 "-" "Mozilla/2.0 (compatible; MSIE 3.0B; Windows NT)"
212.112.240.29 - - [28/Jul/2006:15:45:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:15:46:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
195.93.60.99 - - [28/Jul/2006:15:46:48 +0200] "GET /Pages/BINZ/n_I/appartements.php HTTP/1.1" 404 1436 "http://sucheaol.aol.de/suche/search.jsp ... r%FCgen%29" "Mozilla/4.0 (compatible; MSIE 6.0; AOL 9.0; Windows NT 5.1; SV1)"
212.112.240.29 - - [28/Jul/2006:15:47:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
195.177.254.27 - - [28/Jul/2006:15:47:15 +0200] "GET /Bilder/vjzlogomap24.gif HTTP/1.1" 404 1061 "-" "Map24 CConnect v2.1"
195.177.254.27 - - [28/Jul/2006:15:47:15 +0200] "GET /Bilder/vjzlogomap24.gif HTTP/1.1" 404 1061 "-" "Map24 CConnect v2.1"
212.112.240.29 - - [28/Jul/2006:15:48:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
84.133.93.102 - - [28/Jul/2006:15:48:12 +0200] "GET / HTTP/1.1" 200 223 "http://www.google.de/search?hl=de&q=Hot ... %3Dlang_de" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
212.112.240.29 - - [28/Jul/2006:15:49:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
84.135.189.13 - - [28/Jul/2006:15:50:03 +0200] "GET /Pages/BINZ/n_I/appartements.php HTTP/1.1" 404 1466 "http://www.google.com/search?client=saf ... 8&oe=UTF-8" "Mozilla/5.0 (Macintosh; U; PPC Mac OS X; de-de) AppleWebKit/418 (KHTML, like Gecko) Safari/417.9.3"
84.135.189.13 - - [28/Jul/2006:15:50:03 +0200] "GET /favicon.ico HTTP/1.1" 404 1185 "-" "Mozilla/5.0 (Macintosh; U; PPC Mac OS X; de-de) AppleWebKit/418 (KHTML, like Gecko) Safari/417.9.3"
212.112.240.29 - - [28/Jul/2006:15:50:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:15:51:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
207.46.98.113 - - [28/Jul/2006:15:52:00 +0200] "GET /robots.txt HTTP/1.0" 404 1060 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
207.46.98.113 - - [28/Jul/2006:15:52:01 +0200] "GET /Pages/BINZ/n_K/galjahres.php HTTP/1.0" 404 1060 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
212.112.240.29 - - [28/Jul/2006:15:52:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:15:53:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:15:54:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:15:55:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:15:56:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
65.54.188.98 - - [28/Jul/2006:15:56:42 +0200] "GET /robots.txt HTTP/1.0" 404 1033 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
65.54.188.98 - - [28/Jul/2006:15:56:43 +0200] "GET /eng/tagungen/tagungen_technik.htm HTTP/1.0" 404 1033 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
65.54.188.98 - - [28/Jul/2006:15:56:43 +0200] "GET /eng/happenings/press.pdf HTTP/1.0" 404 1033 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
212.112.240.29 - - [28/Jul/2006:15:57:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
65.54.188.68 - - [28/Jul/2006:15:57:47 +0200] "GET /robots.txt HTTP/1.0" 404 1065 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
65.54.188.68 - - [28/Jul/2006:15:57:47 +0200] "GET /Pages/KUEHLUNGSBORN/n_I/gutscheine/index.php HTTP/1.0" 404 1065 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
212.112.240.29 - - [28/Jul/2006:15:58:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:15:59:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:00:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:01:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:02:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:03:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
195.177.254.27 - - [28/Jul/2006:16:03:32 +0200] "GET /Bilder/vjzlogomap24.gif HTTP/1.1" 404 1061 "-" "Map24 CConnect v2.1"
195.177.254.27 - - [28/Jul/2006:16:03:32 +0200] "GET /Bilder/vjzlogomap24.gif HTTP/1.1" 404 1061 "-" "Map24 CConnect v2.1"
195.177.254.27 - - [28/Jul/2006:16:03:49 +0200] "GET /Bilder/vjzlogomap24.gif HTTP/1.1" 404 1061 "-" "Map24 CConnect v2.1"
195.177.254.27 - - [28/Jul/2006:16:03:49 +0200] "GET /Bilder/vjzlogomap24.gif HTTP/1.1" 404 1061 "-" "Map24 CConnect v2.1"
212.112.240.29 - - [28/Jul/2006:16:04:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:05:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
207.46.98.88 - - [28/Jul/2006:16:05:27 +0200] "GET /Pages/ZINGST/n_I/anfahrt.php HTTP/1.0" 404 1061 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
207.46.98.88 - - [28/Jul/2006:16:05:32 +0200] "GET /Pages/BINZ/n_V/AufeinBlick.php HTTP/1.0" 404 1061 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
212.112.240.29 - - [28/Jul/2006:16:06:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:07:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:08:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:09:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:10:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
80.171.44.85 - - [28/Jul/2006:16:10:37 +0200] "GET /Pages/ZINGST/index.php HTTP/1.1" 404 1400 "http://www.google.de/search?hl=de&q=Hot ... %3Dlang_de" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; (R1 1.3))"
212.112.240.29 - - [28/Jul/2006:16:11:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:12:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
172.176.103.38 - - [28/Jul/2006:16:13:03 +0200] "GET /Pages/BINZ/n_I/appartements.php HTTP/1.1" 404 1464 "http://www.google.de/search?hl=de&q=bin ... uche&meta=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Media Center PC 3.0; .NET CLR 1.0.3705)"
212.112.240.29 - - [28/Jul/2006:16:13:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
84.133.93.102 - - [28/Jul/2006:16:13:37 +0200] "GET / HTTP/1.1" 200 219 "http://www.belocal.de/artikel/9083,26,5 ... nde,1.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
84.56.91.143 - - [28/Jul/2006:16:13:39 +0200] "GET /Pages/ZINGST/index.php HTTP/1.1" 404 1185 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Arcor 5.005; HbTools 4.8.0)"
84.56.91.143 - - [28/Jul/2006:16:13:49 +0200] "GET /Pages/ZINGST/index.php HTTP/1.1" 404 1185 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Arcor 5.005; HbTools 4.8.0)"
84.56.91.143 - - [28/Jul/2006:16:13:51 +0200] "GET /Pages/ZINGST/index.php HTTP/1.1" 404 1185 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Arcor 5.005; HbTools 4.8.0)"
212.112.240.29 - - [28/Jul/2006:16:14:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
84.56.91.143 - - [28/Jul/2006:16:14:21 +0200] "GET /Pages/ZINGST/index.php HTTP/1.1" 404 1185 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Arcor 5.005; HbTools 4.8.0)"
212.112.240.29 - - [28/Jul/2006:16:15:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
82.207.216.47 - - [28/Jul/2006:16:15:40 +0200] "GET /Pages/ZINGST/ HTTP/1.1" 404 1466 "http://www.stone-ds.de/objectinfo.php?g ... 755E1B04FB" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
217.227.219.109 - - [28/Jul/2006:16:15:43 +0200] "GET /Pages/KUEHLUNGSBORN/index.php HTTP/1.1" 404 1392 "http://www.hoteldatenbank.de/hotel/Jahr ... sborn.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"
212.112.240.29 - - [28/Jul/2006:16:16:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:17:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:18:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
193.47.80.45 - - [28/Jul/2006:16:18:59 +0200] "GET /robots.txt HTTP/1.1" 404 1033 "-" "Exabot/2.0"
193.47.80.45 - - [28/Jul/2006:16:18:59 +0200] "GET / HTTP/1.1" 304 - "-" "Exabot/2.0"
212.112.240.29 - - [28/Jul/2006:16:19:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
84.187.89.65 - - [28/Jul/2006:16:19:35 +0200] "GET /Pages/AG/n_I/lastminutespecial.php HTTP/1.1" 404 1408 "http://www.google.com/search?q=Vier+Jah ... rt=70&sa=N" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
84.187.89.65 - - [28/Jul/2006:16:19:45 +0200] "GET / HTTP/1.1" 200 219 "http://www.jahreszeiten-hotels.de/Pages ... pecial.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
212.112.240.29 - - [28/Jul/2006:16:20:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:21:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:22:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:23:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:24:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:25:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
84.133.95.144 - - [28/Jul/2006:16:25:15 +0200] "GET / HTTP/1.1" 200 223 "http://www.google.de/search?sourceid=na ... m%C3%BCnde" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
64.12.186.231 - - [28/Jul/2006:16:25:21 +0200] "GET /hotelfilme/KUEHLUNGSBORN.asf HTTP/1.1" 404 1198 "http://www.singingfish.com" "asterias/2.0"
64.12.186.231 - - [28/Jul/2006:16:25:21 +0200] "GET /hotelfilme/KUEHLUNGSBORN.asf HTTP/1.1" 404 1061 "-" "asterias/2.0"
84.135.189.13 - - [28/Jul/2006:16:26:00 +0200] "GET /favicon.ico HTTP/1.1" 404 1185 "-" "Mozilla/5.0 (Macintosh; U; PPC Mac OS X; de-de) AppleWebKit/418 (KHTML, like Gecko) Safari/417.9.3"
212.112.240.29 - - [28/Jul/2006:16:26:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
217.184.231.97 - - [28/Jul/2006:16:27:03 +0200] "GET / HTTP/1.1" 200 223 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; FDM; .NET CLR 1.1.4322)"
212.112.240.29 - - [28/Jul/2006:16:27:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
66.249.65.238 - - [28/Jul/2006:16:27:29 +0200] "GET /robots.txt HTTP/1.1" 404 1062 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.65.238 - - [28/Jul/2006:16:27:29 +0200] "GET /Pages/BINZ/n_I/Content/zimmer_Links.php HTTP/1.1" 404 1062 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
212.112.240.29 - - [28/Jul/2006:16:28:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:29:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
84.183.208.155 - - [28/Jul/2006:16:29:26 +0200] "GET / HTTP/1.1" 304 - "http://www.kuehlungsborn.de/frame.php?lid=30,32" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
212.112.240.29 - - [28/Jul/2006:16:30:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:31:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
82.198.194.1 - - [28/Jul/2006:16:31:12 +0200] "GET /Pages/AG/n_I/lastminutespecial.php HTTP/1.0" 404 1438 "http://www.google.de/search?hl=de&q=hot ... born&meta=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"
195.93.60.99 - - [28/Jul/2006:16:31:48 +0200] "GET /Pages/BINZ/n_I/appartements.php HTTP/1.1" 404 1392 "http://sucheaol.aol.de/suche/web/search ... bad%20binz" "Mozilla/4.0 (compatible; MSIE 6.0; AOL 9.0; Windows 98)"
84.135.189.13 - - [28/Jul/2006:16:32:04 +0200] "GET /favicon.ico HTTP/1.1" 404 1185 "-" "Mozilla/5.0 (Macintosh; U; PPC Mac OS X; de-de) AppleWebKit/418 (KHTML, like Gecko) Safari/417.9.3"
212.112.240.29 - - [28/Jul/2006:16:32:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:33:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
82.82.107.3 - - [28/Jul/2006:16:33:34 +0200] "GET /newsletter/2006/juli/special/Bottom.jpg HTTP/1.1" 404 1468 "http://office1.freenet.de/messages/mail ... =INBOX&pr=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
82.82.107.3 - - [28/Jul/2006:16:33:34 +0200] "GET /newsletter/2006/juli/special/Top.jpg HTTP/1.1" 404 1468 "http://office1.freenet.de/messages/mail ... =INBOX&pr=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
212.112.240.29 - - [28/Jul/2006:16:34:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
82.198.194.1 - - [28/Jul/2006:16:34:11 +0200] "GET /images/hintergrund/bild-01_1200.jpg HTTP/1.0" 404 1181 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"
207.46.98.72 - - [28/Jul/2006:16:34:58 +0200] "GET /robots.txt HTTP/1.0" 404 1059 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
207.46.98.72 - - [28/Jul/2006:16:34:58 +0200] "GET /pages/innerfs-Dateien/Anfahrt.htm HTTP/1.0" 404 1059 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
212.112.240.29 - - [28/Jul/2006:16:35:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
80.135.166.218 - - [28/Jul/2006:16:35:26 +0200] "GET / HTTP/1.1" 200 223 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
212.112.240.29 - - [28/Jul/2006:16:36:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
207.46.98.115 - - [28/Jul/2006:16:36:26 +0200] "GET /robots.txt HTTP/1.0" 404 1060 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
207.46.98.115 - - [28/Jul/2006:16:36:27 +0200] "GET /Pages/ZINGST/n_K/m_kultur.php HTTP/1.0" 404 1060 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
212.112.240.29 - - [28/Jul/2006:16:37:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
213.180.167.174 - - [28/Jul/2006:16:37:25 +0200] "GET / HTTP/1.1" 200 218 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 4.0; .NET CLR 1.1.4322)"
212.112.240.29 - - [28/Jul/2006:16:38:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
62.206.42.58 - - [28/Jul/2006:16:38:52 +0200] "GET /Pages/KUEHLUNGSBORN/index.php HTTP/1.0" 404 1185 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0; (R1 1.5))"
62.206.42.58 - - [28/Jul/2006:16:38:58 +0200] "GET /Pages/KUEHLUNGSBORN/index.php HTTP/1.0" 404 1185 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0; (R1 1.5))"
62.206.42.58 - - [28/Jul/2006:16:39:00 +0200] "GET / HTTP/1.0" 200 219 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0; (R1 1.5))"
212.112.240.29 - - [28/Jul/2006:16:39:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:40:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:41:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:42:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:43:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:44:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
207.46.98.115 - - [28/Jul/2006:16:44:39 +0200] "GET /Pages/ZINGST/n_I/zimmer.php HTTP/1.0" 404 1060 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
212.112.240.29 - - [28/Jul/2006:16:45:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:46:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:47:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
217.184.146.124 - - [28/Jul/2006:16:47:37 +0200] "GET /indexvjz.html HTTP/1.1" 404 1350 "http://www.binz-hotels.de/hotels/index.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
212.112.240.29 - - [28/Jul/2006:16:48:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:49:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:50:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
65.54.188.97 - - [28/Jul/2006:16:50:11 +0200] "GET /robots.txt HTTP/1.0" 404 1033 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
65.54.188.97 - - [28/Jul/2006:16:50:11 +0200] "GET /eng/tagungen/tagungen.htm HTTP/1.0" 404 1033 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
217.91.32.175 - - [28/Jul/2006:16:50:28 +0200] "GET / HTTP/1.1" 200 223 "http://www.google.de/search?hl=de&q=hot ... uche&meta=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
212.112.240.29 - - [28/Jul/2006:16:51:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
217.91.32.175 - - [28/Jul/2006:16:51:47 +0200] "GET / HTTP/1.1" 304 - "http://www.google.de/search?hl=de&q=hot ... uche&meta=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
83.236.139.42 - - [28/Jul/2006:16:52:06 +0200] "GET /demiurg/Contentlisten/Pics/390.jpg HTTP/1.1" 404 1061 "-" "Mozilla/4.0 (compatible;)"
212.112.240.29 - - [28/Jul/2006:16:52:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
217.91.32.175 - - [28/Jul/2006:16:52:19 +0200] "GET / HTTP/1.1" 304 - "http://www.google.de/search?hl=de&q=hot ... uche&meta=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
212.112.240.29 - - [28/Jul/2006:16:53:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:54:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:55:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
72.30.128.216 - - [28/Jul/2006:16:55:50 +0200] "GET /robots.txt HTTP/1.0" 404 1065 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
212.112.240.29 - - [28/Jul/2006:16:56:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
65.54.188.19 - - [28/Jul/2006:16:56:51 +0200] "GET /robots.txt HTTP/1.0" 404 1043 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
65.54.188.19 - - [28/Jul/2006:16:56:51 +0200] "GET /en/onlinebuchung_head.htm HTTP/1.0" 404 1043 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
212.112.240.29 - - [28/Jul/2006:16:57:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
72.30.103.87 - - [28/Jul/2006:16:57:23 +0200] "GET /main/binz HTTP/1.0" 404 1065 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
217.237.218.52 - - [28/Jul/2006:16:57:54 +0200] "GET /Pages/BINZ/n_I/appartements.php HTTP/1.1" 404 1185 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
212.112.240.29 - - [28/Jul/2006:16:58:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:59:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:17:00:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
82.83.244.142 - - [28/Jul/2006:17:00:41 +0200] "GET /Pages/BINZ/n_I/appartements.php HTTP/1.1" 404 1550 "http://www.google.de/search?hs=Qj8&hl=d ... uche&meta=" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.0.4) Gecko/20060508 Firefox/1.5.0.4"
212.112.240.29 - - [28/Jul/2006:17:01:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:17:02:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
84.153.36.170 - - [28/Jul/2006:17:02:41 +0200] "GET / HTTP/1.1" 200 207 "http://www.google.de/search?hl=de&q=hot ... rlin&meta=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
212.112.240.29 - - [28/Jul/2006:17:03:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
217.245.118.155 - - [28/Jul/2006:17:03:18 +0200] "GET /Pages/BINZ/n_I/appartements.php HTTP/1.1" 404 1490 "http://www.google.de/search?sourceid=na ... BCgen+Binz" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
217.245.118.155 - - [28/Jul/2006:17:03:35 +0200] "GET / HTTP/1.1" 200 219 "http://www.jahreszeiten-hotels.de/Pages ... ements.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
207.46.98.71 - - [28/Jul/2006:17:03:56 +0200] "GET /robots.txt HTTP/1.0" 404 1059 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
207.46.98.71 - - [28/Jul/2006:17:03:56 +0200] "GET /pages/innerfs-Dateien/Lage.htm HTTP/1.0" 404 1059 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
212.112.240.29 - - [28/Jul/2006:17:04:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:17:05:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:17:06:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
207.46.98.112 - - [28/Jul/2006:17:06:26 +0200] "GET /robots.txt HTTP/1.0" 404 1060 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
207.46.98.112 - - [28/Jul/2006:17:06:26 +0200] "GET /Pages/ZINGST/n_G/m_genuss.php HTTP/1.0" 404 1060 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
212.112.240.29 - - [28/Jul/2006:17:07:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:17:08:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
195.177.254.27 - - [28/Jul/2006:17:08:22 +0200] "GET /Bilder/vjzlogomap24.gif HTTP/1.1" 404 1061 "-" "Map24 CConnect v2.1"
195.177.254.27 - - [28/Jul/2006:17:08:22 +0200] "GET /Bilder/vjzlogomap24.gif HTTP/1.1" 404 1061 "-" "Map24 CConnect v2.1"
212.112.240.29 - - [28/Jul/2006:17:09:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
207.46.98.112 - - [28/Jul/2006:17:09:08 +0200] "GET /Pages/ZINGST/n_I/bankett.php HTTP/1.0" 404 1060 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
84.180.169.36 - - [28/Jul/2006:17:09:16 +0200] "GET / HTTP/1.1" 200 223 "http://www.google.de/search?hl=de&q=Vie ... iten&meta=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
212.112.240.29 - - [28/Jul/2006:17:10:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
217.245.118.155 - - [28/Jul/2006:17:11:00 +0200] "GET / HTTP/1.1" 304 - "http://www.jahreszeiten-hotels.de/Pages ... ements.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
212.112.240.29 - - [28/Jul/2006:17:11:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
217.245.118.155 - - [28/Jul/2006:17:11:08 +0200] "GET /Pages/BINZ/n_I/appartements.php HTTP/1.1" 404 1490 "http://www.google.de/search?sourceid=na ... BCgen+Binz" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
212.112.240.29 - - [28/Jul/2006:17:12:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:17:13:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:17:14:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:17:15:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:17:16:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
213.198.84.198 - - [28/Jul/2006:17:16:19 +0200] "GET /Pages/ZINGST/ HTTP/1.0" 404 1185 "-" "Mozilla/4.0 (compatible; MSIE 6.0; SaferSurf)"
207.46.98.71 - - [28/Jul/2006:17:16:27 +0200] "GET /pages/innerfs-Dateien/Buchung.htm HTTP/1.0" 404 1059 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
213.198.84.193 - - [28/Jul/2006:17:16:33 +0200] "GET /Pages/ZINGST/ HTTP/1.0" 404 1185 "-" "Mozilla/4.0 (compatible; MSIE 6.0; SaferSurf)"
80.171.165.50 - - [28/Jul/2006:17:16:39 +0200] "GET / HTTP/1.1" 200 207 "http://www.google.de/search?hl=de&q=hot ... rlin&meta=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
212.112.240.29 - - [28/Jul/2006:17:17:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
193.28.194.12 - - [28/Jul/2006:17:17:28 +0200] "GET / HTTP/1.1" 200 207 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; FunWebProducts; .NET CLR 1.1.4322; InfoPath.1)"
212.112.240.29 - - [28/Jul/2006:17:18:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:17:19:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:17:20:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
89.57.188.3 - - [28/Jul/2006:17:20:15 +0200] "GET /newsletter/2006/juli/special/Top.jpg HTTP/1.1" 404 1185 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
89.57.188.3 - - [28/Jul/2006:17:20:15 +0200] "GET /newsletter/2006/juli/special/Bottom.jpg HTTP/1.1" 404 1185 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
89.57.188.3 - - [28/Jul/2006:17:20:26 +0200] "GET /newsletter/2006/juni/newsletter/newsletter.jpg HTTP/1.1" 404 1185 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"



Sagt mir was ich noch ins Netz stellen kann.
Leider muss ich auch sagen das ich noch keinen guten Beitrag im Ganzen internet gefunden habe wie man bei so einer situation vorgehen mus um das problem nocheinaml im griff zu bekommen.

Ich hoffe die Admins können mir helfen die 1und1 Profis verweisen mich auf dieses forum.

Gruss
Aurang


Hier nocheinmal die apache2/error_log


[Fri Jul 28 17:20:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:20:15 2006] [error] [client 89.57.188.3] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:20:15 2006] [error] [client 89.57.188.3] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:20:26 2006] [error] [client 89.57.188.3] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:21:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:21:09 2006] [error] [client 20.138.20.231] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/Bilder
[Fri Jul 28 17:21:31 2006] [error] [client 20.138.20.231] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/Bilder
[Fri Jul 28 17:21:32 2006] [error] [client 20.138.20.231] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/Bilder
[Fri Jul 28 17:22:08 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:22:27 2006] [error] [client 217.245.118.155] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/Pages, referer: http://www.google.de/search?q=R%C3%BCge ... rt=10&sa=N
[Fri Jul 28 17:23:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:23:10 2006] [error] [client 20.138.20.231] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/Bilder
[Fri Jul 28 17:23:18 2006] [error] [client 211.132.53.165] File does not exist: /srv/www/vhosts/kudamm101.de/httpdocs/favicon.ico
[Fri Jul 28 17:24:08 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:25:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:26:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:27:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:27:56 2006] [error] [client 207.46.98.115] File does not exist: /srv/www/vhosts/jahreszeiten-hotel.de/httpdocs/Pages
[Fri Jul 28 17:28:08 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:29:08 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:30:08 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:31:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:32:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:33:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:34:08 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:34:23 2006] [error] [client 134.106.199.46] File does not exist: /srv/www/vhosts/villa-konzertgarten.de/httpdocs/favicon.ico
[Fri Jul 28 17:34:26 2006] [error] [client 80.134.82.200] File does not exist: /srv/www/vhosts/hotel-vier-jahreszeiten.de/httpdocs/favicon.ico
[Fri Jul 28 17:34:26 2006] [error] [client 80.134.82.200] File does not exist: /srv/www/vhosts/hotel-vier-jahreszeiten.de/httpdocs/favicon.ico
[Fri Jul 28 17:34:27 2006] [error] [client 80.134.82.200] File does not exist: /srv/www/vhosts/hotel-vier-jahreszeiten.de/httpdocs/favicon.ico
[Fri Jul 28 17:34:44 2006] [error] [client 207.46.98.115] File does not exist: /srv/www/vhosts/jahreszeiten-hotel.de/httpdocs/Pages
[Fri Jul 28 17:35:08 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:36:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:37:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:38:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:39:08 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:40:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:41:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:42:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:43:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:44:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:44:14 2006] [error] [client 80.140.92.32] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/Pages
[Fri Jul 28 17:44:15 2006] [error] [client 80.140.92.32] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/favicon.ico
[Fri Jul 28 17:44:42 2006] [error] [client 195.124.4.129] File does not exist: /srv/www/vhosts/altberlin.de/httpdocs/favicon.ico
[Fri Jul 28 17:44:44 2006] [error] [client 195.124.4.129] File does not exist: /srv/www/vhosts/altberlin.de/httpdocs/favicon.ico
[Fri Jul 28 17:45:08 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:45:30 2006] [error] [client 84.177.238.212] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/Pages
[Fri Jul 28 17:45:36 2006] [error] [client 195.93.60.34] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/images
[Fri Jul 28 17:45:39 2006] [error] [client 84.177.238.212] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/Pages
[Fri Jul 28 17:46:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:47:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:47:45 2006] [error] [client 195.177.254.27] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/Bilder
[Fri Jul 28 17:48:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:48:09 2006] [error] [client 195.93.60.7] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/Pages, referer: http://www.stone-ds.de/objectinfo.php?g ... 755E1B04FB
[Fri Jul 28 17:49:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:49:57 2006] [error] [client 65.54.188.67] File does not exist: /srv/www/vhosts/hotel-vier-jahreszeiten.de/httpdocs/Pages
[Fri Jul 28 17:50:08 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:51:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:52:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:53:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:54:08 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:55:08 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:56:08 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
Last edited by dilbar on 2006-07-28 17:59, edited 1 time in total.

elch_mg
Posts: 302
Joined: 2006-01-23 19:14
Location: 41063

Re: Mailserver wurde schon wieder gehackt!! :-(

Post by elch_mg » 2006-07-28 17:58

"Das ist zur Zeit so normal".

Am besten kündigst du deinen Server. Das hat 1&1 nicht besser verdient, und wer Spamassassin für eine Firewall hält...

dilbar
Posts: 6
Joined: 2006-03-09 22:39

Sorry ich denke das kann nicht richtig rüber!

Post by dilbar » 2006-07-28 18:03

Ich habe den Spamassein laufen jedoch soll ich laut 1und 1 diesen nicht anfassen da dieser fehler verursachen kann!
Und die firewall macht nur die wichtigsten ports auf wie 22 100 usw.

Gruss
Aurang

sledge0303
RSAC
Posts: 767
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: Sorry ich denke das kann nicht richtig rüber!

Post by sledge0303 » 2006-07-28 19:31

dilbar wrote:Ich habe den Spamassein laufen jedoch soll ich laut 1und 1 diesen nicht anfassen da dieser fehler verursachen kann!
Und die firewall macht nur die wichtigsten ports auf wie 22 100 usw.

Gruss
Aurang
Seit wann ist Spamassassin eine Firewall?
Du solltest dir mal lieber Gedanken machen welche Sicherheitssoftware man installieren kann. Eine Firewall, muss das unbedingt sein?
Nutze mal die SuFu und gebe mal mod_security, mod_evasive und ggf. denyhost ein... Da sind einige wertvolle Tipps zu finden

wgot
RSAC
Posts: 1707
Joined: 2003-07-06 02:03

Re: Mailserver wurde schon wieder gehackt!! :-(

Post by wgot » 2006-07-28 19:44

Hallo,
dilbar wrote:Der neue Server hat die neuste Plesk version
schlecht. Dieser Klicki-Bunti-Murks erweckt den falschen Eindruck, man könne damit einen Server administrieren.
und auch eine firewall
Egal welche und wie eingestellt, die nützt bei Deinem Problem nix. Genauer gesagt nützt sie bei keinem Problem was, allenfalls bei Schlaflosigkeit. :lol:
Der server wurde jetzt wieder gehackt und es wird massig spam über unseren server versandt.
Hacken und Spamversand sind zwei Dinge, die Angreifer haben meistens nur eines davon im Sinn.
die sagen mir das ist zurzeit normal
und die vielen Leute hier im Forum bei denen das nicht passiert - sind die nicht normal oder nicht bei 1+1? *SCNR* :oops:

Vom den Logs wäre ein größerer Auschnitt interessant, bitte nicht in's Forum kopieren sondern Downloadlink.

Läuft PHP als CGI oder Modul, ist allow_url_fopen und register_globals gesperrt? Welches dicke fette PHP-Paket ist installiert und wann wurde es das letzte Mal geupdated?

Gruß, Wolfgang

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: Mailserver wurde schon wieder gehackt!! :-(

Post by daemotron » 2006-07-28 19:52

Also noch mal Bestandsaufnahme:
- SpamAssassin prüft nur eingehende Mails und ergänzt den Mail-Header um eine Spamlevel-Bewertung. Die Mail wird weder verschoben noch gelöscht oder zurückgewiesen (zumindest in der Plesk-Standardkonfiguration)
- Die "Firewall" von 1&1 ist ein reiner Portblocker. Das Default-Ruleset ist allerdings für meinen Geschmack nicht restriktiv genug und muss auf jeden Fall angepasst werden - ansonsten kann man das Teil auch gleich ganz abschalten. Einzig sinnvolle Verwendung: Zugriffe auf Port 106 blocken, da lauscht poppassd drauf. Wenn man den von Hand umkonfiguriert, dass er nur noch an localhost gebunden ist, plättet Plesk nach kurzer Zeit die Konfiguration. Hurra...!
- Wenn Du nicht manuell an der qmail-Konfiguration rumgefummelt hast, kommt open relay nicht in Betracht

Somit bleiben für mich drei Möglichkeiten (geordnet nach Wahrscheinlichkeit):
1. PHP-Mail-Skript oder CGI, das nicht sorgfältig gecoded ist
2. Mail-User mit schwachem Passwort => wurde erraten
3. Einer Deiner Users ists selbst

Aus Deinen Logs kann ich jetzt ad hoc nicht viel schließen, zumal die access_log 'n Haufen 404er enthält. Ein Mailversand über Web-Formular kann aber nur hinter einem Aufruf stecken, der mit nem 300er Status oder (wahrscheinlicher) 200 beantwortet wurde. Also danach mal filtern...

Allerdings finde ich das dann doch sehr verdächtig:

Code: Select all

212.112.240.29 - - [28/Jul/2006:16:31:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1" 
Existiert diese Datei? Wenn ja, warum antwortet Dein Server mit 404?

[EDIT]Ach ja, ich vergaß - bei Plesk wird natürlich für jeden virtuellen Host eine eigene access_log geschrieben. Diese findest Du unter /srv/www/vhosts/<domain.tld>/statistics/logs/ - es sind die beiden Dateien access_log und access_log.processed - Du musst Dir jede einzelne davon vornehmen und nach verdächtigen Requests durchkämmen...

flo
RSAC
Posts: 2297
Joined: 2002-07-28 13:02
Location: Berlin

Re: Mailserver wurde schon wieder gehackt!! :-(

Post by flo » 2006-07-28 22:09

Ich weiß jetzt ehrlich gesagt nicht, wo die Aufregung herkommt - das sind doch alles 404er Fehler - oder habe ich vor lauter irrelevantem Zeug was verpaßt? Ich habe bei meinen Domains und Kunden festgestellt, daß bekannte Domains oder solche aus zusammengesetzten Wörtern mehr Spam und mehr eindeutige Zugriffe aufweisen - mehr als Last erzeugt das aber nicht. das muß er abkönnen.

Und wenn man dann natürlich schlechte Autoresponder, wenig UCE-Maßnahmen und/oder "*"-Postfächer einsetzt, ist man da - sorry - irgendwo auch selber schuld.

Und wenn da schon diese Anzahl von Postfächern drauf ist (web4p99), sollte man das, was da drauf läuft IMHO durchaus zu einem Profi geben können.

Grüße,

flo.

lord_pinhead
RSAC
Posts: 830
Joined: 2004-04-26 15:57

Re: Mailserver wurde schon wieder gehackt!! :-(

Post by lord_pinhead » 2006-07-29 10:05

Ich hoffe die Admins können mir helfen die 1und1 Profis verweisen mich auf dieses forum.
Ich würde sagen das wir 1und1 eine Rechnung schicken sollten, die tun sich das ja wirklich leicht -.-

Hast du Gästebücher, Foren oder Kontaktformulare auf der Kiste? Schätzungsweise ja, also würde ich die mal checken, Forensuche hilft.

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: Mailserver wurde schon wieder gehackt!! :-(

Post by daemotron » 2006-07-29 12:35

Zur Erinnerung, das ganze hier hat ne Vorgeschichte:
http://www.rootforum.org/forum/viewtopic.php?t=41512
Leider hat der OP offenbar nicht gelesen, was ihm dort geschrieben wurde. Damit ist für mich klar, dass es an einer der Webseiten liegen muss (und das erklärt auch den Log-Eintrag, den ich hervorgehoben hatte... auf dem alten Server war der tatsächlich so zu erreichen). Nichts für ungut, aber wer solche Lernresistenz an den Tag legt, dem sollte der Internetzugang komplett entzogen werden :twisted:

flo
RSAC
Posts: 2297
Joined: 2002-07-28 13:02
Location: Berlin

Re: Mailserver wurde schon wieder gehackt!! :-(

Post by flo » 2006-07-29 13:31

ich erinnere mich düster :-)

Schon in dem Post habe ich die Logfileauszüge - weil ungefiltert - nur überflogen.

flo.

caput
Posts: 48
Joined: 2005-06-08 02:06

Re: Mailserver wurde schon wieder gehackt!! :-(

Post by caput » 2006-07-29 13:47

Will 'nich mal jemand das Abuse Team von 1und1 mit den gewonnenen Daten füttern? Sonst wird das hier niemals enden. :twisted:

elch_mg
Posts: 302
Joined: 2006-01-23 19:14
Location: 41063

Re: Mailserver wurde schon wieder gehackt!! :-(

Post by elch_mg » 2006-07-29 13:56

Ich bin eher dafür, das Team von 1&1 aufzuhängen.

galapagos3
Posts: 14
Joined: 2004-03-30 01:47

SPAM

Post by galapagos3 » 2006-08-01 12:07

Ich denke dein Problem lieg am Code
212.112.240.29 - - [28/Jul/2006:16:31:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
Es kann auch passieren mit CGI oder PHP, besser gesagt in ein Kontaktformular der auf deine Webseite ist.

Diese Scripte werden über Webcrawler ausfindig gemacht und so missbraucht.

Mehr da zu bei Wikipedia http://en.wikipedia.org/wiki/Web_crawler oder
http://de.wikipedia.org/wiki/Webcrawler

z.B. mit einem Webcrawler
64.246.161.42 - - [16/Jul/2006:11:18:13 +0200] "GET /robots.txt HTTP/1.0" 200 278 "http://www.whois.sc/" "SurveyBot (Whois Source)"
64.246.161.42 - - [16/Jul/2006:11:18:13 +0200] "GET / HTTP/1.1" 206 5962 "http://www.whois.sc/www.ergend-eine-domein.org" "SurveyBot/ (Whois Source)"
und
64.246.161.42 - - [19/Jul/2006:12:00:44 +0200] "POST /v_mailer.php HTTP/1.1" 200 174 "http://www.ergend-eine-domein.org/" "-"


Diese v_mailer.php wird von einem anderen Server oder Client mit PHP abgerufen, verknüpft mit einem PHP Mailsystem und so die Spams verschickt.

Besser gesagt wird von einem anderen Server oder Client mit PHP funktion abgerufen, verknüpft und dann mit einem PHP Mailsystem die Spams verschickt.


Sorry für mein Deutsch