Mailserver wurde schon wieder gehackt!! :-(

[dilbar]

Hallo Leute,

ich brauche dringend eure Hilfe.
Ich habe voreiniger Zeit spamprobleme mit meinem Server gehabt.
1Und 1 hatte mir geraten auf einen andren Server umzuziehen und alle daten mit zu nehmen. Das habe ich auch gemacht.
Der neue Server hat die neuste Plesk version und auch eine firewall, Spamassin. Leider hat die ganze sicherheit die ich eingebaut hatte nicht gebracht. Der server wurde jetzt wieder gehackt und es wird massig spam über unseren server versandt.
Ich habe jetzt nochmals mit 1und1 gesprochen die sagen mir das ist zurzeit normal und man kan da auch nix machen ausser alles Platt machen und von neuem alles anlegen.

Ich kann mir das nicht vorstellen.

Ich habe im forum einen sehr interesanten beitrag gelesen und denke das ich das Selbe problem habe.

http://www.rootforum.org/forum/viewtopi ... me&start=0

Jedoch finde ich alleine keine Lösung und benötige eure hilfe.
Ich möchte ausdrücklich darauf hinweisen das wenn jemand nicht helfen kann auch seine dummen Komentare lassen kann wiezu beispiel.
Schalt deinen Server ab oder lern was dazu).

So die folgenden infos kann ich euch ins netz stellen.

Das ist der Maillog
Jul 28 16:37:41 s15221337 qmail: 1154097461.511467 starting delivery 113212: msg 1155506 to remote nancy_mcdaniel56@yahoo.com
Jul 28 16:37:41 s15221337 qmail: 1154097461.511737 status: local 0/10 remote 20/20
Jul 28 16:37:47 s15221337 pop3d: Connection, ip=[82.100.247.217]
Jul 28 16:37:47 s15221337 pop3d: IMAP connect from @ [82.100.247.217]INFO: LOGIN, user=web4p97, ip=[82.100.247.217]
Jul 28 16:37:47 s15221337 pop3d: 1154097467.800664 LOGOUT, user=web4p97, ip=[82.100.247.217], top=0, retr=0, time=0, rcvd=18, sent=47, maildir=/var/qmail/mailnames/jahreszeiten-hotels.de/web4p97/Maildir
Jul 28 16:37:50 s15221337 pop3d: Connection, ip=[82.100.247.217]
Jul 28 16:37:50 s15221337 pop3d: IMAP connect from @ [82.100.247.217]INFO: LOGIN, user=web4p73, ip=[82.100.247.217]
Jul 28 16:37:50 s15221337 pop3d: 1154097470.912317 LOGOUT, user=web4p73, ip=[82.100.247.217], top=0, retr=0, time=0, rcvd=12, sent=39, maildir=/var/qmail/mailnames/jahreszeiten-hotels.de/web4p73/Maildir
Jul 28 16:37:52 s15221337 qmail: 1154097472.240330 delivery 113212: success: 4.79.181.14_accepted_message./Remote_host_said:_250_ok_dirdel/
Jul 28 16:37:52 s15221337 qmail: 1154097472.240507 status: local 0/10 remote 19/20
Jul 28 16:37:52 s15221337 qmail: 1154097472.240589 end msg 1155506
Jul 28 16:37:52 s15221337 qmail: 1154097472.268598 starting delivery 113213: msg 1155508 to remote nancy_newby@yahoo.com
Jul 28 16:37:52 s15221337 qmail: 1154097472.268757 status: local 0/10 remote 20/20
Jul 28 16:37:58 s15221337 relaylock: /var/qmail/bin/relaylock: mail from 83.138.65.36:35306 (rpsiii.han-solo.net)
Jul 28 16:37:58 s15221337 qmail: 1154097478.963387 new msg 1086156
Jul 28 16:37:58 s15221337 qmail: 1154097478.963553 info msg 1086156: bytes 21059 from <j.henning@nordmann.de> qp 10326 uid 2020
Jul 28 16:37:58 s15221337 qmail: 1154097478.978885 starting delivery 113214: msg 1086156 to local 36-vs@vier-jahreszeiten.de
Jul 28 16:37:58 s15221337 qmail: 1154097478.979080 status: local 1/10 remote 20/20
Jul 28 16:37:58 s15221337 qmail: 1154097478.991452 new msg 1111492
Jul 28 16:37:58 s15221337 qmail: 1154097478.991614 info msg 1111492: bytes 21171 from <j.henning@nordmann.de> qp 10329 uid 110
Jul 28 16:37:59 s15221337 qmail: 1154097479.007203 starting delivery 113215: msg 1111492 to local 36-web4p55@vier-jahreszeiten.de
Jul 28 16:37:59 s15221337 qmail: 1154097479.007383 status: local 2/10 remote 20/20
Jul 28 16:37:59 s15221337 qmail: 1154097479.007463 delivery 113214: success: did_0+1+1/qp_10329/
Jul 28 16:37:59 s15221337 qmail: 1154097479.007553 status: local 1/10 remote 20/20
Jul 28 16:37:59 s15221337 qmail: 1154097479.007629 end msg 1086156
Jul 28 16:37:59 s15221337 qmail: 1154097479.015344 delivery 113215: success: did_1+0+1/
Jul 28 16:37:59 s15221337 qmail: 1154097479.015507 status: local 0/10 remote 20/20
Jul 28 16:37:59 s15221337 qmail: 1154097479.015586 end msg 1111492
Jul 28 16:38:02 s15221337 relaylock: /var/qmail/bin/relaylock: mail from 217.72.192.227:38030 (fmmailgate02.web.de)
Jul 28 16:38:02 s15221337 qmail: 1154097482.771678 new msg 1086156
Jul 28 16:38:02 s15221337 qmail: 1154097482.771840 info msg 1086156: bytes 3198 from <k_sheridaneg@geocities.com> qp 10336 uid 2020
Jul 28 16:38:02 s15221337 qmail: 1154097482.787037 starting delivery 113216: msg 1086156 to local 36-aa@vier-jahreszeiten.de
Jul 28 16:38:02 s15221337 qmail: 1154097482.787201 status: local 1/10 remote 20/20
Jul 28 16:38:02 s15221337 qmail: 1154097482.799579 new msg 1111492
Jul 28 16:38:02 s15221337 qmail: 1154097482.799737 info msg 1111492: bytes 3310 from <k_sheridaneg@geocities.com> qp 10339 uid 110
Jul 28 16:38:02 s15221337 qmail: 1154097482.815480 starting delivery 113217: msg 1111492 to local 24-web4p79@jahreszeiten-hotels.de
Jul 28 16:38:02 s15221337 qmail: 1154097482.815676 status: local 2/10 remote 20/20
Jul 28 16:38:02 s15221337 qmail: 1154097482.815756 delivery 113216: success: did_0+1+1/qp_10339/
Jul 28 16:38:02 s15221337 qmail: 1154097482.815846 status: local 1/10 remote 20/20
Jul 28 16:38:02 s15221337 qmail: 1154097482.815931 end msg 1086156
Jul 28 16:38:02 s15221337 qmail: 1154097482.823719 delivery 113217: success: did_1+0+1/
Jul 28 16:38:02 s15221337 qmail: 1154097482.823880 status: local 0/10 remote 20/20
Jul 28 16:38:02 s15221337 qmail: 1154097482.823969 end msg 1111492

Hier ist die Accesslog
213.222.11.23 - - [28/Jul/2006:15:44:47 +0200] "GET / HTTP/1.0" 200 205 "-" "Mozilla/2.0 (compatible; MSIE 3.0B; Windows NT)"
212.112.240.29 - - [28/Jul/2006:15:45:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:15:46:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
195.93.60.99 - - [28/Jul/2006:15:46:48 +0200] "GET /Pages/BINZ/n_I/appartements.php HTTP/1.1" 404 1436 "http://sucheaol.aol.de/suche/search.jsp ... r%FCgen%29" "Mozilla/4.0 (compatible; MSIE 6.0; AOL 9.0; Windows NT 5.1; SV1)"
212.112.240.29 - - [28/Jul/2006:15:47:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
195.177.254.27 - - [28/Jul/2006:15:47:15 +0200] "GET /Bilder/vjzlogomap24.gif HTTP/1.1" 404 1061 "-" "Map24 CConnect v2.1"
195.177.254.27 - - [28/Jul/2006:15:47:15 +0200] "GET /Bilder/vjzlogomap24.gif HTTP/1.1" 404 1061 "-" "Map24 CConnect v2.1"
212.112.240.29 - - [28/Jul/2006:15:48:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
84.133.93.102 - - [28/Jul/2006:15:48:12 +0200] "GET / HTTP/1.1" 200 223 "http://www.google.de/search?hl=de&q=Hot ... %3Dlang_de" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
212.112.240.29 - - [28/Jul/2006:15:49:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
84.135.189.13 - - [28/Jul/2006:15:50:03 +0200] "GET /Pages/BINZ/n_I/appartements.php HTTP/1.1" 404 1466 "http://www.google.com/search?client=saf ... 8&oe=UTF-8" "Mozilla/5.0 (Macintosh; U; PPC Mac OS X; de-de) AppleWebKit/418 (KHTML, like Gecko) Safari/417.9.3"
84.135.189.13 - - [28/Jul/2006:15:50:03 +0200] "GET /favicon.ico HTTP/1.1" 404 1185 "-" "Mozilla/5.0 (Macintosh; U; PPC Mac OS X; de-de) AppleWebKit/418 (KHTML, like Gecko) Safari/417.9.3"
212.112.240.29 - - [28/Jul/2006:15:50:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:15:51:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
207.46.98.113 - - [28/Jul/2006:15:52:00 +0200] "GET /robots.txt HTTP/1.0" 404 1060 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
207.46.98.113 - - [28/Jul/2006:15:52:01 +0200] "GET /Pages/BINZ/n_K/galjahres.php HTTP/1.0" 404 1060 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
212.112.240.29 - - [28/Jul/2006:15:52:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:15:53:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:15:54:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:15:55:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:15:56:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
65.54.188.98 - - [28/Jul/2006:15:56:42 +0200] "GET /robots.txt HTTP/1.0" 404 1033 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
65.54.188.98 - - [28/Jul/2006:15:56:43 +0200] "GET /eng/tagungen/tagungen_technik.htm HTTP/1.0" 404 1033 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
65.54.188.98 - - [28/Jul/2006:15:56:43 +0200] "GET /eng/happenings/press.pdf HTTP/1.0" 404 1033 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
212.112.240.29 - - [28/Jul/2006:15:57:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
65.54.188.68 - - [28/Jul/2006:15:57:47 +0200] "GET /robots.txt HTTP/1.0" 404 1065 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
65.54.188.68 - - [28/Jul/2006:15:57:47 +0200] "GET /Pages/KUEHLUNGSBORN/n_I/gutscheine/index.php HTTP/1.0" 404 1065 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
212.112.240.29 - - [28/Jul/2006:15:58:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:15:59:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:00:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:01:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:02:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:03:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
195.177.254.27 - - [28/Jul/2006:16:03:32 +0200] "GET /Bilder/vjzlogomap24.gif HTTP/1.1" 404 1061 "-" "Map24 CConnect v2.1"
195.177.254.27 - - [28/Jul/2006:16:03:32 +0200] "GET /Bilder/vjzlogomap24.gif HTTP/1.1" 404 1061 "-" "Map24 CConnect v2.1"
195.177.254.27 - - [28/Jul/2006:16:03:49 +0200] "GET /Bilder/vjzlogomap24.gif HTTP/1.1" 404 1061 "-" "Map24 CConnect v2.1"
195.177.254.27 - - [28/Jul/2006:16:03:49 +0200] "GET /Bilder/vjzlogomap24.gif HTTP/1.1" 404 1061 "-" "Map24 CConnect v2.1"
212.112.240.29 - - [28/Jul/2006:16:04:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:05:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
207.46.98.88 - - [28/Jul/2006:16:05:27 +0200] "GET /Pages/ZINGST/n_I/anfahrt.php HTTP/1.0" 404 1061 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
207.46.98.88 - - [28/Jul/2006:16:05:32 +0200] "GET /Pages/BINZ/n_V/AufeinBlick.php HTTP/1.0" 404 1061 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
212.112.240.29 - - [28/Jul/2006:16:06:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:07:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:08:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:09:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:10:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
80.171.44.85 - - [28/Jul/2006:16:10:37 +0200] "GET /Pages/ZINGST/index.php HTTP/1.1" 404 1400 "http://www.google.de/search?hl=de&q=Hot ... %3Dlang_de" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; (R1 1.3))"
212.112.240.29 - - [28/Jul/2006:16:11:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:12:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
172.176.103.38 - - [28/Jul/2006:16:13:03 +0200] "GET /Pages/BINZ/n_I/appartements.php HTTP/1.1" 404 1464 "http://www.google.de/search?hl=de&q=bin ... uche&meta=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Media Center PC 3.0; .NET CLR 1.0.3705)"
212.112.240.29 - - [28/Jul/2006:16:13:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
84.133.93.102 - - [28/Jul/2006:16:13:37 +0200] "GET / HTTP/1.1" 200 219 "http://www.belocal.de/artikel/9083,26,5 ... nde,1.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
84.56.91.143 - - [28/Jul/2006:16:13:39 +0200] "GET /Pages/ZINGST/index.php HTTP/1.1" 404 1185 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Arcor 5.005; HbTools 4.8.0)"
84.56.91.143 - - [28/Jul/2006:16:13:49 +0200] "GET /Pages/ZINGST/index.php HTTP/1.1" 404 1185 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Arcor 5.005; HbTools 4.8.0)"
84.56.91.143 - - [28/Jul/2006:16:13:51 +0200] "GET /Pages/ZINGST/index.php HTTP/1.1" 404 1185 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Arcor 5.005; HbTools 4.8.0)"
212.112.240.29 - - [28/Jul/2006:16:14:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
84.56.91.143 - - [28/Jul/2006:16:14:21 +0200] "GET /Pages/ZINGST/index.php HTTP/1.1" 404 1185 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Arcor 5.005; HbTools 4.8.0)"
212.112.240.29 - - [28/Jul/2006:16:15:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
82.207.216.47 - - [28/Jul/2006:16:15:40 +0200] "GET /Pages/ZINGST/ HTTP/1.1" 404 1466 "http://www.stone-ds.de/objectinfo.php?g ... 755E1B04FB" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
217.227.219.109 - - [28/Jul/2006:16:15:43 +0200] "GET /Pages/KUEHLUNGSBORN/index.php HTTP/1.1" 404 1392 "http://www.hoteldatenbank.de/hotel/Jahr ... sborn.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"
212.112.240.29 - - [28/Jul/2006:16:16:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:17:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:18:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
193.47.80.45 - - [28/Jul/2006:16:18:59 +0200] "GET /robots.txt HTTP/1.1" 404 1033 "-" "Exabot/2.0"
193.47.80.45 - - [28/Jul/2006:16:18:59 +0200] "GET / HTTP/1.1" 304 - "-" "Exabot/2.0"
212.112.240.29 - - [28/Jul/2006:16:19:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
84.187.89.65 - - [28/Jul/2006:16:19:35 +0200] "GET /Pages/AG/n_I/lastminutespecial.php HTTP/1.1" 404 1408 "http://www.google.com/search?q=Vier+Jah ... rt=70&sa=N" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
84.187.89.65 - - [28/Jul/2006:16:19:45 +0200] "GET / HTTP/1.1" 200 219 "http://www.jahreszeiten-hotels.de/Pages ... pecial.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
212.112.240.29 - - [28/Jul/2006:16:20:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:21:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:22:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:23:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:24:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:25:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
84.133.95.144 - - [28/Jul/2006:16:25:15 +0200] "GET / HTTP/1.1" 200 223 "http://www.google.de/search?sourceid=na ... m%C3%BCnde" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
64.12.186.231 - - [28/Jul/2006:16:25:21 +0200] "GET /hotelfilme/KUEHLUNGSBORN.asf HTTP/1.1" 404 1198 "http://www.singingfish.com" "asterias/2.0"
64.12.186.231 - - [28/Jul/2006:16:25:21 +0200] "GET /hotelfilme/KUEHLUNGSBORN.asf HTTP/1.1" 404 1061 "-" "asterias/2.0"
84.135.189.13 - - [28/Jul/2006:16:26:00 +0200] "GET /favicon.ico HTTP/1.1" 404 1185 "-" "Mozilla/5.0 (Macintosh; U; PPC Mac OS X; de-de) AppleWebKit/418 (KHTML, like Gecko) Safari/417.9.3"
212.112.240.29 - - [28/Jul/2006:16:26:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
217.184.231.97 - - [28/Jul/2006:16:27:03 +0200] "GET / HTTP/1.1" 200 223 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; FDM; .NET CLR 1.1.4322)"
212.112.240.29 - - [28/Jul/2006:16:27:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
66.249.65.238 - - [28/Jul/2006:16:27:29 +0200] "GET /robots.txt HTTP/1.1" 404 1062 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.65.238 - - [28/Jul/2006:16:27:29 +0200] "GET /Pages/BINZ/n_I/Content/zimmer_Links.php HTTP/1.1" 404 1062 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
212.112.240.29 - - [28/Jul/2006:16:28:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:29:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
84.183.208.155 - - [28/Jul/2006:16:29:26 +0200] "GET / HTTP/1.1" 304 - "http://www.kuehlungsborn.de/frame.php?lid=30,32" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
212.112.240.29 - - [28/Jul/2006:16:30:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:31:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
82.198.194.1 - - [28/Jul/2006:16:31:12 +0200] "GET /Pages/AG/n_I/lastminutespecial.php HTTP/1.0" 404 1438 "http://www.google.de/search?hl=de&q=hot ... born&meta=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"
195.93.60.99 - - [28/Jul/2006:16:31:48 +0200] "GET /Pages/BINZ/n_I/appartements.php HTTP/1.1" 404 1392 "http://sucheaol.aol.de/suche/web/search ... bad%20binz" "Mozilla/4.0 (compatible; MSIE 6.0; AOL 9.0; Windows 98)"
84.135.189.13 - - [28/Jul/2006:16:32:04 +0200] "GET /favicon.ico HTTP/1.1" 404 1185 "-" "Mozilla/5.0 (Macintosh; U; PPC Mac OS X; de-de) AppleWebKit/418 (KHTML, like Gecko) Safari/417.9.3"
212.112.240.29 - - [28/Jul/2006:16:32:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:33:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
82.82.107.3 - - [28/Jul/2006:16:33:34 +0200] "GET /newsletter/2006/juli/special/Bottom.jpg HTTP/1.1" 404 1468 "http://office1.freenet.de/messages/mail ... =INBOX&pr=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
82.82.107.3 - - [28/Jul/2006:16:33:34 +0200] "GET /newsletter/2006/juli/special/Top.jpg HTTP/1.1" 404 1468 "http://office1.freenet.de/messages/mail ... =INBOX&pr=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
212.112.240.29 - - [28/Jul/2006:16:34:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
82.198.194.1 - - [28/Jul/2006:16:34:11 +0200] "GET /images/hintergrund/bild-01_1200.jpg HTTP/1.0" 404 1181 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"
207.46.98.72 - - [28/Jul/2006:16:34:58 +0200] "GET /robots.txt HTTP/1.0" 404 1059 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
207.46.98.72 - - [28/Jul/2006:16:34:58 +0200] "GET /pages/innerfs-Dateien/Anfahrt.htm HTTP/1.0" 404 1059 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
212.112.240.29 - - [28/Jul/2006:16:35:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
80.135.166.218 - - [28/Jul/2006:16:35:26 +0200] "GET / HTTP/1.1" 200 223 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
212.112.240.29 - - [28/Jul/2006:16:36:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
207.46.98.115 - - [28/Jul/2006:16:36:26 +0200] "GET /robots.txt HTTP/1.0" 404 1060 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
207.46.98.115 - - [28/Jul/2006:16:36:27 +0200] "GET /Pages/ZINGST/n_K/m_kultur.php HTTP/1.0" 404 1060 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
212.112.240.29 - - [28/Jul/2006:16:37:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
213.180.167.174 - - [28/Jul/2006:16:37:25 +0200] "GET / HTTP/1.1" 200 218 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 4.0; .NET CLR 1.1.4322)"
212.112.240.29 - - [28/Jul/2006:16:38:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
62.206.42.58 - - [28/Jul/2006:16:38:52 +0200] "GET /Pages/KUEHLUNGSBORN/index.php HTTP/1.0" 404 1185 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0; (R1 1.5))"
62.206.42.58 - - [28/Jul/2006:16:38:58 +0200] "GET /Pages/KUEHLUNGSBORN/index.php HTTP/1.0" 404 1185 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0; (R1 1.5))"
62.206.42.58 - - [28/Jul/2006:16:39:00 +0200] "GET / HTTP/1.0" 200 219 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0; (R1 1.5))"
212.112.240.29 - - [28/Jul/2006:16:39:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:40:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:41:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:42:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:43:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:44:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
207.46.98.115 - - [28/Jul/2006:16:44:39 +0200] "GET /Pages/ZINGST/n_I/zimmer.php HTTP/1.0" 404 1060 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
212.112.240.29 - - [28/Jul/2006:16:45:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:46:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:47:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
217.184.146.124 - - [28/Jul/2006:16:47:37 +0200] "GET /indexvjz.html HTTP/1.1" 404 1350 "http://www.binz-hotels.de/hotels/index.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
212.112.240.29 - - [28/Jul/2006:16:48:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:49:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:50:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
65.54.188.97 - - [28/Jul/2006:16:50:11 +0200] "GET /robots.txt HTTP/1.0" 404 1033 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
65.54.188.97 - - [28/Jul/2006:16:50:11 +0200] "GET /eng/tagungen/tagungen.htm HTTP/1.0" 404 1033 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
217.91.32.175 - - [28/Jul/2006:16:50:28 +0200] "GET / HTTP/1.1" 200 223 "http://www.google.de/search?hl=de&q=hot ... uche&meta=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
212.112.240.29 - - [28/Jul/2006:16:51:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
217.91.32.175 - - [28/Jul/2006:16:51:47 +0200] "GET / HTTP/1.1" 304 - "http://www.google.de/search?hl=de&q=hot ... uche&meta=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
83.236.139.42 - - [28/Jul/2006:16:52:06 +0200] "GET /demiurg/Contentlisten/Pics/390.jpg HTTP/1.1" 404 1061 "-" "Mozilla/4.0 (compatible;)"
212.112.240.29 - - [28/Jul/2006:16:52:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
217.91.32.175 - - [28/Jul/2006:16:52:19 +0200] "GET / HTTP/1.1" 304 - "http://www.google.de/search?hl=de&q=hot ... uche&meta=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
212.112.240.29 - - [28/Jul/2006:16:53:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:54:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:55:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
72.30.128.216 - - [28/Jul/2006:16:55:50 +0200] "GET /robots.txt HTTP/1.0" 404 1065 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
212.112.240.29 - - [28/Jul/2006:16:56:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
65.54.188.19 - - [28/Jul/2006:16:56:51 +0200] "GET /robots.txt HTTP/1.0" 404 1043 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
65.54.188.19 - - [28/Jul/2006:16:56:51 +0200] "GET /en/onlinebuchung_head.htm HTTP/1.0" 404 1043 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
212.112.240.29 - - [28/Jul/2006:16:57:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
72.30.103.87 - - [28/Jul/2006:16:57:23 +0200] "GET /main/binz HTTP/1.0" 404 1065 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
217.237.218.52 - - [28/Jul/2006:16:57:54 +0200] "GET /Pages/BINZ/n_I/appartements.php HTTP/1.1" 404 1185 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)"
212.112.240.29 - - [28/Jul/2006:16:58:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:16:59:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:17:00:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
82.83.244.142 - - [28/Jul/2006:17:00:41 +0200] "GET /Pages/BINZ/n_I/appartements.php HTTP/1.1" 404 1550 "http://www.google.de/search?hs=Qj8&hl=d ... uche&meta=" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.0.4) Gecko/20060508 Firefox/1.5.0.4"
212.112.240.29 - - [28/Jul/2006:17:01:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:17:02:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
84.153.36.170 - - [28/Jul/2006:17:02:41 +0200] "GET / HTTP/1.1" 200 207 "http://www.google.de/search?hl=de&q=hot ... rlin&meta=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
212.112.240.29 - - [28/Jul/2006:17:03:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
217.245.118.155 - - [28/Jul/2006:17:03:18 +0200] "GET /Pages/BINZ/n_I/appartements.php HTTP/1.1" 404 1490 "http://www.google.de/search?sourceid=na ... BCgen+Binz" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
217.245.118.155 - - [28/Jul/2006:17:03:35 +0200] "GET / HTTP/1.1" 200 219 "http://www.jahreszeiten-hotels.de/Pages ... ements.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
207.46.98.71 - - [28/Jul/2006:17:03:56 +0200] "GET /robots.txt HTTP/1.0" 404 1059 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
207.46.98.71 - - [28/Jul/2006:17:03:56 +0200] "GET /pages/innerfs-Dateien/Lage.htm HTTP/1.0" 404 1059 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
212.112.240.29 - - [28/Jul/2006:17:04:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:17:05:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:17:06:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
207.46.98.112 - - [28/Jul/2006:17:06:26 +0200] "GET /robots.txt HTTP/1.0" 404 1060 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
207.46.98.112 - - [28/Jul/2006:17:06:26 +0200] "GET /Pages/ZINGST/n_G/m_genuss.php HTTP/1.0" 404 1060 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
212.112.240.29 - - [28/Jul/2006:17:07:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:17:08:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
195.177.254.27 - - [28/Jul/2006:17:08:22 +0200] "GET /Bilder/vjzlogomap24.gif HTTP/1.1" 404 1061 "-" "Map24 CConnect v2.1"
195.177.254.27 - - [28/Jul/2006:17:08:22 +0200] "GET /Bilder/vjzlogomap24.gif HTTP/1.1" 404 1061 "-" "Map24 CConnect v2.1"
212.112.240.29 - - [28/Jul/2006:17:09:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
207.46.98.112 - - [28/Jul/2006:17:09:08 +0200] "GET /Pages/ZINGST/n_I/bankett.php HTTP/1.0" 404 1060 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
84.180.169.36 - - [28/Jul/2006:17:09:16 +0200] "GET / HTTP/1.1" 200 223 "http://www.google.de/search?hl=de&q=Vie ... iten&meta=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
212.112.240.29 - - [28/Jul/2006:17:10:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
217.245.118.155 - - [28/Jul/2006:17:11:00 +0200] "GET / HTTP/1.1" 304 - "http://www.jahreszeiten-hotels.de/Pages ... ements.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
212.112.240.29 - - [28/Jul/2006:17:11:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
217.245.118.155 - - [28/Jul/2006:17:11:08 +0200] "GET /Pages/BINZ/n_I/appartements.php HTTP/1.1" 404 1490 "http://www.google.de/search?sourceid=na ... BCgen+Binz" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
212.112.240.29 - - [28/Jul/2006:17:12:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:17:13:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:17:14:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:17:15:08 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:17:16:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
213.198.84.198 - - [28/Jul/2006:17:16:19 +0200] "GET /Pages/ZINGST/ HTTP/1.0" 404 1185 "-" "Mozilla/4.0 (compatible; MSIE 6.0; SaferSurf)"
207.46.98.71 - - [28/Jul/2006:17:16:27 +0200] "GET /pages/innerfs-Dateien/Buchung.htm HTTP/1.0" 404 1059 "-" "msnbot/1.0 (+http://search.msn.com/msnbot.htm)"
213.198.84.193 - - [28/Jul/2006:17:16:33 +0200] "GET /Pages/ZINGST/ HTTP/1.0" 404 1185 "-" "Mozilla/4.0 (compatible; MSIE 6.0; SaferSurf)"
80.171.165.50 - - [28/Jul/2006:17:16:39 +0200] "GET / HTTP/1.1" 200 207 "http://www.google.de/search?hl=de&q=hot ... rlin&meta=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
212.112.240.29 - - [28/Jul/2006:17:17:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
193.28.194.12 - - [28/Jul/2006:17:17:28 +0200] "GET / HTTP/1.1" 200 207 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; FunWebProducts; .NET CLR 1.1.4322; InfoPath.1)"
212.112.240.29 - - [28/Jul/2006:17:18:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:17:19:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
212.112.240.29 - - [28/Jul/2006:17:20:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"
89.57.188.3 - - [28/Jul/2006:17:20:15 +0200] "GET /newsletter/2006/juli/special/Top.jpg HTTP/1.1" 404 1185 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
89.57.188.3 - - [28/Jul/2006:17:20:15 +0200] "GET /newsletter/2006/juli/special/Bottom.jpg HTTP/1.1" 404 1185 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
89.57.188.3 - - [28/Jul/2006:17:20:26 +0200] "GET /newsletter/2006/juni/newsletter/newsletter.jpg HTTP/1.1" 404 1185 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"


Sagt mir was ich noch ins Netz stellen kann.
Leider muss ich auch sagen das ich noch keinen guten Beitrag im Ganzen internet gefunden habe wie man bei so einer situation vorgehen mus um das problem nocheinaml im griff zu bekommen.

Ich hoffe die Admins können mir helfen die 1und1 Profis verweisen mich auf dieses forum.

Gruss
Aurang


Hier nocheinmal die apache2/error_log

[Fri Jul 28 17:20:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:20:15 2006] [error] [client 89.57.188.3] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:20:15 2006] [error] [client 89.57.188.3] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:20:26 2006] [error] [client 89.57.188.3] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:21:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:21:09 2006] [error] [client 20.138.20.231] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/Bilder
[Fri Jul 28 17:21:31 2006] [error] [client 20.138.20.231] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/Bilder
[Fri Jul 28 17:21:32 2006] [error] [client 20.138.20.231] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/Bilder
[Fri Jul 28 17:22:08 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:22:27 2006] [error] [client 217.245.118.155] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/Pages, referer: http://www.google.de/search?q=R%C3%BCge ... rt=10&sa=N
[Fri Jul 28 17:23:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:23:10 2006] [error] [client 20.138.20.231] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/Bilder
[Fri Jul 28 17:23:18 2006] [error] [client 211.132.53.165] File does not exist: /srv/www/vhosts/kudamm101.de/httpdocs/favicon.ico
[Fri Jul 28 17:24:08 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:25:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:26:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:27:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:27:56 2006] [error] [client 207.46.98.115] File does not exist: /srv/www/vhosts/jahreszeiten-hotel.de/httpdocs/Pages
[Fri Jul 28 17:28:08 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:29:08 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:30:08 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:31:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:32:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:33:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:34:08 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:34:23 2006] [error] [client 134.106.199.46] File does not exist: /srv/www/vhosts/villa-konzertgarten.de/httpdocs/favicon.ico
[Fri Jul 28 17:34:26 2006] [error] [client 80.134.82.200] File does not exist: /srv/www/vhosts/hotel-vier-jahreszeiten.de/httpdocs/favicon.ico
[Fri Jul 28 17:34:26 2006] [error] [client 80.134.82.200] File does not exist: /srv/www/vhosts/hotel-vier-jahreszeiten.de/httpdocs/favicon.ico
[Fri Jul 28 17:34:27 2006] [error] [client 80.134.82.200] File does not exist: /srv/www/vhosts/hotel-vier-jahreszeiten.de/httpdocs/favicon.ico
[Fri Jul 28 17:34:44 2006] [error] [client 207.46.98.115] File does not exist: /srv/www/vhosts/jahreszeiten-hotel.de/httpdocs/Pages
[Fri Jul 28 17:35:08 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:36:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:37:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:38:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:39:08 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:40:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:41:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:42:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:43:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:44:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:44:14 2006] [error] [client 80.140.92.32] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/Pages
[Fri Jul 28 17:44:15 2006] [error] [client 80.140.92.32] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/favicon.ico
[Fri Jul 28 17:44:42 2006] [error] [client 195.124.4.129] File does not exist: /srv/www/vhosts/altberlin.de/httpdocs/favicon.ico
[Fri Jul 28 17:44:44 2006] [error] [client 195.124.4.129] File does not exist: /srv/www/vhosts/altberlin.de/httpdocs/favicon.ico
[Fri Jul 28 17:45:08 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:45:30 2006] [error] [client 84.177.238.212] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/Pages
[Fri Jul 28 17:45:36 2006] [error] [client 195.93.60.34] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/images
[Fri Jul 28 17:45:39 2006] [error] [client 84.177.238.212] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/Pages
[Fri Jul 28 17:46:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:47:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:47:45 2006] [error] [client 195.177.254.27] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/Bilder
[Fri Jul 28 17:48:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:48:09 2006] [error] [client 195.93.60.7] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/Pages, referer: http://www.stone-ds.de/objectinfo.php?g ... 755E1B04FB
[Fri Jul 28 17:49:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:49:57 2006] [error] [client 65.54.188.67] File does not exist: /srv/www/vhosts/hotel-vier-jahreszeiten.de/httpdocs/Pages
[Fri Jul 28 17:50:08 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:51:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:52:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:53:07 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:54:08 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:55:08 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter
[Fri Jul 28 17:56:08 2006] [error] [client 212.112.240.29] File does not exist: /srv/www/vhosts/jahreszeiten-hotels.de/httpdocs/newsletter

[elch_mg]

"Das ist zur Zeit so normal".

Am besten kündigst du deinen Server. Das hat 1&1 nicht besser verdient, und wer Spamassassin für eine Firewall hält...

[dilbar]

Ich habe den Spamassein laufen jedoch soll ich laut 1und 1 diesen nicht anfassen da dieser fehler verursachen kann!
Und die firewall macht nur die wichtigsten ports auf wie 22 100 usw.

Gruss
Aurang

[sledge0303]

Ich habe den Spamassein laufen jedoch soll ich laut 1und 1 diesen nicht anfassen da dieser fehler verursachen kann!
Und die firewall macht nur die wichtigsten ports auf wie 22 100 usw.

Gruss
Aurang

Seit wann ist Spamassassin eine Firewall?
Du solltest dir mal lieber Gedanken machen welche Sicherheitssoftware man installieren kann. Eine Firewall, muss das unbedingt sein?
Nutze mal die SuFu und gebe mal mod_security, mod_evasive und ggf. denyhost ein... Da sind einige wertvolle Tipps zu finden

[wgot]

Hallo,

Der neue Server hat die neuste Plesk version

schlecht. Dieser Klicki-Bunti-Murks erweckt den falschen Eindruck, man könne damit einen Server administrieren.

und auch eine firewall

Egal welche und wie eingestellt, die nützt bei Deinem Problem nix. Genauer gesagt nützt sie bei keinem Problem was, allenfalls bei Schlaflosigkeit. :lol:

Der server wurde jetzt wieder gehackt und es wird massig spam über unseren server versandt.

Hacken und Spamversand sind zwei Dinge, die Angreifer haben meistens nur eines davon im Sinn.

die sagen mir das ist zurzeit normal

und die vielen Leute hier im Forum bei denen das nicht passiert - sind die nicht normal oder nicht bei 1+1? *SCNR* :oops:

Vom den Logs wäre ein größerer Auschnitt interessant, bitte nicht in's Forum kopieren sondern Downloadlink.

Läuft PHP als CGI oder Modul, ist allow_url_fopen und register_globals gesperrt? Welches dicke fette PHP-Paket ist installiert und wann wurde es das letzte Mal geupdated?

Gruß, Wolfgang

[daemotron]

Also noch mal Bestandsaufnahme:
- SpamAssassin prüft nur eingehende Mails und ergänzt den Mail-Header um eine Spamlevel-Bewertung. Die Mail wird weder verschoben noch gelöscht oder zurückgewiesen (zumindest in der Plesk-Standardkonfiguration)
- Die "Firewall" von 1&1 ist ein reiner Portblocker. Das Default-Ruleset ist allerdings für meinen Geschmack nicht restriktiv genug und muss auf jeden Fall angepasst werden - ansonsten kann man das Teil auch gleich ganz abschalten. Einzig sinnvolle Verwendung: Zugriffe auf Port 106 blocken, da lauscht poppassd drauf. Wenn man den von Hand umkonfiguriert, dass er nur noch an localhost gebunden ist, plättet Plesk nach kurzer Zeit die Konfiguration. Hurra...!
- Wenn Du nicht manuell an der qmail-Konfiguration rumgefummelt hast, kommt open relay nicht in Betracht

Somit bleiben für mich drei Möglichkeiten (geordnet nach Wahrscheinlichkeit):
1. PHP-Mail-Skript oder CGI, das nicht sorgfältig gecoded ist
2. Mail-User mit schwachem Passwort => wurde erraten
3. Einer Deiner Users ists selbst

Aus Deinen Logs kann ich jetzt ad hoc nicht viel schließen, zumal die access_log 'n Haufen 404er enthält. Ein Mailversand über Web-Formular kann aber nur hinter einem Aufruf stecken, der mit nem 300er Status oder (wahrscheinlicher) 200 beantwortet wurde. Also danach mal filtern...

Allerdings finde ich das dann doch sehr verdächtig:

Code: Select all

212.112.240.29 - - [28/Jul/2006:16:31:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1" 

Existiert diese Datei? Wenn ja, warum antwortet Dein Server mit 404?

[EDIT]Ach ja, ich vergaß - bei Plesk wird natürlich für jeden virtuellen Host eine eigene access_log geschrieben. Diese findest Du unter /srv/www/vhosts/<domain.tld>/statistics/logs/ - es sind die beiden Dateien access_log und access_log.processed - Du musst Dir jede einzelne davon vornehmen und nach verdächtigen Requests durchkämmen...

[flo]

Ich weiß jetzt ehrlich gesagt nicht, wo die Aufregung herkommt - das sind doch alles 404er Fehler - oder habe ich vor lauter irrelevantem Zeug was verpaßt? Ich habe bei meinen Domains und Kunden festgestellt, daß bekannte Domains oder solche aus zusammengesetzten Wörtern mehr Spam und mehr eindeutige Zugriffe aufweisen - mehr als Last erzeugt das aber nicht. das muß er abkönnen.

Und wenn man dann natürlich schlechte Autoresponder, wenig UCE-Maßnahmen und/oder "*"-Postfächer einsetzt, ist man da - sorry - irgendwo auch selber schuld.

Und wenn da schon diese Anzahl von Postfächern drauf ist (web4p99), sollte man das, was da drauf läuft IMHO durchaus zu einem Profi geben können.

Grüße,

flo.

[lord_pinhead]

Ich hoffe die Admins können mir helfen die 1und1 Profis verweisen mich auf dieses forum.

Ich würde sagen das wir 1und1 eine Rechnung schicken sollten, die tun sich das ja wirklich leicht -.-

Hast du Gästebücher, Foren oder Kontaktformulare auf der Kiste? Schätzungsweise ja, also würde ich die mal checken, Forensuche hilft.

[daemotron]

Zur Erinnerung, das ganze hier hat ne Vorgeschichte:
http://www.rootforum.org/forum/viewtopic.php?t=41512
Leider hat der OP offenbar nicht gelesen, was ihm dort geschrieben wurde. Damit ist für mich klar, dass es an einer der Webseiten liegen muss (und das erklärt auch den Log-Eintrag, den ich hervorgehoben hatte... auf dem alten Server war der tatsächlich so zu erreichen). Nichts für ungut, aber wer solche Lernresistenz an den Tag legt, dem sollte der Internetzugang komplett entzogen werden :twisted:

[flo]

ich erinnere mich düster :-)

Schon in dem Post habe ich die Logfileauszüge - weil ungefiltert - nur überflogen.

flo.

[caput]

Will 'nich mal jemand das Abuse Team von 1und1 mit den gewonnenen Daten füttern? Sonst wird das hier niemals enden. :twisted:

[elch_mg]

Ich bin eher dafür, das Team von 1&1 aufzuhängen.

[galapagos3]

Ich denke dein Problem lieg am Code

212.112.240.29 - - [28/Jul/2006:16:31:07 +0200] "GET /newsletter/cron/nl1.cron.php HTTP/1.0" 404 1061 "-" "Wget/1.9.1"

Es kann auch passieren mit CGI oder PHP, besser gesagt in ein Kontaktformular der auf deine Webseite ist.

Diese Scripte werden über Webcrawler ausfindig gemacht und so missbraucht.

Mehr da zu bei Wikipedia http://en.wikipedia.org/wiki/Web_crawler oder
http://de.wikipedia.org/wiki/Webcrawler

z.B. mit einem Webcrawler

64.246.161.42 - - [16/Jul/2006:11:18:13 +0200] "GET /robots.txt HTTP/1.0" 200 278 "http://www.whois.sc/" "SurveyBot (Whois Source)"
64.246.161.42 - - [16/Jul/2006:11:18:13 +0200] "GET / HTTP/1.1" 206 5962 "http://www.whois.sc/www.ergend-eine-domein.org" "SurveyBot/ (Whois Source)"

und

64.246.161.42 - - [19/Jul/2006:12:00:44 +0200] "POST /v_mailer.php HTTP/1.1" 200 174 "http://www.ergend-eine-domein.org/" "-"

Diese v_mailer.php wird von einem anderen Server oder Client mit PHP abgerufen, verknüpft mit einem PHP Mailsystem und so die Spams verschickt.

Besser gesagt wird von einem anderen Server oder Client mit PHP funktion abgerufen, verknüpft und dann mit einem PHP Mailsystem die Spams verschickt.


Sorry für mein Deutsch