Dauernd startet transfer zu unbekannter IP

Post by **werner** » 2008-06-04 19:22

Ich glaube , ich habe mir irgendwas eingefangen.

Immer wenn ich apache starte, startet sofort ein unbekannter Transfer zu einer bestimmten IP. Wenn ich den Prozess abbreche, startet gleich ein neuer.

Auch nach Aendern der IP und/oder neustarten des Rechners.

Wenn ich apache ganz abstelle, gehen die Anfragen weiter, aber wird von mir nichts uebertragen (gemaess ethereal).

Ursprungs-IP: 90.162.197.26

Wie werde ich das denn los ?

Die Pakete sind typischerweise so:

Code: Select all

0000  00 00 02 00 00 00 00 00  00 00 00 00 00 00 08 00   ........ ........
0010  45 00 00 28 45 03 40 00  6f 06 d5 f6 5a a2 c5 1a   E..(E.@. o...Z...
0020  5c 31 74 e8 c5 5e 00 50  24 d2 6c eb 4b de 8c 51   1t..^.P $.l.K..Q
0030  50 10 ff ff 8f 62 00 00  00 00 00 00 00 00         P....b.. ......

Wenn ich httpd abschalte, gehen von mir weiter Mitteilungen an jene IP 90.162.197.26 aus, wobei die Bloecke typischerweise so aussehen:

Code: Select all

0000  00 04 02 00 00 00 00 00  00 00 00 00 00 00 08 00   ........ ........
0010  45 00 00 28 00 00 40 00  40 06 49 fa 5c 31 74 e8   E..(..@. @.I.1t.
0020  5a a2 c5 1a 00 50 d8 78  00 00 00 00 81 db 8c d2   Z....P.x ........
0030  50 14 00 00 d7 83 00 00                            P.......

Wenn ich es nicht abbreche, werden effektiv Daten uebertragen mit der normalen uploade-Geschwindigkeit. Daneben zeigt das access logfile eines meiner sites an:

Code: Select all


90.162.197.26 - - [04/Jun/2008:13:54:44 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1257310800& HTTP/1.1" 200 39287 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET)"
90.162.197.26 - - [04/Jun/2008:13:54:49 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1257343200& HTTP/1.1" 200 39289 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET)"
90.162.197.26 - - [04/Jun/2008:13:54:53 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1257318000& HTTP/1.1" 200 39287 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1)"
90.162.197.26 - - [04/Jun/2008:13:54:58 -0300] "GET /phpBB2/calendar_scheduler.php?d=1260673200&fid=Root& HTTP/1.1" 200 39401 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1)"
90.162.197.26 - - [04/Jun/2008:13:55:02 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1234735200& HTTP/1.1" 200 38657 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
90.162.197.26 - - [04/Jun/2008:13:55:07 -0300] "GET /phpBB2/calendar_scheduler.php?d=1234735200&mode=hour&start=0& HTTP/1.1" 200 38657 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET)"
90.162.197.26 - - [04/Jun/2008:13:55:13 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1226754000& HTTP/1.1" 200 38651 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.7) Gecko/20060909 Firefox/1.5.0.7"
90.162.197.26 - - [04/Jun/2008:13:55:21 -0300] "GET /phpBB2/calendar_scheduler.php?d=1249614000&fid=0& HTTP/1.1" 200 40039 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.7) Gecko/20060909 Firefox/1.5.0.7"
90.162.197.26 - - [04/Jun/2008:13:55:30 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1247454000& HTTP/1.1" 200 38613 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
90.162.197.26 - - [04/Jun/2008:13:55:36 -0300] "GET /phpBB2/calendar_scheduler.php?d=1242493200&mode=hour&start=0& HTTP/1.1" 200 38645 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
90.162.197.26 - - [04/Jun/2008:13:55:40 -0300] "GET /phpBB2/calendar_scheduler.php?d=1237172400&fid=& HTTP/1.1" 200 40039 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
90.162.197.26 - - [04/Jun/2008:13:55:45 -0300] "GET /phpBB2/calendar_scheduler.php?d=1237172400& HTTP/1.1" 200 39216 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
90.162.197.26 - - [04/Jun/2008:13:55:51 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1237176000& HTTP/1.1" 200 39283 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1)"
90.162.197.26 - - [04/Jun/2008:13:55:56 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1237222800& HTTP/1.1" 200 39283 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1)"
90.162.197.26 - - [04/Jun/2008:13:56:00 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1237255200& HTTP/1.1" 200 39285 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
90.162.197.26 - - [04/Jun/2008:13:56:04 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1237201200& HTTP/1.1" 200 39283 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1)"
90.162.197.26 - - [04/Jun/2008:13:56:08 -0300] "GET /phpBB2/calendar_scheduler.php?d=1234753200&fid=& HTTP/1.1" 200 39413 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
90.162.197.26 - - [04/Jun/2008:13:56:13 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1234825200& HTTP/1.1" 200 38657 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
90.162.197.26 - - [04/Jun/2008:13:56:17 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1234778400& HTTP/1.1" 200 38657 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1)"
90.162.197.26 - - [04/Jun/2008:13:56:20 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1234782000& HTTP/1.1" 200 38657 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
90.162.197.26 - - [04/Jun/2008:13:56:24 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1234828800& HTTP/1.1" 200 38657 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.7) Gecko/20060909 Firefox/1.5.0.7"
90.162.197.26 - - [04/Jun/2008:13:56:28 -0300] "GET /phpBB2/calendar_scheduler.php?d=1234828800&mode=hour&start=0& HTTP/1.1" 200 38657 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.7) Gecko/20060909 Firefox/1.5.0.7"
90.162.197.26 - - [04/Jun/2008:13:56:33 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1234832400& HTTP/1.1" 200 38659 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
90.162.197.26 - - [04/Jun/2008:13:56:37 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1234807200& HTTP/1.1" 200 38657 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.7) Gecko/20060909 Firefox/1.5.0.7"
90.162.197.26 - - [04/Jun/2008:13:56:41 -0300] "GET /phpBB2/calendar_scheduler.php?d=1237201200&mode=hour&start=0& HTTP/1.1" 200 39283 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET)"
90.162.197.26 - - [04/Jun/2008:13:56:45 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1237179600& HTTP/1.1" 200 39283 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1)"
90.162.197.26 - - [04/Jun/2008:13:56:50 -0300] "GET /phpBB2/calendar_scheduler.php?d=1234778400&mode=hour&start=0& HTTP/1.1" 200 38657 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
90.162.197.26 - - [04/Jun/2008:13:56:54 -0300] "GET /phpBB2/calendar_scheduler.php?d=1237179600&mode=hour&start=0& HTTP/1.1" 200 39283 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
90.162.197.26 - - [04/Jun/2008:13:56:58 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1237204800& HTTP/1.1" 200 39283 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
90.162.197.26 - - [04/Jun/2008:13:57:02 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1234785600& HTTP/1.1" 200 38657 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
90.162.197.26 - - [04/Jun/2008:13:57:06 -0300] "GET /phpBB2/calendar_scheduler.php?d=1234785600&mode=hour&start=0& HTTP/1.1" 200 38657 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
90.162.197.26 - - [04/Jun/2008:13:57:10 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1237237200& HTTP/1.1" 200 39283 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.7) Gecko/20060909 Firefox/1.5.0.7"
90.162.197.26 - - [04/Jun/2008:13:57:15 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1223056800& HTTP/1.1" 200 38645 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
90.162.197.26 - - [04/Jun/2008:13:57:19 -0300] "GET /phpBB2/calendar_scheduler.php?d=1222225200&fid=& HTTP/1.1" 200 39405 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
90.162.197.26 - - [04/Jun/2008:13:57:24 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1224997200& HTTP/1.1" 200 38645 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
90.162.197.26 - - [04/Jun/2008:13:57:29 -0300] "GET /phpBB2/calendar_scheduler.php?d=1222225200&mode=&start=0& HTTP/1.1" 200 38582 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1)"
90.162.197.26 - - [04/Jun/2008:13:57:33 -0300] "GET /phpBB2/calendar_scheduler.php?d=1222225200& HTTP/1.1" 200 38582 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET)"
90.162.197.26 - - [04/Jun/2008:13:57:38 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1222246800& HTTP/1.1" 200 38649 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET)"
90.162.197.26 - - [04/Jun/2008:13:57:42 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1222279200& HTTP/1.1" 200 38649 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
90.162.197.26 - - [04/Jun/2008:13:57:46 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1222250400& HTTP/1.1" 200 38649 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET)"
90.162.197.26 - - [04/Jun/2008:13:57:50 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1222225200& HTTP/1.1" 200 38617 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1)"
90.162.197.26 - - [04/Jun/2008:13:57:54 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1222300800& HTTP/1.1" 200 38649 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1)"
90.162.197.26 - - [04/Jun/2008:13:57:58 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1222308000& HTTP/1.1" 200 38651 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
90.162.197.26 - - [04/Jun/2008:13:58:02 -0300] "GET /phpBB2/calendar_scheduler.php?d=1222300800&mode=hour&start=0& HTTP/1.1" 200 38649 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
90.162.197.26 - - [04/Jun/2008:13:58:06 -0300] "GET /phpBB2/calendar_scheduler.php?d=1224997200&mode=hour&start=0& HTTP/1.1" 200 38645 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1)"
90.162.197.26 - - [04/Jun/2008:13:58:11 -0300] "GET /phpBB2/calendar_scheduler.php?d=1222308000&mode=hour&start=0& HTTP/1.1" 200 38651 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1)"
90.162.197.26 - - [04/Jun/2008:13:58:15 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1222286400& HTTP/1.1" 200 38649 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
90.162.197.26 - - [04/Jun/2008:13:58:19 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1222228800& HTTP/1.1" 200 38649 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
90.162.197.26 - - [04/Jun/2008:13:58:23 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1222290000& HTTP/1.1" 200 38649 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
90.162.197.26 - - [04/Jun/2008:13:58:27 -0300] "GET /phpBB2/calendar_scheduler.php?d=1222228800&mode=hour&start=0& HTTP/1.1" 200 38649 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
90.162.197.26 - - [04/Jun/2008:13:58:30 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1222232400& HTTP/1.1" 200 38649 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
90.162.197.26 - - [04/Jun/2008:13:58:34 -0300] "GET /phpBB2/calendar_scheduler.php?d=1222290000&mode=hour&start=0& HTTP/1.1" 200 38649 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.7) Gecko/20060909 Firefox/1.5.0.7"
90.162.197.26 - - [04/Jun/2008:13:58:38 -0300] "GET /phpBB2/calendar_scheduler.php?d=1230685200&mode=hour&start=0& HTTP/1.1" 200 38647 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
90.162.197.26 - - [04/Jun/2008:13:58:42 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1168614000& HTTP/1.1" 200 38647 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
90.162.197.26 - - [04/Jun/2008:13:58:50 -0300] "GET /phpBB2/viewtopic.php?p=48 HTTP/1.1" 200 51824 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
90.162.197.26 - - [04/Jun/2008:13:58:59 -0300] "GET /phpBB2/calendar_scheduler.php?d=1189674000&mode=hour&start=0& HTTP/1.1" 200 38649 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.7) Gecko/20060909 Firefox/1.5.0.7"
90.162.197.26 - - [04/Jun/2008:13:59:03 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1203080400& HTTP/1.1" 200 38655 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.7) Gecko/20060909 Firefox/1.5.0.7"
90.162.197.26 - - [04/Jun/2008:13:59:12 -0300] "GET /phpBB2/calendar_scheduler.php?d=1203080400&mode=hour&start=0& HTTP/1.1" 200 38655 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET)"
90.162.197.26 - - [04/Jun/2008:13:59:17 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1166857200& HTTP/1.1" 200 38645 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET)"
90.162.197.26 - - [04/Jun/2008:13:59:23 -0300] "GET /phpBB2/calendar_scheduler.php?d=1197072000&mode=hour&start=0& HTTP/1.1" 200 39283 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
90.162.197.26 - - [04/Jun/2008:13:59:27 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1186095600& HTTP/1.1" 200 38645 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
90.162.197.26 - - [04/Jun/2008:13:59:32 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1176645600& HTTP/1.1" 200 39289 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
90.162.197.26 - - [04/Jun/2008:13:59:36 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1170720000& HTTP/1.1" 200 38657 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
90.162.197.26 - - [04/Jun/2008:13:59:42 -0300] "GET /phpBB2/calendar_scheduler.php?d=1169607600&fid=Root& HTTP/1.1" 200 39401 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.7) Gecko/20060909 Firefox/1.5.0.7"
90.162.197.26 - - [04/Jun/2008:13:59:46 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1169661600& HTTP/1.1" 200 38645 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
90.162.197.26 - - [04/Jun/2008:13:59:50 -0300] "GET /phpBB2/calendar_scheduler.php?d=1172286000&fid=0& HTTP/1.1" 200 39413 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET)"
90.162.197.26 - - [04/Jun/2008:13:59:55 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1172350800& HTTP/1.1" 200 38657 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1)"
90.162.197.26 - - [04/Jun/2008:13:59:59 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1172325600& HTTP/1.1" 200 38659 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1)"
90.162.197.26 - - [04/Jun/2008:14:00:03 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1172358000& HTTP/1.1" 200 38657 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
90.162.197.26 - - [04/Jun/2008:14:00:08 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1172304000& HTTP/1.1" 200 38657 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET)"
90.162.197.26 - - [04/Jun/2008:14:00:12 -0300] "GET /phpBB2/calendar_scheduler.php?d=1174705200&fid=0& HTTP/1.1" 200 39401 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.7) Gecko/20060909 Firefox/1.5.0.7"
90.162.197.26 - - [04/Jun/2008:14:00:17 -0300] "GET /phpBB2/calendar_scheduler.php?d=1172304000&mode=hour&start=0& HTTP/1.1" 200 38657 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
90.162.197.26 - - [04/Jun/2008:14:00:22 -0300] "GET /phpBB2/calendar_scheduler.php?d=1177383600&fid=0& HTTP/1.1" 200 40043 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
90.162.197.26 - - [04/Jun/2008:14:00:29 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1177459200& HTTP/1.1" 200 39287 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
90.162.197.26 - - [04/Jun/2008:14:00:33 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1177430400& HTTP/1.1" 200 39287 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
90.162.197.26 - - [04/Jun/2008:14:00:37 -0300] "GET /phpBB2/calendar_scheduler.php?mode=hour&d=1177405200& HTTP/1.1" 200 39287 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"

Post by **Roger Wilco** » 2008-06-04 21:14

Da hat sich wohl ein mehr oder weniger blöder Bot in deinem Kalenderskript verfangen und ruft jetzt alle Tage (bzw. Seiten) ab, die darin verlinkt sind. Du kannst den Zugriff entweder über mod_authz_host im Apache httpd oder mit Netfilter/iptables vom gesamten System aussperren. Es ist ja immer die gleiche IP-Adresse.

Zusätzlich schreibst du eine nette E-Mail an die Abuse-Abteilung des Providers, so dass die Kiste ggf. abgeklemmt wird.

Post by **werner** » 2008-06-04 23:30

Mittlerweile hat sich die IP geaendert, 85.53.181.4 , wieder aus Spanien wie die vorige, ansonsten passiert dasselbe, dauerhaftes Aufrufen.

Ich versuch das mal so abzustellen wie oben geraten.

Wo findet man denn solche bots typischerweise ? Innerhalb des php-Forums; innerhalb der mysql-Daten; innerhalb der web-page ?? Ich mache immer Sicherheitskopien der gesamten Partition, aber es waere gut ungefaehr zu wissen wo ich suchen muss.

Wie macht man denn eine abuse - Meldung ?

Post by **wgot** » 2008-06-05 00:21

Hallo,

werner wrote:Mittlerweile hat sich die IP geaendert, 85.53.181.4

kein Wunder, ist ja auch eine dynamisch vergebene (steht im RDNS).
Die zuerst genannte Ip (85...) hat keinen RDNS, führt aber zum gleichen Provider (steht im Traceroute).

Wo findet man denn solche bots typischerweise?

In deinem Fall auf einem PC in Spanien.

Möglicherweise versucht da jemand, Deine Homepage zu spiegeln.

Gruß, Wolfgang

Post by **werner** » 2008-06-05 03:21

Wo bekommt man denn eine vernuenftige abuse-email-Adresse ? mit dnsstuff.com kommt nur ****@orange.es.
Ich nehme an da wird nur ein fremder Server missbraucht aber dahinter stecken andere, vmtl wie ueblich wieder aus Berlin und BW.

Ich habe inzwischen den gesamten Ordner meiner sites per diff mit einem backup verglichen, darin ist nichts verdaechtiges enthalten.

Dem genauen Protokoll von wireshark entnehme ich, dass die staendigen Anfragen bereits sofort nach der Zuordnung meiner jeweils neuen dynamischen IP via dyndns erfolgen, nicht beim erst ca. 2 Min. spaeter erfolgenden Start der diversen Server.Wie gesagt, gehen sie auch nach stop meines apache weiter. Es sind TCP Anfragen aehnlich portscan; falls keine Verbindung da, aendert sich jedesmal der getestete port.

Demnach habe ich mir wohl doch nichts eingefangen was sich von mir aus meldet, vielmehr erfolgt staendiges Anrufen meiner domain.

Post by **Roger Wilco** » 2008-06-05 13:29

werner wrote:mit dnsstuff.com kommt nur ****@orange.es.

Und warum schreibst du die nicht an?

Post by **werner** » 2008-06-05 15:55

Genauso wie oben geschrieben sind vor dem @ Sterne, wie kann ich da wissen was man da einsetzen muss ???

Inzwischen ist Ruhe wie selten zuvor. Als ich mir heute morgen die logfiles angeguckt habe, waren da irgendwie ein Spanier und ein paar Chinesen in meinen neuen Pechtopf gefallen.

Ich habe trotz vielem Lesen und googeln die Einstellung von labrea nicht verstanden und benutze momentan die Voreinstellungen. Wer kennt sich da aus ?

Das betrifft insbesondere 2 Fragen:

a) Soweit ich das verstanden habe, kuemmert sich das Programm nur um erfolglose Suche bei nicht-existierenden Geraeten/IPs. Bei meinem Problem und zBsp auch bei portscans oder flooding kommen dagegen dauernde Anfragen bei existierender IP meines Rechners (zBsp externe IP vom Provider, und/oder interne zBsp 192.168.1.5) jedoch bei meist nicht existierenden ports vor. Ich will sicherstellen, dass beim echt existierenden 192.168.1.5 jedoch bei fortwaehrenden Anfragen nicht-existierender ports (incl. 21 was ich nicht benutze wo aber dauernd Leute suchen) solche vorgetaeuscht werden. Kann man einstellen, dass das nicht nur bei Anfragen nach nicht vhd. Geraeten sondern auch bei TCP-Anfragen nicht vhd ports passiert ?

b) Wenn das Programm laeuft, dann wird (in meinem eigenen) mit ifconfig eth0 nicht mehr gefunden. Ferner ist mit wireshark ueberhaupt keine ARP-Anfrage/Antwort zu sehen, jedoch alle tcp, http Anfragen , und mein site scheint sich normal zu benehmen und innerhalb als auch ausserhalb des LANs gefunden zu werden. Das ist alles sehr komisch, ist das normal ?

Post by **Roger Wilco** » 2008-06-05 16:06

werner wrote:Genauso wie oben geschrieben sind vor dem @ Sterne, wie kann ich da wissen was man da einsetzen muss ???

Sags doch. ;)
Du hast einen komischen WHOIS-Service benutzt oder im falschen Feld nachgesehen. Die Abuse Abteilung hat laut WHOIS-Eintrag die Adresse abuseftes.es@orange-ftgroup.com

Post by **werner** » 2008-06-05 16:13

Danke ! dnsstuff.com funktioniert nur halb, gibt folgendes an/aus :

Code: Select all

role:           Hostmaster Administrator FTE
address:        Parque Empresarial La Finca
address:        Edificio 9
address:        Paseo del Club Deportivo, 1
address:        28223 Pozuelo de Alarcon
address:        Madrid, Spain
e-mail:         ************@orange-ftgroup.com
admin-c:        HA1066-RIPE
admin-c:        HA1067-RIPE
tech-c:         HA1066-RIPE
tech-c:         HA1067-RIPE
nic-hdl:        HAF10-RIPE
remarks:        spam, abuse ******************************@orange-ftgroup.com
abuse-mailbox:  ************@orange-ftgroup.com
mnt-by:         UNI2-MNT
changed:        **********@uni2.es 20050819
changed:        **********@uni2.es 20050829
changed:        ************@orange-ftgroup.com 20061023
source:         RIPE

% Information related to '85.48.0.0/12AS12479'

Post by **tischi** » 2008-06-09 10:32

fürs nächste mal gehst du direkt nach http://www.ripe.net/
Wenn du dein Problem meldest, vergiss nicht die Zeit mit anzugeben, wann dass passiert ist, sind ja dynamische adressen.

RootForum Community

Dauernd startet transfer zu unbekannter IP

Dauernd startet transfer zu unbekannter IP

Re: Dauernd startet transfer zu unbekannter IP

Re: Dauernd startet transfer zu unbekannter IP

Re: Dauernd startet transfer zu unbekannter IP

Re: Dauernd startet transfer zu unbekannter IP

Re: Dauernd startet transfer zu unbekannter IP

Re: Dauernd startet transfer zu unbekannter IP

Re: Dauernd startet transfer zu unbekannter IP

Re: Dauernd startet transfer zu unbekannter IP

Re: Dauernd startet transfer zu unbekannter IP