Re: http-requests von ueber 15 Stunden

From: "Juergen P. Meier" <nospam-1984@xxxxxxxx>
Date: Sun, 04 May 2008 16:31:43 +0000 (UTC)

Tilo Baumann <2007@xxxxxxxxxxxx>:

Nein. Vermutlich ist das nur ein Zombie, eine arme Sau mit Wintendo
und diversen Trojanischen Pferden, die munter seinen Rechner
misbrauchen.

218.106.34.130 gehört zu einem 'halben' Klasse C-Netz. Der Domaininhaber
bezeichnet sich als Design Company in China.

Die Site hat die Ports 80, 21, 25, 110 geöffnet.

tb@liedena:~$ ftp 218.106.34.130
Connected to 218.106.34.130.
220 Serv-U FTP Server v6.4 for WinSock ready...

^^^^^^^

Name (218.106.34.130:tb): eva
331 User name okay, need password.
Password:
530 Not logged in.
Login failed.
Remote system type is UNIX.

218.106.34.130 ist vermutlich nicht so arglos, wie du für möglich
hältst.

Doch. In 99.99% aller Faelle ist das nur ein Zombie. Angreifer, vor
allem wenn Automatisierung im Spiel ist, verwenden kompromittierte
Rechner Dritter um direkte Spuren zu verwischen. Vorallem die
Tatsache, dass der Rechner bei einem nmap wie ein amerikanischer
Weihnachtsbaum leuchtet, ist ein zuverlaessiges Indiz dafuer.

Obwohl diese Software 404 offensichtlich ignoriert, koennte es dennoch
sein, dass sie wenigstens einem 3xx Redirekt folgt. Redirekte ihn doch
auf http://localhost/.

Was, bitte, nutzt das? Entlastung des Apachen?

Nein. Belastung des Proxy-Scanners. Er wird langsamer.

Da mir sehr an Zugewinn in Erkenntnis gelegen ist, bitte ich um weitere
Mithilfe. Die Schleier haben sich nur etwas gelüftet, sind aber noch
längst nicht abgezogen.

Das ist ein durchaus gleichartiges Problem wie SPAM. Es werden die
gleichen "Botnetze" verwendet um Massenhaft Sicherheitsluecken in anderen
Rechnern zu finden.

Dass du mehrere Zugriffsversucht hast, deutet auf ein technisch
defektes Tool beim Angreifer hin.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
.

References:
- Re: http-requests von ueber 15 Stunden
  - From: Juergen P. Meier

Prev by Date: Re: Wer steht hinter TrueCrypt
Next by Date: Re: http-requests von ueber 15 Stunden
Previous by thread: Re: http-requests von ueber 15 Stunden
Next by thread: Re: http-requests von ueber 15 Stunden
Index(es):
- Date
- Thread

Relevant Pages

Re: ftp-Server Sicherheit
... > Dies geht meines Wissens nur mit ftp. ... Cygwin/OpenSSH als Server unter Wintendo, WinSCP auf dem Client. ... > anderen Rechner genutzt werden. ...
(microsoft.public.de.security.netzwerk.sicherheit)
Re: Chinesische Faelschungen von USB-Infrarotports
... Haben keinen FTP Client ... Rechner zeigte, waren sie ziemlich verbluefft. ... Es waren auch schon mal Leute zu Windows ... Und recht haben sie, DOS war eindeutig robuster. ...
(de.sci.electronics)
Routerproblem?!
... der zweite rechner kann sich über den ersten ... >>Rechner B ins Internet kann. ... >>B kann leider nicht auf Webseiten zugreifen, FTP ... >dafür wurde die Internetverbindungsfreigabe erfunden. ...
(microsoft.public.de.german.windowsxp.networking)
Routerproblem?!
... der zweite rechner kann sich über den ersten ... >>Rechner B ins Internet kann. ... >>B kann leider nicht auf Webseiten zugreifen, FTP ... >dafür wurde die Internetverbindungsfreigabe erfunden. ...
(microsoft.public.de.german.windowsxp.networking)
Re: xp sp2 an 2003er domäne
... Dort findet der Angreifer keine Plattform auf der er weitere ... Du verwendet nicht ein und dasselbe System für alle Dienste, ... also alle Rechner die dann in deinem lokalen Netz ... stehen können frei mit dem Server kommunizieren. ...
(microsoft.public.de.german.windows.server.networking)