Apache log

Hallo

ich betreibe freizeitmäßig einen Webserver auf Windows XP.
ich habe heute folgenden Eintrag in meinem Apache log gefunden:

24.98.111.69 - - [13/Jan/2008:20:04:38 +0100] "GET http://67.191.230.57/ HTTP/1.0" 200 7704

Nach ein wenig Ausprobieren und Suchen fand ich heraus, dass angeblich jemand meinen Server als Proxy nutzt.

Dann hab ich mal im Browser geschaut, was diese Seite unter der IP 67.191.230.57 zu bieten hat:
Die Ausgabe war eine weiße Seite mit folgendem Text:

You have made contact with the beacon GET / HTTP/1.1 Host: 67.191.230.57 User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.11 Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5 Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3 Accept-Encoding: gzip,deflate Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive

hier noch einige Sachen, denen ich keine wertvollen Informationen abverlangen kann ,aber ihr vielleicht:

IP Lookup:
24.98.111.69 (c-24-98-111-69.hsd1.ga.comcast.net)

ICMP Traceroute to 24.98.111.69 (24.98.111.69)

Hop 01: 192.168.178.1 fritz.fonwlan.box
Hop 02: 217.0.116.174 [Unknown]
Hop 03: 217.0.73.242 [Unknown]
Hop 04: 62.154.14.53 nyc-e5.NYC.US.net.DTAG.DE
Hop 05: ---
Hop 06: 68.86.85.74 pos-0-9-0-0-cr01.mclean.va.ibone.comcast.net
Hop 07: 68.86.85.66 pos-0-5-0-0-cr01.atlanta.ga.ibone.comcast.net
Hop 08: 68.86.90.129 te-0-2-0-4-cr01.nashville.tn.ibone.comcast.net
Hop 09: 68.86.90.130 te-7-3-ar01.nashville.tn.nash.comcast.net
Hop 10: 68.85.232.125 po-1-ar01.b0atlanta.ga.atlanta.comcast.net
Hop 11: 68.86.106.10 te-9-1-ur01.b0atlanta.ga.atlanta.comcast.net
Hop 12: 68.86.106.14 te-9-1-ur02.b0atlanta.ga.atlanta.comcast.net
Hop 13: 68.86.106.126 te-9-1-ur01.b3marietta.ga.atlanta.comcast.net
Hop 14: 68.86.106.130 te-9-1-ur01.n4atlanta.ga.atlanta.comcast.net
Hop 15: 68.86.106.134 te-9-1-ur01.n3alpharetta.ga.atlanta.comcast.net
Hop 16: 68.86.110.18 [Unknown]
Hop 17: 24.98.111.69 c-24-98-111-69.hsd1.ga.comcast.net

Standort: USA - Atlanta??

Er betreibt keinen Webserver auf Port 80

Whois-Lookup:

Comcast Cable Communications Holdings, Inc CCCH3-2 (NET-24-98-0-0-1)
24.98.0.0 - 24.99.255.255
Comcast Cable Communications Holdings, Inc. ATLANTA-5 (NET-24-98-0-0-2)
24.98.0.0 - 24.99.255.255

ARIN WHOIS database, last updated 2008-01-12 19:10
Enter ? for additional hints on searching ARIN's WHOIS database.

Wieder Atlanta?

Der Rechner hat angeblich keine offenen Ports!

und die andere IP:

IP Lookup:
Resolving 67.191.230.57...
67.191.230.57 (c-67-191-230-57.hsd1.ga.comcast.net)

ICMP Traceroute to 67.191.230.57 (67.191.230.57)

Hop 01: 192.168.178.1 fritz.fonwlan.box
Hop 02: 217.0.116.174 [Unknown]
Hop 03: 217.0.73.242 [Unknown]
Hop 04: 62.154.14.53 nyc-e5.NYC.US.net.DTAG.DE
Hop 05: 68.86.85.94 pos-0-9-0-0-cr01.newyork.ny.ibone.comcast.net
Hop 06: 68.86.85.70 pos-0-8-0-0-cr01.mclean.va.ibone.comcast.net
Hop 07: 68.86.85.66 pos-0-5-0-0-cr01.atlanta.ga.ibone.comcast.net
Hop 08: 68.86.90.129 te-0-2-0-4-cr01.nashville.tn.ibone.comcast.net
Hop 09: 68.86.90.130 te-7-3-ar01.nashville.tn.nash.comcast.net
Hop 10: 68.85.232.125 po-1-ar01.b0atlanta.ga.atlanta.comcast.net
Hop 11: 68.86.106.10 te-9-1-ur01.b0atlanta.ga.atlanta.comcast.net
Hop 12: 68.86.106.14 te-9-1-ur02.b0atlanta.ga.atlanta.comcast.net
Hop 13: 68.86.106.126 te-9-1-ur01.b3marietta.ga.atlanta.comcast.net
Hop 14: 68.86.106.130 te-9-1-ur01.n4atlanta.ga.atlanta.comcast.net
Hop 15: 68.86.106.134 te-9-1-ur01.n3alpharetta.ga.atlanta.comcast.net
Hop 16: 68.86.110.18 [Unknown]
Hop 17: 67.191.230.57 c-67-191-230-57.hsd1.ga.comcast.net

Ebenfalls Atlanta?

Die Ausgabe von Port 80:

GET request "/" to 67.191.230.57 (67.191.230.57)

HTTP/1.0 200 OK

Connection: close

Date: Sun Jan 13 18:30:34 EST 2008

Server: Microsoft-IIS/6.0

X-AspNet-Version: 1.1.4322

Cache-Control: private

Content-Type: text/html; charset=windows-1251

Content-Length: 44

<html>
You have made contact with the beacon
<body>
GET / HTTP/1.0
</body>
</html>

WHOIS-Lookup:
Comcast Cable Communications, Inc. ATT-COMCAST (NET-67-160-0-0-1)
67.160.0.0 - 67.191.255.255
Comcast Cable Communications, Inc. ATLANTA-10 (NET-67-191-192-0-1)
67.191.192.0 - 67.191.255.255

ARIN WHOIS database, last updated 2008-01-12 19:10
Enter ? for additional hints on searching ARIN's WHOIS database.

Der Rechner hat angeblich einen offenen UDP Port:
UDP 123 Network Time Protocol

meine Fragen:

1. Was hat der Mensch mit der IP 24.98.111.69 hier genau gemacht?
Was könnte er gewollt haben?
Hat er mich als "Proxy" genutzt?

2. Wie kann ich sowas unterbinden? Habt ihr sonst noch irgendwelche Links zur hand, die sich dem Sichern eines Apache Webservers unter Windows widmen?
Hab nur kurz was vom entfernen des Moduls "mod_proxy" gelesen;

3. Was bedeutet diese obige Ausgabe auf der Webseite?!
Und vor allem was heißt :
"You have made contact with the beacon "

4. Was kann ich aus obigen Angaben über den anderen und seinen Zielserver schlussfolgern?

Danke für eure Hilfe

Gruß

Tolwyn

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 78036

Url: https://administrator.de/contentid/78036

Ausgedruckt am: 25.11.2024 um 09:11 Uhr

4 Kommentare

Neuester Kommentar

Hallo Tolwyn,

wenn Du z.B. einen Blog oder Feed auf Deinem Server zur Verfügung stellst, könnte es sich um ein Ping- beacon handeln. Google bedient sich dessen, um festzustellen, ob ein Server [Link] down ist oder aktiv.

saludos
gnarff

Hallo

also zu "Ping-beacon" finde ich nichts wirklich relevantes oder aussagekräftiges, außer:

Somewhere out on the web there are a series of machines that are set up
simply as something to be pinged.

The idea is that they provide a reliable machine that does not block
the port of the ping .

However I have the name wrong "ping Beacon" does not google up what I
want.

Anybody know the proper term? (or better yet a list of such beacons on
the web?)

Zu meiner Homepage:
Ich habe keinen Blog oder ähnliches auf meiner Homepage;
Es handelt sich um ganz normale Html Seiten, die für die meisten Leute auch eher uninteressant sein dürften; (Lateinseite!)

Hast du vielleicht weiterführende Links zu diesem "Ping-Beacon".
Wenn ich das im Groben richtig verstehe, nimmt Maschine XY meinen Server um zu testen, ob sie über diesen einen anderen Server erreichen kann und auf Grund dessen festzustellen, ob mein Server noch richtig funktioniert.

Was wären denn denkbare Alternativen zum "Ping-Beacon"?
Google indexiert meine Homepage nämlich regelmäßig über einen ganz normalen GET Request mit der Angabe der entsprechend aufgerufenen Seite ab oder überprüft einfach nur robots.txt bzw. sitemap.xml
Daher finde ich diese Ausgabe nämlich auch "komisch".

Gruß
tolwyn

Hallo Tolwyn,

derartige Beacons werden von Provider/Carrier benutzt um die Netzwerkperformance zu überwachen.
Bitte mache von allen IP's unter folgendem Link einen Network Lookup, Du wirst z.B. dabei auch feststellen, dass niemand spezielles hinter IP 24.98.111.69 sitzt.

Die Resultate sog. Passthru-Tests sehen dann so aus:Looking up status of 24.98.111.69

saludos
gnarff

Hallo gnarff

ok;

noch eine Frage dazu:

"Du wirst z.B. dabei auch feststellen, dass niemand spezielles hinter IP 24.98.111.69 sitzt."

Ist die 24.98.111.69 einer der Backbone-Server?

Ich hab das ganze mal noch mit meiner IP ausgetestet;
Worin unterscheidet sich eine "NICHT genutzte" IP von einer genutzten?

Ist bei einer genutzten noch der Provider (wie bspw. Telekom) und der status: ASSIGNED PA eingetragen?

Ach und wo ich gerade eh beim Thema war:
Woran würde ich im Apache Log erkennen können, OB jemand meinen Server missbraucht hat?

btw: danke für die Hilfe

Gruß

Tolwyn

gelöst Frage Linux Webserver

Mehr von Tolwyn

Richtlinien für Kennwortkomplexität ändernTolwyn - 3 Kommentare

Systemfehler 5 - Zugriff verweigertTolwyn - 2 Kommentare

Doppelte For-Schleife mit DateiinformationenTolwyn - 5 Kommentare

If kaskade in BatchTolwyn - 5 Kommentare

Heiß diskutiert