Apache log
Hallo
ich betreibe freizeitmäßig einen Webserver auf Windows XP.
ich habe heute folgenden Eintrag in meinem Apache log gefunden:
24.98.111.69 - - [13/Jan/2008:20:04:38 +0100] "GET http://67.191.230.57/ HTTP/1.0" 200 7704
Nach ein wenig Ausprobieren und Suchen fand ich heraus, dass angeblich jemand meinen Server als Proxy nutzt.
Dann hab ich mal im Browser geschaut, was diese Seite unter der IP 67.191.230.57 zu bieten hat:
Die Ausgabe war eine weiße Seite mit folgendem Text:
You have made contact with the beacon GET / HTTP/1.1 Host: 67.191.230.57 User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.11 Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5 Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3 Accept-Encoding: gzip,deflate Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive
hier noch einige Sachen, denen ich keine wertvollen Informationen abverlangen kann ,aber ihr vielleicht:
IP Lookup:
24.98.111.69 (c-24-98-111-69.hsd1.ga.comcast.net)
ICMP Traceroute to 24.98.111.69 (24.98.111.69)
Hop 01: 192.168.178.1 fritz.fonwlan.box
Hop 02: 217.0.116.174 [Unknown]
Hop 03: 217.0.73.242 [Unknown]
Hop 04: 62.154.14.53 nyc-e5.NYC.US.net.DTAG.DE
Hop 05: ---
Hop 06: 68.86.85.74 pos-0-9-0-0-cr01.mclean.va.ibone.comcast.net
Hop 07: 68.86.85.66 pos-0-5-0-0-cr01.atlanta.ga.ibone.comcast.net
Hop 08: 68.86.90.129 te-0-2-0-4-cr01.nashville.tn.ibone.comcast.net
Hop 09: 68.86.90.130 te-7-3-ar01.nashville.tn.nash.comcast.net
Hop 10: 68.85.232.125 po-1-ar01.b0atlanta.ga.atlanta.comcast.net
Hop 11: 68.86.106.10 te-9-1-ur01.b0atlanta.ga.atlanta.comcast.net
Hop 12: 68.86.106.14 te-9-1-ur02.b0atlanta.ga.atlanta.comcast.net
Hop 13: 68.86.106.126 te-9-1-ur01.b3marietta.ga.atlanta.comcast.net
Hop 14: 68.86.106.130 te-9-1-ur01.n4atlanta.ga.atlanta.comcast.net
Hop 15: 68.86.106.134 te-9-1-ur01.n3alpharetta.ga.atlanta.comcast.net
Hop 16: 68.86.110.18 [Unknown]
Hop 17: 24.98.111.69 c-24-98-111-69.hsd1.ga.comcast.net
Standort: USA - Atlanta??
Er betreibt keinen Webserver auf Port 80
Whois-Lookup:
Comcast Cable Communications Holdings, Inc CCCH3-2 (NET-24-98-0-0-1)
24.98.0.0 - 24.99.255.255
Comcast Cable Communications Holdings, Inc. ATLANTA-5 (NET-24-98-0-0-2)
24.98.0.0 - 24.99.255.255
Wieder Atlanta?
Der Rechner hat angeblich keine offenen Ports!
und die andere IP:
IP Lookup:
Resolving 67.191.230.57...
67.191.230.57 (c-67-191-230-57.hsd1.ga.comcast.net)
ICMP Traceroute to 67.191.230.57 (67.191.230.57)
Hop 01: 192.168.178.1 fritz.fonwlan.box
Hop 02: 217.0.116.174 [Unknown]
Hop 03: 217.0.73.242 [Unknown]
Hop 04: 62.154.14.53 nyc-e5.NYC.US.net.DTAG.DE
Hop 05: 68.86.85.94 pos-0-9-0-0-cr01.newyork.ny.ibone.comcast.net
Hop 06: 68.86.85.70 pos-0-8-0-0-cr01.mclean.va.ibone.comcast.net
Hop 07: 68.86.85.66 pos-0-5-0-0-cr01.atlanta.ga.ibone.comcast.net
Hop 08: 68.86.90.129 te-0-2-0-4-cr01.nashville.tn.ibone.comcast.net
Hop 09: 68.86.90.130 te-7-3-ar01.nashville.tn.nash.comcast.net
Hop 10: 68.85.232.125 po-1-ar01.b0atlanta.ga.atlanta.comcast.net
Hop 11: 68.86.106.10 te-9-1-ur01.b0atlanta.ga.atlanta.comcast.net
Hop 12: 68.86.106.14 te-9-1-ur02.b0atlanta.ga.atlanta.comcast.net
Hop 13: 68.86.106.126 te-9-1-ur01.b3marietta.ga.atlanta.comcast.net
Hop 14: 68.86.106.130 te-9-1-ur01.n4atlanta.ga.atlanta.comcast.net
Hop 15: 68.86.106.134 te-9-1-ur01.n3alpharetta.ga.atlanta.comcast.net
Hop 16: 68.86.110.18 [Unknown]
Hop 17: 67.191.230.57 c-67-191-230-57.hsd1.ga.comcast.net
Ebenfalls Atlanta?
Die Ausgabe von Port 80:
GET request "/" to 67.191.230.57 (67.191.230.57)
HTTP/1.0 200 OK
Connection: close
Date: Sun Jan 13 18:30:34 EST 2008
Server: Microsoft-IIS/6.0
X-AspNet-Version: 1.1.4322
Cache-Control: private
Content-Type: text/html; charset=windows-1251
Content-Length: 44
<html>
You have made contact with the beacon
<body>
GET / HTTP/1.0
</body>
</html>
WHOIS-Lookup:
Comcast Cable Communications, Inc. ATT-COMCAST (NET-67-160-0-0-1)
67.160.0.0 - 67.191.255.255
Comcast Cable Communications, Inc. ATLANTA-10 (NET-67-191-192-0-1)
67.191.192.0 - 67.191.255.255
Der Rechner hat angeblich einen offenen UDP Port:
UDP 123 Network Time Protocol
meine Fragen:
1. Was hat der Mensch mit der IP 24.98.111.69 hier genau gemacht?
Was könnte er gewollt haben?
Hat er mich als "Proxy" genutzt?
2. Wie kann ich sowas unterbinden? Habt ihr sonst noch irgendwelche Links zur hand, die sich dem Sichern eines Apache Webservers unter Windows widmen?
Hab nur kurz was vom entfernen des Moduls "mod_proxy" gelesen;
3. Was bedeutet diese obige Ausgabe auf der Webseite?!
Und vor allem was heißt :
"You have made contact with the beacon "
4. Was kann ich aus obigen Angaben über den anderen und seinen Zielserver schlussfolgern?
Danke für eure Hilfe
Gruß
Tolwyn
ich betreibe freizeitmäßig einen Webserver auf Windows XP.
ich habe heute folgenden Eintrag in meinem Apache log gefunden:
24.98.111.69 - - [13/Jan/2008:20:04:38 +0100] "GET http://67.191.230.57/ HTTP/1.0" 200 7704
Nach ein wenig Ausprobieren und Suchen fand ich heraus, dass angeblich jemand meinen Server als Proxy nutzt.
Dann hab ich mal im Browser geschaut, was diese Seite unter der IP 67.191.230.57 zu bieten hat:
Die Ausgabe war eine weiße Seite mit folgendem Text:
You have made contact with the beacon GET / HTTP/1.1 Host: 67.191.230.57 User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.11 Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5 Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3 Accept-Encoding: gzip,deflate Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive
hier noch einige Sachen, denen ich keine wertvollen Informationen abverlangen kann ,aber ihr vielleicht:
IP Lookup:
24.98.111.69 (c-24-98-111-69.hsd1.ga.comcast.net)
ICMP Traceroute to 24.98.111.69 (24.98.111.69)
Hop 01: 192.168.178.1 fritz.fonwlan.box
Hop 02: 217.0.116.174 [Unknown]
Hop 03: 217.0.73.242 [Unknown]
Hop 04: 62.154.14.53 nyc-e5.NYC.US.net.DTAG.DE
Hop 05: ---
Hop 06: 68.86.85.74 pos-0-9-0-0-cr01.mclean.va.ibone.comcast.net
Hop 07: 68.86.85.66 pos-0-5-0-0-cr01.atlanta.ga.ibone.comcast.net
Hop 08: 68.86.90.129 te-0-2-0-4-cr01.nashville.tn.ibone.comcast.net
Hop 09: 68.86.90.130 te-7-3-ar01.nashville.tn.nash.comcast.net
Hop 10: 68.85.232.125 po-1-ar01.b0atlanta.ga.atlanta.comcast.net
Hop 11: 68.86.106.10 te-9-1-ur01.b0atlanta.ga.atlanta.comcast.net
Hop 12: 68.86.106.14 te-9-1-ur02.b0atlanta.ga.atlanta.comcast.net
Hop 13: 68.86.106.126 te-9-1-ur01.b3marietta.ga.atlanta.comcast.net
Hop 14: 68.86.106.130 te-9-1-ur01.n4atlanta.ga.atlanta.comcast.net
Hop 15: 68.86.106.134 te-9-1-ur01.n3alpharetta.ga.atlanta.comcast.net
Hop 16: 68.86.110.18 [Unknown]
Hop 17: 24.98.111.69 c-24-98-111-69.hsd1.ga.comcast.net
Standort: USA - Atlanta??
Er betreibt keinen Webserver auf Port 80
Whois-Lookup:
Comcast Cable Communications Holdings, Inc CCCH3-2 (NET-24-98-0-0-1)
24.98.0.0 - 24.99.255.255
Comcast Cable Communications Holdings, Inc. ATLANTA-5 (NET-24-98-0-0-2)
24.98.0.0 - 24.99.255.255
- ARIN WHOIS database, last updated 2008-01-12 19:10
- Enter ? for additional hints on searching ARIN's WHOIS database.
Wieder Atlanta?
Der Rechner hat angeblich keine offenen Ports!
und die andere IP:
IP Lookup:
Resolving 67.191.230.57...
67.191.230.57 (c-67-191-230-57.hsd1.ga.comcast.net)
ICMP Traceroute to 67.191.230.57 (67.191.230.57)
Hop 01: 192.168.178.1 fritz.fonwlan.box
Hop 02: 217.0.116.174 [Unknown]
Hop 03: 217.0.73.242 [Unknown]
Hop 04: 62.154.14.53 nyc-e5.NYC.US.net.DTAG.DE
Hop 05: 68.86.85.94 pos-0-9-0-0-cr01.newyork.ny.ibone.comcast.net
Hop 06: 68.86.85.70 pos-0-8-0-0-cr01.mclean.va.ibone.comcast.net
Hop 07: 68.86.85.66 pos-0-5-0-0-cr01.atlanta.ga.ibone.comcast.net
Hop 08: 68.86.90.129 te-0-2-0-4-cr01.nashville.tn.ibone.comcast.net
Hop 09: 68.86.90.130 te-7-3-ar01.nashville.tn.nash.comcast.net
Hop 10: 68.85.232.125 po-1-ar01.b0atlanta.ga.atlanta.comcast.net
Hop 11: 68.86.106.10 te-9-1-ur01.b0atlanta.ga.atlanta.comcast.net
Hop 12: 68.86.106.14 te-9-1-ur02.b0atlanta.ga.atlanta.comcast.net
Hop 13: 68.86.106.126 te-9-1-ur01.b3marietta.ga.atlanta.comcast.net
Hop 14: 68.86.106.130 te-9-1-ur01.n4atlanta.ga.atlanta.comcast.net
Hop 15: 68.86.106.134 te-9-1-ur01.n3alpharetta.ga.atlanta.comcast.net
Hop 16: 68.86.110.18 [Unknown]
Hop 17: 67.191.230.57 c-67-191-230-57.hsd1.ga.comcast.net
Ebenfalls Atlanta?
Die Ausgabe von Port 80:
GET request "/" to 67.191.230.57 (67.191.230.57)
HTTP/1.0 200 OK
Connection: close
Date: Sun Jan 13 18:30:34 EST 2008
Server: Microsoft-IIS/6.0
X-AspNet-Version: 1.1.4322
Cache-Control: private
Content-Type: text/html; charset=windows-1251
Content-Length: 44
<html>
You have made contact with the beacon
<body>
GET / HTTP/1.0
</body>
</html>
WHOIS-Lookup:
Comcast Cable Communications, Inc. ATT-COMCAST (NET-67-160-0-0-1)
67.160.0.0 - 67.191.255.255
Comcast Cable Communications, Inc. ATLANTA-10 (NET-67-191-192-0-1)
67.191.192.0 - 67.191.255.255
- ARIN WHOIS database, last updated 2008-01-12 19:10
- Enter ? for additional hints on searching ARIN's WHOIS database.
Der Rechner hat angeblich einen offenen UDP Port:
UDP 123 Network Time Protocol
meine Fragen:
1. Was hat der Mensch mit der IP 24.98.111.69 hier genau gemacht?
Was könnte er gewollt haben?
Hat er mich als "Proxy" genutzt?
2. Wie kann ich sowas unterbinden? Habt ihr sonst noch irgendwelche Links zur hand, die sich dem Sichern eines Apache Webservers unter Windows widmen?
Hab nur kurz was vom entfernen des Moduls "mod_proxy" gelesen;
3. Was bedeutet diese obige Ausgabe auf der Webseite?!
Und vor allem was heißt :
"You have made contact with the beacon "
4. Was kann ich aus obigen Angaben über den anderen und seinen Zielserver schlussfolgern?
Danke für eure Hilfe
Gruß
Tolwyn
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 78036
Url: https://administrator.de/forum/apache-log-78036.html
Ausgedruckt am: 26.12.2024 um 13:12 Uhr
4 Kommentare
Neuester Kommentar
Hallo Tolwyn,
derartige Beacons werden von Provider/Carrier benutzt um die Netzwerkperformance zu überwachen.
Bitte mache von allen IP's unter folgendem Link einen Network Lookup, Du wirst z.B. dabei auch feststellen, dass niemand spezielles hinter IP 24.98.111.69 sitzt.
Die Resultate sog. Passthru-Tests sehen dann so aus:Looking up status of 24.98.111.69
saludos
gnarff
derartige Beacons werden von Provider/Carrier benutzt um die Netzwerkperformance zu überwachen.
Bitte mache von allen IP's unter folgendem Link einen Network Lookup, Du wirst z.B. dabei auch feststellen, dass niemand spezielles hinter IP 24.98.111.69 sitzt.
Die Resultate sog. Passthru-Tests sehen dann so aus:Looking up status of 24.98.111.69
saludos
gnarff