Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Apache log

Mitglied: Tolwyn

Tolwyn (Level 1) - Jetzt verbinden

14.01.2008, aktualisiert 20:33 Uhr, 5343 Aufrufe, 4 Kommentare

Hallo

ich betreibe freizeitmäßig einen Webserver auf Windows XP.
ich habe heute folgenden Eintrag in meinem Apache log gefunden:

24.98.111.69 - - [13/Jan/2008:20:04:38 +0100] "GET http://67.191.230.57/ HTTP/1.0" 200 7704

Nach ein wenig Ausprobieren und Suchen fand ich heraus, dass angeblich jemand meinen Server als Proxy nutzt.

Dann hab ich mal im Browser geschaut, was diese Seite unter der IP 67.191.230.57 zu bieten hat:
Die Ausgabe war eine weiße Seite mit folgendem Text:

You have made contact with the beacon GET / HTTP/1.1 Host: 67.191.230.57 User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.11 Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5 Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3 Accept-Encoding: gzip,deflate Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive

hier noch einige Sachen, denen ich keine wertvollen Informationen abverlangen kann ,aber ihr vielleicht:

IP Lookup:
24.98.111.69 (c-24-98-111-69.hsd1.ga.comcast.net)


ICMP Traceroute to 24.98.111.69 (24.98.111.69)

Hop 01: 192.168.178.1 fritz.fonwlan.box
Hop 02: 217.0.116.174 [Unknown]
Hop 03: 217.0.73.242 [Unknown]
Hop 04: 62.154.14.53 nyc-e5.NYC.US.net.DTAG.DE
Hop 05: ---
Hop 06: 68.86.85.74 pos-0-9-0-0-cr01.mclean.va.ibone.comcast.net
Hop 07: 68.86.85.66 pos-0-5-0-0-cr01.atlanta.ga.ibone.comcast.net
Hop 08: 68.86.90.129 te-0-2-0-4-cr01.nashville.tn.ibone.comcast.net
Hop 09: 68.86.90.130 te-7-3-ar01.nashville.tn.nash.comcast.net
Hop 10: 68.85.232.125 po-1-ar01.b0atlanta.ga.atlanta.comcast.net
Hop 11: 68.86.106.10 te-9-1-ur01.b0atlanta.ga.atlanta.comcast.net
Hop 12: 68.86.106.14 te-9-1-ur02.b0atlanta.ga.atlanta.comcast.net
Hop 13: 68.86.106.126 te-9-1-ur01.b3marietta.ga.atlanta.comcast.net
Hop 14: 68.86.106.130 te-9-1-ur01.n4atlanta.ga.atlanta.comcast.net
Hop 15: 68.86.106.134 te-9-1-ur01.n3alpharetta.ga.atlanta.comcast.net
Hop 16: 68.86.110.18 [Unknown]
Hop 17: 24.98.111.69 c-24-98-111-69.hsd1.ga.comcast.net

Standort: USA - Atlanta??

Er betreibt keinen Webserver auf Port 80

Whois-Lookup:

Comcast Cable Communications Holdings, Inc CCCH3-2 (NET-24-98-0-0-1)
24.98.0.0 - 24.99.255.255
Comcast Cable Communications Holdings, Inc. ATLANTA-5 (NET-24-98-0-0-2)
24.98.0.0 - 24.99.255.255

  1. ARIN WHOIS database, last updated 2008-01-12 19:10
  2. Enter ? for additional hints on searching ARIN's WHOIS database.


Wieder Atlanta?


Der Rechner hat angeblich keine offenen Ports!


und die andere IP:

IP Lookup:
Resolving 67.191.230.57...
67.191.230.57 (c-67-191-230-57.hsd1.ga.comcast.net)


ICMP Traceroute to 67.191.230.57 (67.191.230.57)

Hop 01: 192.168.178.1 fritz.fonwlan.box
Hop 02: 217.0.116.174 [Unknown]
Hop 03: 217.0.73.242 [Unknown]
Hop 04: 62.154.14.53 nyc-e5.NYC.US.net.DTAG.DE
Hop 05: 68.86.85.94 pos-0-9-0-0-cr01.newyork.ny.ibone.comcast.net
Hop 06: 68.86.85.70 pos-0-8-0-0-cr01.mclean.va.ibone.comcast.net
Hop 07: 68.86.85.66 pos-0-5-0-0-cr01.atlanta.ga.ibone.comcast.net
Hop 08: 68.86.90.129 te-0-2-0-4-cr01.nashville.tn.ibone.comcast.net
Hop 09: 68.86.90.130 te-7-3-ar01.nashville.tn.nash.comcast.net
Hop 10: 68.85.232.125 po-1-ar01.b0atlanta.ga.atlanta.comcast.net
Hop 11: 68.86.106.10 te-9-1-ur01.b0atlanta.ga.atlanta.comcast.net
Hop 12: 68.86.106.14 te-9-1-ur02.b0atlanta.ga.atlanta.comcast.net
Hop 13: 68.86.106.126 te-9-1-ur01.b3marietta.ga.atlanta.comcast.net
Hop 14: 68.86.106.130 te-9-1-ur01.n4atlanta.ga.atlanta.comcast.net
Hop 15: 68.86.106.134 te-9-1-ur01.n3alpharetta.ga.atlanta.comcast.net
Hop 16: 68.86.110.18 [Unknown]
Hop 17: 67.191.230.57 c-67-191-230-57.hsd1.ga.comcast.net

Ebenfalls Atlanta?


Die Ausgabe von Port 80:

GET request "/" to 67.191.230.57 (67.191.230.57)

HTTP/1.0 200 OK

Connection: close

Date: Sun Jan 13 18:30:34 EST 2008

Server: Microsoft-IIS/6.0

X-AspNet-Version: 1.1.4322

Cache-Control: private

Content-Type: text/html; charset=windows-1251

Content-Length: 44



<html>
You have made contact with the beacon
<body>
GET / HTTP/1.0
</body>
</html>




WHOIS-Lookup:
Comcast Cable Communications, Inc. ATT-COMCAST (NET-67-160-0-0-1)
67.160.0.0 - 67.191.255.255
Comcast Cable Communications, Inc. ATLANTA-10 (NET-67-191-192-0-1)
67.191.192.0 - 67.191.255.255

  1. ARIN WHOIS database, last updated 2008-01-12 19:10
  2. Enter ? for additional hints on searching ARIN's WHOIS database.


Der Rechner hat angeblich einen offenen UDP Port:
UDP 123 Network Time Protocol



meine Fragen:

1. Was hat der Mensch mit der IP 24.98.111.69 hier genau gemacht?
Was könnte er gewollt haben?
Hat er mich als "Proxy" genutzt?

2. Wie kann ich sowas unterbinden? Habt ihr sonst noch irgendwelche Links zur hand, die sich dem Sichern eines Apache Webservers unter Windows widmen?
Hab nur kurz was vom entfernen des Moduls "mod_proxy" gelesen;

3. Was bedeutet diese obige Ausgabe auf der Webseite?!
Und vor allem was heißt :
"You have made contact with the beacon "

4. Was kann ich aus obigen Angaben über den anderen und seinen Zielserver schlussfolgern?

Danke für eure Hilfe

Gruß

Tolwyn
Mitglied: gnarff
14.01.2008 um 01:46 Uhr
Hallo Tolwyn,

wenn Du z.B. einen Blog oder Feed auf Deinem Server zur Verfügung stellst, könnte es sich um ein Ping- beacon handeln. Google bedient sich dessen, um festzustellen, ob ein Server [Link] down ist oder aktiv.

saludos
gnarff
Bitte warten ..
Mitglied: Tolwyn
14.01.2008 um 13:44 Uhr
Hallo

also zu "Ping-beacon" finde ich nichts wirklich relevantes oder aussagekräftiges, außer:


Somewhere out on the web there are a series of machines that are set up
simply as something to be pinged.

The idea is that they provide a reliable machine that does not block
the port of the ping .

However I have the name wrong "ping Beacon" does not google up what I
want.

Anybody know the proper term? (or better yet a list of such beacons on
the web?)


Zu meiner Homepage:
Ich habe keinen Blog oder ähnliches auf meiner Homepage;
Es handelt sich um ganz normale Html Seiten, die für die meisten Leute auch eher uninteressant sein dürften; (Lateinseite!)

Hast du vielleicht weiterführende Links zu diesem "Ping-Beacon".
Wenn ich das im Groben richtig verstehe, nimmt Maschine XY meinen Server um zu testen, ob sie über diesen einen anderen Server erreichen kann und auf Grund dessen festzustellen, ob mein Server noch richtig funktioniert.

Was wären denn denkbare Alternativen zum "Ping-Beacon"?
Google indexiert meine Homepage nämlich regelmäßig über einen ganz normalen GET Request mit der Angabe der entsprechend aufgerufenen Seite ab oder überprüft einfach nur robots.txt bzw. sitemap.xml
Daher finde ich diese Ausgabe nämlich auch "komisch".

Gruß
tolwyn
Bitte warten ..
Mitglied: gnarff
14.01.2008 um 16:03 Uhr
Hallo Tolwyn,

derartige Beacons werden von Provider/Carrier benutzt um die Netzwerkperformance zu überwachen.
Bitte mache von allen IP's unter folgendem Link einen Network Lookup, Du wirst z.B. dabei auch feststellen, dass niemand spezielles hinter IP 24.98.111.69 sitzt.

Die Resultate sog. Passthru-Tests sehen dann so aus:Looking up status of 24.98.111.69

saludos
gnarff
Bitte warten ..
Mitglied: Tolwyn
14.01.2008 um 20:33 Uhr
Hallo gnarff

ok;

noch eine Frage dazu:

"Du wirst z.B. dabei auch feststellen, dass niemand spezielles hinter IP 24.98.111.69 sitzt."

Ist die 24.98.111.69 einer der Backbone-Server?

Ich hab das ganze mal noch mit meiner IP ausgetestet;
Worin unterscheidet sich eine "NICHT genutzte" IP von einer genutzten?

Ist bei einer genutzten noch der Provider (wie bspw. Telekom) und der status: ASSIGNED PA eingetragen?

Ach und wo ich gerade eh beim Thema war:
Woran würde ich im Apache Log erkennen können, OB jemand meinen Server missbraucht hat?

btw: danke für die Hilfe

Gruß

Tolwyn
Bitte warten ..
Ähnliche Inhalte
Windows Server

Log On Log Off-Verhalten per PowerShell aus dem Event Log

Frage von Leo-leWindows Server7 Kommentare

Hallo Forum, wie gehe ich am besten vor, wenn ich aus dem DC Event Log von mehreren Nutzern das ...

Apache Server

Apache modProxy debug-log schreibt in error-log

Frage von mic.weApache Server6 Kommentare

Hallo @ all, Ich habe in meinem Apache einen VHost, wo ich das Module ProxyPass verwende. Ich wollte von ...

Ubuntu

Iptables log einschalten?

Frage von BigSnakeyeUbuntu9 Kommentare

Hallöchen! Wie kann ich auf ubuntu 1404 lts bei iptables das loggen aktivieren? Ich finde keine Einträge in messages ...

Ubuntu

Log files anonymisieren?

Frage von D1Ck3nUbuntu4 Kommentare

Hallo zusammen, ich würde gerne unter Linux Log Dateien automatisiert anonymisieren. Die Log Datei soll nach den Benutzernamen meines ...

Neue Wissensbeiträge
Humor (lol)
Administrator.de Perlen
Tipp von DerWindowsFreak2 vor 2 TagenHumor (lol)3 Kommentare

Hallo, Heute beim stöbern auf dieser Seite bin auf folgenden Thread aus dem Jahre 2006 gestossen: Was meint ihr? ...

Erkennung und -Abwehr
OpenSSH-Backdoor Malware erkennen
Tipp von Frank vor 3 TagenErkennung und -Abwehr

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf ...

iOS
WatchChat für Whatsapp
Tipp von Criemo vor 6 TageniOS5 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor!
Tipp von Criemo vor 7 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
PCIe 1.0 Grafikkarte für 3840x2160
Frage von Windows10GegnerGrafikkarten & Monitore30 Kommentare

Hallo, mein Vater hat einen neuen Monitor gekauft, welcher eine native Auflösung von 3840*2160 hat. Diese muss jetzt auch ...

Windows Server
Dienstnamen und oder Deutsche und Englische Beschreibung in services.msc gleichzeitig anzeigen
gelöst Frage von vafk18Windows Server23 Kommentare

Guten Morgen, die Suche nach Diensten in services.msc gestaltet sich immer wieder schwierig, weil mir je nach Aufgabe die ...

Windows 10
Windows Enterprise 1809 Eval nicht bootbar
Frage von Sunny89Windows 1022 Kommentare

Hallo zusammen, bevor ich mich jetzt noch stundenlang rumärger wollte ich euch fragen, ob Ihr die gleichen Probleme habt ...

JavaScript
Javascript: WebSql
gelöst Frage von internet2107JavaScript13 Kommentare

Guten Morgen zusammen, zunächst einmal einen schönen dritten Advent. Ich habe ein Problem mit Javascript und WebSQL. Bisher habe ...