Bei unbekannten werde ich auf meinen eigenen webserver geleitet

#0
08.09.2010, 16:01
...neu hier

Beiträge: 9
#1 Hallo,

ich bin mir nicht ganz sicher ob ich das mit dem man-in-the-middle-prinzip überhaupt richtig interpretiere, aber kann es bei mir so ein Fall sein? Wie kommt es dann, wenn ich eine nicht existente domain eingebe, daß ich auf meinem webserver lande, wo derzeit lediglich die lighty-nodomain-page erscheint, da ja dort noch nichts läuft (hoffentlich). Mir ists jetzt erst aufgefallen, nachdem ich de statt com für die encrypted googlesuche eintippte. Ich muss dazu sagen, daß ich dachte, mich gestern entrootkittet zu haben. Webserver neugemacht, und Heimrechner neugemacht. Auf meinem Heimrechner (F 13) laufen keine serverdienste, ich war nur über ssh auf meinem webserver. Wäre nett wenn mal ein echter admin sich mal bei mir einhacken könnte und mir sagen könnte was da schief läuft. Meine IPs seht ihr ja im screenshot(webserver, Heimrechner).

Wie gesagt, ich bin etwas verwundert, wie mein Heimrechner überhaupt darauf kommt, die server ip aufzuschlagen, wenn er vom dns nix kriegt. Denn er dürfte ja die ip nur vom ssh-"clienten" kennen. Auf Rat und Tat würde ich mich sehr freuen. Danke, mOIsel

Seitenanfang Seitenende
08.09.2010, 16:17
Member
Avatar Xeper

Beiträge: 5288
#2

Zitat

Ich muss dazu sagen, daß ich dachte, mich gestern entrootkittet zu haben. Webserver neugemacht, und Heimrechner neugemacht.
Das wäre gar nicht nötig gewesen, rootkits sind für Linux so rar - sofern du eine halbwegs aktuelle Distribution fährst benutzt du ja eh keine 3rd party Pakete.

Zitat

Auf meinem Heimrechner (F 13) laufen keine serverdienste
Gib doch einfach mal ein paar Auszüge aus der Shell für folgende Befehle:
netstat -tl
host encrypted.google.de
cat /etc/resolv.conf
cat /etc/hosts

Zitat

Wie gesagt, ich bin etwas verwundert, wie mein Heimrechner überhaupt darauf kommt, die server ip aufzuschlagen, wenn er vom dns nix kriegt.
Ich denke da ist was falsch konfiguriert.
Benutzt du irgendwelche Proxies oder ähnliches (TOR etc.)?

Ich war mal so frei dein Server bissl zu scannen - 85.31.186.50 <- das ist er ja?
Hast du eine v4 range?
Der reverse entry ist 85-31-186-50.euserv.net aber der forward entry dafür wiederum steht auf 85.31.185.122.
Für diese IP gibt es wiederum einen reverse für skynet3.web.kundencontroller.de.
Leicht seltsame Konfiguration?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
08.09.2010, 16:39
...neu hier

Themenstarter

Beiträge: 9
#3 Ich benutze weder TOR, noch andere porxys oder vpn...
Ja der ist es.
Ich habe keine IPrange.
Reverse einträge habe ich da noch nicht angelegt/bearbeitet, kommt vom hoster.
Das Problem ist, daß mein Heimserver bei unaufgelösten Anfragen den webserver resolved.

Vom Heimrechner war das hier...

Zitat

netstat -tl
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 *:sunrpc *:* LISTEN
tcp 0 0 *:40339 *:* LISTEN
tcp 0 0 localhost.localdomain:ipp *:* LISTEN
tcp 0 0 localhost.localdomain:smtp *:* LISTEN
tcp 0 0 *:50620 *:* LISTEN
tcp 0 0 *:sunrpc *:* LISTEN
tcp 0 0 mOIsel.localhost:ipp *:* LISTEN

host encrypted.google.de
Host encrypted.google.de not found: 3(NXDOMAIN)

cat /etc/resolv.conf
# Generated by NetworkManager
search localhost
nameserver 192.168.178.1

cat /etc/resolv.conf
# Generated by NetworkManager
search localhost
nameserver 192.168.178.1

cat /etc/resolv.conf
# Generated by NetworkManager
search localhost
nameserver 192.168.178.1
[root@mOIsel etc]# cat /etc/hosts
192.168.178.32 mOIsel.localhost mOIsel # Added by NetworkManager
127.0.0.1 localhost.localdomain localhost
::1 mOIsel.localhost mOIsel localhost6.localdomain6 localhost6
Zu meiner rootkit-Vermutung muss ich sagen, daß es wohl gestern ein false-positive meinerseits war, aber im Kundencenter-trafficgraph stand ne Menge traffic, da war ich aufgeregt wie n Hühnchen. Nachdem ich dann alles zerschruppt habe(webserver neu, Heimrechner neu) habe ich mir den graph nochmal etwas unaufgeregter angesehen, und gemerkt, daß der traffic nur inbound war. Aber zu meiner Verteidigung muss ich sagen, das auch der rkhunter(ich weiss er soll ja sehr empfindlich sein) mir mit einigen /dev/ Warnungen und einigen Prozessen (get, wget...) mit falscher Signatur irgendwie ja irgendwie auch dazu geraten hat. Ausserdem hatte ich viele offene Verbindungen zu Amazon Webservices(amazonAWS.net) was auf einem Desktop durch den Schei... ja noch ok wäre, aber beim webserver? Wie, ausser mit unhide kann ich denn noch verteckte Prozesse ermitteln? Danke, mOIsel

PS.: Es passiert nicht nur bei encrypted.google.de, sondern überall, wo es keinen DNS Eintrag zu gibt, also auch bei 438zct57z45ub3ro487.xy... Ich poste gleich mal noch die logs vom webserver, nachm rauchen.
Dieser Beitrag wurde am 08.09.2010 um 16:47 Uhr von marzlmOIsel editiert.
Seitenanfang Seitenende
08.09.2010, 16:47
Member
Avatar Xeper

Beiträge: 5288
#4

Zitat

Ausserdem hatte ich viele offene Verbindungen zu Amazon Webservices(amazonAWS.net) was auf einem Desktop durch den Schei... ja noch ok wäre, aber beim webserver? Wie, ausser mit unhide kann ich denn noch verteckte Prozesse ermitteln?
Es gibt keine versteckten Prozesse auf Linux.
Unhide ist mir nicht bekannt - oder soll das ein Windows Webserver sein? (mir ist entgangen das lighty auf windows läuft)

Zitat

host encrypted.google.de
Host encrypted.google.de not found: 3(NXDOMAIN)
Sagt mir das es diese Host nicht gibt, wie kommst du dann mit deinem Browser auf dein Webserver dadurch?
Ist das jetzt auch so?
Während du mit deinem Browser das machst kannst du mal in einem fenster netstat -t angeben... es müßte ja eine Verbindung auf port 80 angezeigt werden.

Zitat

Aber zu meiner Verteidigung muss ich sagen, das auch der rkhunter(ich weiss er soll ja sehr empfindlich sein) mir mit einigen /dev/ Warnungen und einigen Prozessen (get, wget...) mit falscher Signatur irgendwie ja irgendwie auch dazu geraten hat.
Ach wirklich?
Welches OS (oder Linux Distribution) läuft dadrauf, welche Kernel revision?
Solche Tools sind problematisch wenn man die Dinge nicht korrekt interpretieren kann...
Seit wann läuft es - ist es ein neuer Server oder hast du ihn schon Jahrelang?

Hmm du hast mein Teil mit den host entries ja komplett übersprungen, dabei ist die DNS Integrität ebenfalls sehr wichtig sons passieren seltsame Artefakte - ich nehme an du kannst dann dazu nichts sagen?

Edit:

Zitat

PS.: Es passiert nicht nur bei encrypted.google.de, sondern überall, wo es keinen DNS Eintrag zu gibt, also auch bei 438zct57z45ub3ro487.xy... Ich poste gleich mal noch die logs vom webserver, nachm rauchen.
Tja ich versteh es schon, aber das deutet auf falsche Konfiguration hin - damit hat dein Webserver erstmal gar nichts zu tuen.
Wenn dann kommt das von deinem Router zuhause... trotzdem muss dann der host Befehl selbiges ergeben denn bevor der Browser etwas macht wird erstmal aufgelöst... oder es ist intern bei Gnome (scheinst du zu benutzen) eine falsche Konfiguration.
Kannst ja mal per links oder so versuchen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Dieser Beitrag wurde am 08.09.2010 um 17:03 Uhr von Xeper editiert.
Seitenanfang Seitenende
08.09.2010, 17:28
...neu hier

Themenstarter

Beiträge: 9
#5 Zum einen gibt glaube ich auch einen Windowslighty, das ist aber nicht mein Problem und trifft auch nicht zu (da Linux). Und unhide gibt es für Linux, ebenso wie versteckte Prozesse soweit ich weiss.

Und ich komme ja eben bei jedem host den es nicht gibt auf meinen webserver raus bei netstat -t werden nur meine xmpp verbindungen angezeigt, vor, währenddessen (soweit das möglich ist), und danach kommt das hier ...

Zitat

netstat -t
Aktive Internetverbindungen (ohne Server)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 mOIsel.localhost:44421 www.rene-dheman:xmpp-client VERBUNDEN
tcp 0 0 mOIsel.localhost:46693 jabber.ccc.de:xmpp-client VERBUNDEN
F13 ist seit gestern Nacht ganz frisch drauf, mein hostname ist wie dort steht. Er löst einfach generell meinen webserver auf, wenn er nix findet. Auch jetzt noch. Mir fällt auch eben nicht ein, warum er das tut. Ich habe mir ne neue F13 iso gezogen, und die Prüfsumme stimmte auch. Mein Heimrechner ist "nackig", da habe ich noch garnix konfiguriert. Deshalb kann ich da auch keine Konfiguration verzogen haben. Und wenn mein webserver falsch konfuguriert ist, kann doch nicht mein Heimrechner alles nichtexistente auf meine webserver ip resolven. Dazu kommt noch, daß wenn ich mich nochmal mit meinem server verbinden will(ssh), er mich wieder fragt, ob ich das Zertifikat akzeptiere. Das darf er nur einmal fragen, danach ists gespeichert und akzeptiert. Hier nochmal mein lighty-access.log

Zitat

79.159.184.87 berlin-umland.net - [07/Sep/2010:13:13:51 +0200] "HEAD / HTTP/1.1" 200 0 "http://forexmacro.blogetery.com" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
79.193.6.49 85.31.186.50 - [07/Sep/2010:13:24:32 +0200] "GET / HTTP/1.1" 200 1560 "-" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.10pre) Gecko/20100904 Ubuntu/10.04 (lucid) Namoroka/3.6.10pre"
79.193.6.49 85.31.186.50 - [07/Sep/2010:13:24:33 +0200] "GET /favicon.ico HTTP/1.1" 404 345 "-" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.10pre) Gecko/20100904 Ubuntu/10.04 (lucid) Namoroka/3.6.10pre"
79.193.6.49 85.31.186.50 - [07/Sep/2010:13:24:33 +0200] "GET /favicon.ico HTTP/1.1" 404 345 "-" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.10pre) Gecko/20100904 Ubuntu/10.04 (lucid) Namoroka/3.6.10pre"
67.210.218.108 snoof.de - [07/Sep/2010:13:38:14 +0200] "GET / HTTP/1.1" 200 3569 "-" "Java/1.6.0_14"
58.218.204.110 216.245.205.74 - [07/Sep/2010:15:34:11 +0200] "GET http://216.245.205.74/judge.php HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
79.193.6.49 mozcom-cdn.mozilla.net - [07/Sep/2010:21:23:16 +0200] "GET /style/tignish/template.css HTTP/1.1" 404 345 "http://www.mozilla.com/de/firefox/3.6.7/whatsnew/" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
79.193.6.49 mozcom-cdn.mozilla.net - [07/Sep/2010:21:23:16 +0200] "GET /style/firefox/3.6/firstrun-page-3.6.2-3.css HTTP/1.1" 404 345 "http://www.mozilla.com/de/firefox/3.6.7/whatsnew/" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
79.193.6.49 85.31.186.50 - [07/Sep/2010:21:59:15 +0200] "GET / HTTP/1.1" 200 1560 "-" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
79.193.6.49 85.31.186.50 - [07/Sep/2010:21:59:15 +0200] "GET /favicon.ico HTTP/1.1" 404 345 "-" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
79.193.6.49 85.31.186.50 - [07/Sep/2010:21:59:18 +0200] "GET /favicon.ico HTTP/1.1" 404 345 "-" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
79.193.6.49 gaoland.net - [07/Sep/2010:23:28:24 +0200] "GET / HTTP/1.1" 200 1560 "-" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
79.193.6.49 gaoland.net - [07/Sep/2010:23:28:24 +0200] "GET /favicon.ico HTTP/1.1" 404 345 "-" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
62.64.104.178 - - [08/Sep/2010:03:43:11 +0200] "GET /w00tw00t.at.ISC.SANS.DFind;) HTTP/1.1" 400 349 "-" "-"
198.186.192.44 www.berlin-umland.net - [08/Sep/2010:03:52:26 +0200] "GET / HTTP/1.1" 200 3569 "-" "-"
58.218.204.110 216.245.205.74 - [08/Sep/2010:04:49:26 +0200] "GET http://216.245.205.74/judge.php HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
58.218.204.110 216.245.205.74 - [08/Sep/2010:08:06:20 +0200] "GET http://216.245.205.74/judge.php HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
209.20.69.196 www.berlin-umland.net - [08/Sep/2010:08:18:49 +0200] "GET / HTTP/1.1" 200 3569 "-" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_5_8; en-us) AppleWebKit/531.21.8 (KHTML, like Gecko) Version/4.0.4 Safari/531.21.10"
66.249.71.134 berlin-umland.net - [08/Sep/2010:09:46:55 +0200] "GET /robots.txt HTTP/1.1" 404 345 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.71.134 berlin-umland.net - [08/Sep/2010:09:46:55 +0200] "GET / HTTP/1.1" 200 1560 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
204.236.235.245 snoof.de - [08/Sep/2010:10:54:34 +0200] "GET /robots.txt HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:10:54:34 +0200] "GET / HTTP/1.0" 200 3569 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:10:54:38 +0200] "GET /phpmyadmin HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:11:01:32 +0200] "GET /wp-admin/admin.php? HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
79.193.7.70 85.31.186.50 - [08/Sep/2010:11:04:02 +0200] "GET / HTTP/1.1" 200 1560 "-" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
79.193.7.70 85.31.186.50 - [08/Sep/2010:11:04:02 +0200] "GET /favicon.ico HTTP/1.1" 404 345 "-" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
204.236.235.245 snoof.de - [08/Sep/2010:11:04:05 +0200] "GET /phpmyadmin/index.php? HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:11:04:10 +0200] "GET /wp-admin/edit-tags.php? HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:11:04:18 +0200] "GET /wp-admin/setup-config.php? HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:11:04:41 +0200] "GET /wp-admin/tools.php HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:11:05:30 +0200] "GET /wp-admin/update.php? HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
58.218.204.110 216.245.205.74 - [08/Sep/2010:11:25:53 +0200] "GET http://216.245.205.74/judge.php HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
204.236.235.245 snoof.de - [08/Sep/2010:11:36:58 +0200] "GET /2010.08/streetview-netzneutralitat-und-mein-balken-im-auge HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:11:37:02 +0200] "GET /? HTTP/1.0" 200 3569 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:11:37:08 +0200] "GET /user_guide HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:11:37:13 +0200] "GET /wp-admin HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:11:37:18 +0200] "GET /wp-admin/edit.php HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:11:37:22 +0200] "GET /wp-admin/options-general.php HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:11:37:28 +0200] "GET /wp-admin/plugin-install.php? HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:11:37:33 +0200] "GET /wp-admin/plugins.php HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:11:37:38 +0200] "GET /wp-admin/plugins.php? HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:11:37:43 +0200] "GET /wp-admin/setup-config.php HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:11:37:49 +0200] "GET /wp-admin/themes.php HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:11:37:54 +0200] "GET /wp-admin/themes.php? HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:11:38:30 +0200] "GET /wp-login.php HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:11:39:01 +0200] "GET /index.php/2010.08/streetview-netzneutralitat-und-mein-balken-im-auge HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:11:39:06 +0200] "GET /install.php HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:11:39:11 +0200] "GET /wp-admin/edit.php? HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:11:39:17 +0200] "GET /wp-admin/import.php HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:11:39:22 +0200] "GET /wp-admin/index.php HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:11:39:27 +0200] "GET /wp-admin/install.php HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:11:39:32 +0200] "GET /wp-admin/install.php? HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:11:39:55 +0200] "GET /wp-admin/options-permalink.php HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
204.236.235.245 snoof.de - [08/Sep/2010:11:40:03 +0200] "GET /wp-login.php? HTTP/1.0" 404 345 "-" "ia_archiver (+http://www.alexa.com/site/help/webmasters; crawler@alexa.com)"
87.230.47.8 www.foneware.de - [08/Sep/2010:13:44:21 +0200] "HEAD / HTTP/1.1" 200 0 "-" "-"
92.42.124.27 www.berlin-umland.net - [08/Sep/2010:13:51:23 +0200] "GET / HTTP/1.1" 200 3569 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT)"
58.218.204.110 216.245.205.74 - [08/Sep/2010:14:44:42 +0200] "GET http://216.245.205.74/judge.php HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
79.193.7.70 encrypted.google.de - [08/Sep/2010:14:51:23 +0200] "GET / HTTP/1.1" 200 1560 "-" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
79.193.7.70 encrypted.google.de - [08/Sep/2010:14:51:23 +0200] "GET /favicon.ico HTTP/1.1" 404 345 "-" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
79.193.7.70 encrypted.google.de - [08/Sep/2010:14:52:34 +0200] "GET /favicon.ico HTTP/1.1" 404 345 "-" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
79.193.7.70 encrypted.google.de - [08/Sep/2010:14:58:19 +0200] "GET /favicon.ico HTTP/1.1" 404 345 "-" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
79.193.7.70 encrypted.google.de - [08/Sep/2010:15:15:53 +0200] "GET /favicon.ico HTTP/1.1" 404 345 "-" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
79.193.7.70 schnischnaschnucksuio.de - [08/Sep/2010:15:16:12 +0200] "GET / HTTP/1.1" 200 1560 "-" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
79.193.7.70 schnischnaschnucksuio.de - [08/Sep/2010:15:16:12 +0200] "GET /favicon.ico HTTP/1.1" 404 345 "-" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
79.193.7.70 1234567890.de - [08/Sep/2010:15:16:34 +0200] "GET / HTTP/1.1" 200 1560 "-" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
79.193.7.70 1234567890.de - [08/Sep/2010:15:16:34 +0200] "GET /favicon.ico HTTP/1.1" 404 345 "-" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
79.193.7.70 encrypted.google.de - [08/Sep/2010:15:17:10 +0200] "GET /favicon.ico HTTP/1.1" 404 345 "-" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
79.193.7.70 var.berlin-umland.net - [08/Sep/2010:15:32:52 +0200] "GET / HTTP/1.1" 200 1560 "-" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
79.193.7.70 var.berlin-umland.net - [08/Sep/2010:15:32:52 +0200] "GET /favicon.ico HTTP/1.1" 404 345 "-" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
79.193.7.70 encrypted.google.de - [08/Sep/2010:15:34:43 +0200] "GET /favicon.ico HTTP/1.1" 404 345 "-" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
79.193.7.70 waslooft.xy - [08/Sep/2010:15:35:05 +0200] "GET / HTTP/1.1" 200 1560 "-" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
79.193.7.70 waslooft.xy - [08/Sep/2010:15:35:05 +0200] "GET /favicon.ico HTTP/1.1" 404 345 "-" "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.7) Gecko/20100723 Fedora/3.6.7-1.fc13 Firefox/3.6.7"
79.228.248.115 85-31-186-50.euserv.net - [08/Sep/2010:16:20:13 +0200] "GET / HTTP/1.1" 200 1560 "-" "Mozilla/5.0 (X11; U; SunOS i86pc; de; rv:1.9.1.8) Gecko/20100226 Firefox/3.5.8"
79.228.248.115 85-31-186-50.euserv.net - [08/Sep/2010:16:20:15 +0200] "GET /favicon.ico HTTP/1.1" 404 345 "-" "Mozilla/5.0 (X11; U; SunOS i86pc; de; rv:1.9.1.8) Gecko/20100226 Firefox/3.5.8"
79.228.248.115 85-31-186-50.euserv.net - [08/Sep/2010:16:20:18 +0200] "GET /favicon.ico HTTP/1.1" 404 345 "-" "Mozilla/5.0 (X11; U; SunOS i86pc; de; rv:1.9.1.8) Gecko/20100226 Firefox/3.5.8"
87.230.47.8 www.voiceware.de - [08/Sep/2010:16:40:30 +0200] "HEAD / HTTP/1.1" 200 0 "-" "-"
Die logs sind von serverseite her ok. waslooft.xy war ich, ebenso, wie die ganzen anderen suspekten Anfragen. Aber warum landen die überhaupt da?
Seitenanfang Seitenende
08.09.2010, 17:36
Member
Avatar Xeper

Beiträge: 5288
#6

Zitat

Und unhide gibt es für Linux, ebenso wie versteckte Prozesse soweit ich weiss.
Naja das ist trotzdem relativ wahrscheinlich, du findest es dann aber trotzdem unter /proc... aber wie gesagt dazu hab ich bis jetzt nicht mal nen Proof-Of-Concept gesehen und soweit ich weiß ist Linux im Moment recht sicher (um 2.6.32.. rum).
Exploits gabs natürlich immer mal hin und wieder.

Zitat

Und ich komme ja eben bei jedem host den es nicht gibt auf meinen webserver raus bei netstat -t werden nur meine xmpp verbindungen angezeigt, vor, währenddessen (soweit das möglich ist), und danach kommt das hier ...
Dann haste es nicht richtig erwischt, oder nur eine cached Anzeige.
Benutz doch mal einen anderen webbrowser -wenn das stimmt wie du sagst müßte dich ja ssh -v encrypted.google.de zu deinem Server bringen - versuch das mal.

Zitat

Aber warum landen die überhaupt da?
Wir arbeiten dran, aber trotzdem dein Server hat erstmal nichts damit zu tuen - ich denke nicht das es sich um ein rootkit oder ähnliches handelt.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
08.09.2010, 17:38
...neu hier

Themenstarter

Beiträge: 9
#7 Ich bentze xfce, aber warum sollte irgendwas bei meinem Heimrechner überhaupt meine webserver ip resolven, solange es nicht um Berlin-umland.net, snoof.de oder irgendwelche domainleichen, welche mal auf der ip lagen, und eben heute noch da hinzeigen. Es gibt keinen grund für mein Heimnetzwerk, unaufgelöste domains dort hinzurouten.
Mein Heimrechner weiss ja nur vom befehl "ssh root@85.31.186.50" von dieser ip, deshalb darf er doch nichts dorthin routen, was der DNS nicht auflösen kann.
Seitenanfang Seitenende
08.09.2010, 17:41
Member
Avatar Xeper

Beiträge: 5288
#8

Zitat

Mein Heimrechner weiss ja nur vom befehl "ssh root@85.31.186.50" von dieser ip, deshalb darf er doch nichts dorthin routen, was der DNS nicht auflösen kann.
Echt du machst mit root über ssh? ;)
Aber eig wäre eine Antwort scho gut gewesen, du sollst das eben austesten und dann eben das verbose log pasten + netstat -t wo dann die verbindung angezeigt wird.
Ein resolve sagte ja eben das es nicht aufgelöst wird...
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
08.09.2010, 17:46
...neu hier

Themenstarter

Beiträge: 9
#9

Zitat

ssh -v encrypted.google.de
OpenSSH_5.4p1, OpenSSL 1.0.0a-fips 1 Jun 2010
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
ssh: Could not resolve hostname encrypted.google.de: Name or service not known
Scheint normal zu sein. Mein server selber ist hier auch nicht das Problem, wie ich glaube. Hast Du jabber, denn kannst ja selber mal bei mir reinkucken. Ich brauche dann nur kurz für ne portweiterleitung, damit du am router bequem vorbeikommst. Dann kannste mir ja die peinliche Wahrheit hier im Forum posten ;P
Seitenanfang Seitenende
08.09.2010, 17:46
...neu hier

Themenstarter

Beiträge: 9
#10

Zitat

ssh -v encrypted.google.de
OpenSSH_5.4p1, OpenSSL 1.0.0a-fips 1 Jun 2010
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
ssh: Could not resolve hostname encrypted.google.de: Name or service not known
Scheint normal zu sein. Mein server selber ist hier auch nicht das Problem, wie ich glaube. Hast Du jabber, denn kannst ja selber mal bei mir reinkucken. Ich brauche dann nur kurz für ne portweiterleitung, damit du am router bequem vorbeikommst. Dann kannste mir ja die peinliche Wahrheit hier im Forum posten ;P
Seitenanfang Seitenende
08.09.2010, 17:48
Member
Avatar Xeper

Beiträge: 5288
#11 Also ich denke mal das hat was mit deinem Webbrowser zu tuen, was nutzte?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
08.09.2010, 17:50
...neu hier

Themenstarter

Beiträge: 9
#12 Ich benutze Firefox auf xfce Fedora 13. Aber wie kommt dann mein browser dazu, mich dorthin zu routen? Es gibt keinen Grund für ihn
Seitenanfang Seitenende
08.09.2010, 17:52
Member
Avatar Xeper

Beiträge: 5288
#13 Kannste mir mal nen gefallen tuen und ~/.mozilla (oder ~/.firefox) kurz tempoär nach mozilla-xy umbenennen so das er mit ner neuen Konfiguration startet? ;)
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
08.09.2010, 18:12
Member
Avatar Xeper

Beiträge: 5288
#14 Ok scheint wohl nun gelöst zu sein, entweder lag es an der Browser config - oder wie ich denke auch an den DNS Einträgen die nun auf wundersame Weise (wohl vom Provider her) richtig konfiguriert wurden.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: