Zombie Server
Hallo,
also nach Anfrage von euch hier die Schliessung dieses Threads.
Zur Erinnerung:
Zombieserver einfach melden:
eindeutigen Log einfach im Ticketsystem posten oder an
abuse@ovh.net senden.
Gruss,
Angie
Schließe mich whyte an. Ich könnte den ganzen Tag damit verbringen hier IPs zu posten, die meine Server scannen. Das nimmt dem Forum total die Übersicht und bringt anderen rein garnichts.
Es wird eher Zeit, dass dieser Thread geschlossen wird.
Wie man genau vorgeht, steht 2 Posts drüber.
kann denn nicht mal einer ne liste machen mit allen hier geposteten ovh-ips... wäre vll übersichtlicher .. am besten wäre es natürlich wenn es der thread-ersteller machen würde, damit es gleich ganz vorne steht
Hallo,
aus Zeitgründen bitte ein Ticket öffnen: Quelle, Ziel, Logs. Dann gehts schneller
https://www.ovh.com/managerv3/beta/s...ort-tickets.pl
Wenn jemand vom Kundendienst das für Euch machen soll, könnt Ihr die Daten auch wie gehabt per Mail an uns schicken. Kommt dann aufs Gleiche raus.
Mathias
Da hier alle so fleissig Log Einträge postet mache ich das mal auch, weil ich gerade den Scan entdeckt habe bevor ich ins Bett gehe.
Code:
....
Jun 25 03:24:13 cc dovecot: pop3-login: Disconnected: user=, method=PLAIN, rip=91.121.84.90, lip=91.121.123.195
Jun 25 03:24:13 cc dovecot: pop3-login: Disconnected: user=, method=PLAIN, rip=91.121.84.90, lip=91.121.123.195
Jun 25 03:24:13 cc dovecot: pop3-login: Disconnected: user=, method=PLAIN, rip=91.121.84.90, lip=91.121.123.195
Jun 25 03:24:13 cc dovecot: pop3-login: Disconnected: user=, method=PLAIN, rip=91.121.84.90, lip=91.121.123.195
Jun 25 03:24:13 cc dovecot: pop3-login: Disconnected: user=, method=PLAIN, rip=91.121.84.90, lip=91.121.123.195
Jun 25 03:24:13 cc dovecot: pop3-login: Disconnected: user=, method=PLAIN, rip=91.121.84.90, lip=91.121.123.195
Code:
# grep 91.121.84.90 /var/log/mail.log | wc -l
422
ist da nicht eh nur der erste ne OVH IP ?
Oh man, da hab ich mir mal aus langeweile meine
auth.log angeguckt und folgende ips (mit bonus ) gefunden. sogar in diesem augenblick jagt da einer sein scan proggy über meine ip...tztztz... aber so wie es aussieht, nutzen bei mir fast alle das gleiche programm, kann ich zumindest anhand der reihenfolge der abgefragten user erkennen.
hier ein kleiner Auszug:
- 91.121.115.157 (1 Tag lang versucht)
- Address 65.18.149.127 maps to gemvariety.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
--> reverse mapping checking getaddrinfo for ftp.quantumdiagnostic.net failed - POSSIBLE BREAK-IN ATTEMPT!
--> reverse mapping checking getaddrinfo for www.quantumdiagnostic.net failed - POSSIBLE BREAK-IN ATTEMPT!
(2 Tage versucht)
- 210.54.120.166
(3 Tage versucht - und jetzt gerade!)
- 211.32.53.146
- 121.14.136.123
- 213.251.154.152
-->Address 213.251.154.152 maps to game13.serveurs-fr.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
So lange die meinen Server nicht hacken, oder es zu Leistungseinbrüchen kommt, kann man ja eh nicht viel machen, oder?
na dann, gute nacht
Da ham wir noch einen:
Code:
[Mon Jun 23 19:51:35 2008] [error] [client 91.121.158.38] File does not exist: /var/www/phpmyadmin
[Mon Jun 23 19:51:35 2008] [error] [client 91.121.158.38] File does not exist: /var/www/PhpMyAdmin
[Mon Jun 23 19:51:35 2008] [error] [client 91.121.158.38] File does not exist: /var/www/PMA
Zitat von
blupp1
@cha wieso?
Eröffne einfach ein Ticket und gut ist.
Wieso muss mathias denn das immer machen
Ja, werde ich in Zukunft dann besser so machen
@cha wieso?
Eröffne einfach ein Ticket und gut ist.
Wieso muss mathias denn das immer machen
Zitat von
mathias
cha, für 91.121.118.225 habe ich ein Ticket eröffnet und die Antwort auf Deine Mail hast du auch
Hallo!
Ich habe leider keine E-Mail von dir erhalten (Spam-Ordner wurde natürlich auch gecheckt).
Ich habe gerade meine Log-Files gecheckt und bin auf einige OVH-IPs gestoßen. Unter anderem erneut auf die 91.121.118.225.
Folgende 5 OVH-IPs fallen in den Log-Files seit gestern negativ auf:
91.121.88.128
91.121.146.224
91.121.118.225
91.121.142.60
91.121.15.201
Ich werde dir, Mathias, in Kürze die benötigten Daten per Mail übermitteln.
omg lol...
klingt aber geil
Zitat von
sledge0303
Solange Windowsserver, XAMPP und wannabe Admins in einem Atemzug genannt werden müssen, wird es sich mit den Zombie-Servern nie erübrigen.
Da fällt mir gerade etwas aktuelles dazu ein, das ich unbedingt loswerden muss.
An meiner Schule (
Handelsakademie) mit Schwerpunkt IT (!!!) wird die neue Joomla-Webseite auf einem Windows-Server mit XAMPP im Produktivbetrieb (!!!) gehostet. Alle Informatik-Professoren haben keine Ahnung von dem was sie machen, aber sie versuchen, den Schülern etwas beizubringen.
PhpMyAdmin ist vom Schulnetzwerk ungeschützt (ohne Passworteingabe) erreichbar. Ich hab dann den zuständigen Professor mal darauf aufmerksam gemacht und ihm gezeigt, was ich damit so anstellen kann. Es wurde dann umgehend passwortgeschützt.
Aber ich bin gespannt, wann das so ein richtiger Zombie-Server wird. Ein ganz normales XAMPP in der Standardkonfiguration. Es erschütterte mich auch folgende Aussage eines Professors: "Solange es läuft möchte ich daran nichts mehr ändern.".
Übrigens steht der Server in der Schule und ist mit sensationellen 512 Kbit/s an das Internet angebunden. Auf die Frage, warum man keinen Server oder ein Webspace-Paket mietet, das in einem Rechenzentrum mit vernünftiger Anbindung steht, meinte man nur, dass das nötige Wissen fehlt.
Und so etwas nennt sich Bundeshandelsakademie mit Schwerpunkt IT. Es gibt ab der 3. Klasse unter anderem die Schulfächer Netzwerktechnik, Webdesign, Programmierung & Softwareentwicklung. Allerdings habe ich diese erst in zwei Jahren. Bin gespannt, was ich den Professoren alles beibringen muss *lol*
lg
cha
sledge0303
21.06.08, 18:06
SSH Port verschieben, dann kann man auf unnötige Tools wie fail2ban und wie der Schrott heisst verzichten. Authentifikation per Key und schon braucht man sich nicht nachts schlaflos aus Angst vor Zombies im Bett liegen.
Solange Windowsserver, XAMPP und wannabe Admins in einem Atemzug genannt werden müssen, wird es sich mit den Zombie-Servern nie erübrigen.
Sie sind da wie Mücken die nachts schlafraubend durchs Zimmer surren, schlägst die eine tot, dann kommt die nächste...
Hallo,
genau, dadurch gehts u.U. schneller. Andernfalls wie gehabt über den Kundendienst abwickeln, wir erstellen das Ticket auch gerne für Dich.
Mathias
mdt-webservices
21.06.08, 12:49
Hallo Kenjin,
um den Vorgang zu beschleunigen u. den Zombi schnellstmöglich außer gefecht zu setzen, bitte ich dich im Namen aller User ambesten ein Ticket im Kundenmanager (unter Verwaltung zu finden) zu erstellen, wo du einfach erleuterst das dein Server von einen OVH-Server angergriffen wird.
Einfach Log anhängen fertig! Die Techniker im RZ kümmern sich dann schon darum!
Eigentlich wollte ich meinen SSH-Port schon ändern, aber da ich den sowieso abgesichert habe kann ich wenigstens beruhigt den Log mit den Zombies auslesen.
Bernhard
Jun 21 11:48:48 ks3* sshd[31973]: Invalid user audrey from 91.121.115.157
Jun 21 11:48:50 ks3* sshd[31973]: Failed password for invalid user audrey from 91.121.115.157 port 44023 ssh2
Jun 21 11:48:51 ks3* sshd[31975]: Invalid user claire from 91.121.115.157
Jun 21 11:48:53 ks3* sshd[31975]: Failed password for invalid user claire from 91.121.115.157 port 44198 ssh2
Jun 21 11:48:53 ks3* sshd[31977]: Invalid user luna from 91.121.115.157
Jun 21 11:48:54 ks3* sshd[31977]: Failed password for invalid user luna from 91.121.115.157 port 44358 ssh2
Jun 21 11:48:54 ks3* sshd[31980]: Invalid user clarisse from 91.121.115.157
Jun 21 11:48:56 ks3* sshd[31980]: Failed password for invalid user clarisse from 91.121.115.157 port 44468 ssh2
hier haben wir noch einen
mdt-webservices
21.06.08, 10:27
Hallo Mathias,
hab dir zwar ein Mail geschickt, aber trotzdem nochmal Danke für die rasche Abwicklung des Tickets!
Ich finde es gut wenn sich der Support bemüht solche Störfaktoren auszuschließen, welche in großer Anzahl schon zu massiven Störungen u. Überlastungen des Netzwerks führen können.
Garnicht daran zu denken, dass für seriöse Kunden auch dahin gehend ein Schaden entstehen kann wenn man durch Spaming wegen eines Zombies welcher sich auf einen selben Subnetz befindet, schnell auf einer Blacklist wieder finden kann.
Dies war auch ein Grund warum ich meinen alten Provider den Rücken gekehrt habe
und hier mehr als nur Positiv überrascht wurde wo nicht nur der Kunderndienst für die Bemühungen zu erwähnen ist.
Trotzdem sollten wir auch im eigenen Interesse dazu betragen diese Störfaktoren aufzudecken, wie es schon Schwarzlicht angebracht hat, zudem dazu auch Serverkunden gehören, die ehrlich gesagt von Rootservern keine Ahnung haben u. auch schnell zu Zombies werden.
Auch hier sollten wir dazu beitragen diese aufzudecken u. am besten ein Webhostingpacket oder einen Virtuellen-Rootserver (mit Einschränkungen) verpassen. Natürlich ist nicht auszuschließen, dass diese nicht auch etwas dazu lernen u. auch Mal einen Root-Server beherrschen, wo vielleicht viele von euch einmal angefangen haben.
Bernhard
Hallo,
mathias ich habe dir auch eine Email geschickt.
Christopher
Hallo,
Zitat von
baldi
wieso wird so ein sensibles thema überhaupts öffentlich diskutiert und vom Kundendienst werden sogar nähere Infos zu einzele Server gegeben ?
wenn einer unserer Kunde angegriffen wird, dann hat dieser ein Recht auf bestimmte Details. Die Infos, welche ich gepostet habe, sind ohnehin für jeden recht einfach zu beschaffen oder andernfalls einfach nicht relevant und auch nicht sensibel.
cha, für 91.121.118.225 habe ich ein Ticket eröffnet und die Antwort auf Deine Mail hast du auch
Mathias
Zitat von
mathias
91.121.139.125 + 91.121.118.225 + 91.121.97.30 - hierfür benötigen wir wie gesagt noch die Ziel-IP
Die Ziel-IP von 91.121.118.225 hast du per Mail von mir bekommen.
wieso wird so ein sensibles thema überhaupts öffentlich diskutiert und vom Kundendienst werden sogar nähere Infos zu einzele Server gegeben ?
schwarzlicht
20.06.08, 14:08
HI,
man ganz blöde gefragt: wäre es nicht von Vorteil für den Support einen oder zwei RPS aufzustellen und dort dann selbst die Logs zu filtern um "Zombies" zu finden?
Gibt da ja auch feine Automailer die die Logs mit OVH-IP's dann täglich mailen*.
EDIT: *natürlich an uns alle
91.121.99.31 ist momentan suspendiert, aber nicht wegen Hack
91.121.98.173 + 91.121.72.90 suspendiert wegen Hack bzw. Sicherheitslücken wurden geschlossen.
91.121.139.125 + 91.121.118.225 + 91.121.97.30 - hierfür benötigen wir wie gesagt noch die Ziel-IP
Mathias
mdt-webservices
20.06.08, 12:12
Hallo,
kann von unserer Seite auch von massiven Zugriffsversuchen sprechen,
welche es über mehrere Wege versucht haben auf den Server Zugriuff zu verschsaffen!
IPs aus Apache-Error-log:
91.65.224.23
194.16.54.75
91.121.118.225 (OVH-Server)
38.104.58.118
64.246.165.210
81.208.92.7
91.121.99.31 (OVH-Server)
91.121.139.125 (OVH-Server)
91.200.139.68
84.108.130.127
78.111.71.129
204.11.233.234
IPs aus fail2ban.log:
91.121.98.173 --> sapaudie.fr (OVH-Server)
62.12.164.237
59.125.238.109
91.121.72.90 (OVH-Server)
91.121.97.30 (OVH-Server)
194.2.179.125
kern.log (IP gehört zu einen t-dialin.net User):
Jun 18 18:18:05 mns kernel: TCP: Treason uncloaked! Peer 91.20.105.91:4541/80 shrinks window 2198668840:2198682309. Repaired.
Außer das es lästig ist, verursachen diese Zugriffsversuche bei uns keinen Schaden, da die Server dementsprechend abgesichert sind!
MfG Bernhard
Oder ein Windows-Plesk-XAMPP-Hybrid. Der wäre dann dermaßen unsicher, dass er schon wieder sicher ist... oder selbständig versucht, Sicherheitslücken bei anderen Servern zu beheben, wie man anhand der Logs schön erkennen kann.
Ja ich weiß, is Freitag -> Zeit für schlechte Witze
Mathias
Zitat von
mathias
Hallo,
damit wir etwas unternehmen können, benötigen wir Quelle und Ziel der Attacke. (besser per Mail an uns).
91.121.118.225 - dieser Windows Server wurde noch nicht unschädlich gemacht, deshalb am Besten so schnell wie möglich per Mail an uns oder ein Ticket öffnen.
Mathias
Wenn das nen Windows Server ist dann isses ja ne hammergeile Mischung- Windows + Plesk.. wow das Grauen hat einen Namen.
Und das Angebot der dahinterliegenden spanischen Domain passt dann ja auch noch zum Thema ...
Hallo,
damit wir etwas unternehmen können, benötigen wir Quelle und Ziel der Attacke. (besser per Mail an uns).
91.121.118.225 - dieser Windows Server wurde noch nicht unschädlich gemacht, deshalb am Besten so schnell wie möglich per Mail an uns oder ein Ticket öffnen.
Mathias
Zitat von
blupp1
EDIT:
[Wed Jun 18 11:14:58 2008] [error] [client 91.121.118.225] File does not exist: /var/www/phpmyadmin
[Wed Jun 18 11:14:58 2008] [error] [client 91.121.118.225] File does not exist: /var/www/PhpMyAdmin
[Wed Jun 18 11:14:58 2008] [error] [client 91.121.118.225] File does not exist: /var/www/PMA
[Wed Jun 18 11:30:14 2008] [error] [client 91.121.118.225] File does not exist: /var/www/phpmyadmin
[Wed Jun 18 11:30:14 2008] [error] [client 91.121.118.225] File does not exist: /var/www/PhpMyAdmin
[Wed Jun 18 11:30:14 2008] [error] [client 91.121.118.225] File does not exist: /var/www/PMA
Kann ich bestätigen. Der versucht das selbe auf meinem Server auch die ganze Zeit. Und das schon seit mehreren Tagen.
TF_SChw@rZl!cht
19.06.08, 12:11
gerade gefunden
Code:
[14/Jun/2008:21:54:46 +0200] [91.121.124.122] Bad Request :
[14/Jun/2008:21:13:28 +0200] [91.121.66.35] /unauthenticated//
[14/Jun/2008:21:13:27 +0200] [91.121.66.35] Bad Request :
versuchte Webmin zu knacken -.-
Edit:
Code:
91.121.142.60 - - [19/Jun/2008:10:20:24 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 340 "-" "-"
[Tue Jun 17 04:06:28 2008] [error] [client 91.121.99.31] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind
[Tue Jun 17 04:11:15 2008] [error] [client 91.121.99.31] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind
[Tue Jun 17 04:50:51 2008] [error] [client 91.121.139.125] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind
Hier hab ich wieder welche
EDIT:
[Wed Jun 18 11:14:58 2008] [error] [client 91.121.118.225] File does not exist: /var/www/phpmyadmin
[Wed Jun 18 11:14:58 2008] [error] [client 91.121.118.225] File does not exist: /var/www/PhpMyAdmin
[Wed Jun 18 11:14:58 2008] [error] [client 91.121.118.225] File does not exist: /var/www/PMA
[Wed Jun 18 11:30:14 2008] [error] [client 91.121.118.225] File does not exist: /var/www/phpmyadmin
[Wed Jun 18 11:30:14 2008] [error] [client 91.121.118.225] File does not exist: /var/www/PhpMyAdmin
[Wed Jun 18 11:30:14 2008] [error] [client 91.121.118.225] File does not exist: /var/www/PMA
Hab auch ein paar:
Code:
Added the following hosts to /etc/hosts.deny:
91.121.92.165 (ns353231.ovh.net)
Added the following hosts to /etc/hosts.deny:
91.121.97.30 (ns29021.ovh.net)
Added the following hosts to /etc/hosts.deny:
91.121.84.55 (ks352616.kimsufi.com)
Hallo,
der wurde bereits am Freitag von uns überprüft. Hoffe (für den Kunden), dass der jetzt nicht mehr in Deinen Logs auftaucht
Mathias
Wie schauts mit 91.121.198.171 aus?
Hatte ich letzte Woche gemeldet aber kein reply bekommen.
91.121.72.90 wurde übrigens unschädlich gemacht.
Mathias
Hallo,
eine Rückmeldung bekommt Ihr, wenn uns die Logs per Mail oder Ticket erreichen.
https://www.ovh.com/managerv3/beta/s...ort-tickets.pl
Weiterer Vorteil: Ihr könnt auf Deutsch schreiben
Hierbei ist wichtig: Quelle und Ziel sollten ersichtlich sein.
Mathias
Mail geht direkt nach F ins NOC.
Bekommt man zwar keine Antwort, aber ich hoff mal, dass die Mails beachtet werden :P
schon spannend wieviele server "probleme" haben
was hat ovh übrigens lieber? meldungen per abuse[at]ovh.net oder hier im forum?
Und noch einer:
Jun 18 05:36:43 soleil sshd[2052]: Invalid user derrick from 91.121.72.90
Jun 18 05:36:43 soleil sshd[2057]: Invalid user desktop from 91.121.72.90
Jun 18 05:36:43 soleil sshd[2063]: Invalid user divine from 91.121.72.90
Jun 18 05:36:43 soleil sshd[2069]: Invalid user donald from 91.121.72.90
Jun 18 05:36:43 soleil sshd[2073]: Invalid user elizabeth from 91.121.72.90
Jun 18 05:36:43 soleil sshd[2079]: Invalid user elliott from 91.121.72.90
Jun 18 05:36:44 soleil sshd[2089]: Invalid user end from 91.121.72.90
Jun 18 05:36:44 soleil sshd[2101]: Invalid user eppc from 91.121.72.90
Jun 18 05:36:44 soleil sshd[2105]: Invalid user eva from 91.121.72.90
Jun 18 05:36:44 soleil sshd[2109]: Invalid user fisherman from 91.121.72.90
Jun 18 06:19:36 soleil sshd[10567]: Invalid user cutler from 91.121.72.90
Jun 18 06:19:36 soleil sshd[10576]: Invalid user dalma from 91.121.72.90
Jun 18 06:19:36 soleil sshd[10582]: Invalid user dan from 91.121.72.90
Jun 18 06:19:37 soleil sshd[10588]: Invalid user dann from 91.121.72.90
Jun 18 06:19:37 soleil sshd[10594]: Invalid user davy from 91.121.72.90
Jun 18 06:19:37 soleil sshd[10601]: Invalid user deborah from 91.121.72.90
Jun 18 06:19:37 soleil sshd[10620]: Invalid user den from 91.121.72.90
Jun 18 06:19:37 soleil sshd[10626]: Invalid user denise from 91.121.72.90
Jun 18 06:19:37 soleil sshd[10632]: Invalid user depp from 91.121.72.90
Jun 18 07:02:36 soleil sshd[19126]: Invalid user catherine from 91.121.72.90
Jun 18 07:02:37 soleil sshd[19131]: Invalid user channell from 91.121.72.90
Jun 18 07:02:37 soleil sshd[19135]: Invalid user claudia from 91.121.72.90
Jun 18 07:02:37 soleil sshd[19141]: Invalid user cody from 91.121.72.90
Jun 18 07:02:37 soleil sshd[19147]: Invalid user color from 91.121.72.90
Jun 18 07:02:37 soleil sshd[19161]: Invalid user connie from 91.121.72.90
Jun 18 07:02:37 soleil sshd[19167]: Invalid user cook from 91.121.72.90
Jun 18 07:02:37 soleil sshd[19173]: Invalid user corinna from 91.121.72.90
Jun 18 07:02:37 soleil sshd[19177]: Invalid user cory from 91.121.72.90
Jun 18 07:02:38 soleil sshd[19181]: Invalid user cotton from 91.121.72.90
Jun 18 07:45:35 soleil sshd[26931]: Invalid user backup01 from 91.121.72.90
Jun 18 07:45:36 soleil sshd[26936]: Invalid user backup02 from 91.121.72.90
Jun 18 07:45:36 soleil sshd[26940]: Invalid user backup1 from 91.121.72.90
Jun 18 07:45:36 soleil sshd[26944]: Invalid user backup2 from 91.121.72.90
Jun 18 07:45:36 soleil sshd[26950]: Invalid user baker from 91.121.72.90
Jun 18 07:45:36 soleil sshd[26956]: Invalid user barry from 91.121.72.90
Jun 18 07:45:36 soleil sshd[26972]: Invalid user beckett from 91.121.72.90
Jun 18 07:45:36 soleil sshd[26976]: Invalid user brett from 91.121.72.90
Jun 18 07:45:36 soleil sshd[26982]: Invalid user brien from 91.121.72.90
Jun 18 07:45:37 soleil sshd[26986]: Invalid user bryan from 91.121.72.90
Jun 18 08:28:41 soleil sshd[6121]: Invalid user caren from 91.121.72.90
Jun 18 08:28:42 soleil sshd[6126]: Invalid user apache from 91.121.72.90
Jun 18 08:28:42 soleil sshd[6132]: Invalid user apache01 from 91.121.72.90
Jun 18 08:28:42 soleil sshd[6136]: Invalid user apache1 from 91.121.72.90
Jun 18 08:28:42 soleil sshd[6141]: Invalid user apache2 from 91.121.72.90
Jun 18 08:28:42 soleil sshd[6147]: Invalid user appserver from 91.121.72.90
Jun 18 09:11:44 soleil sshd[15257]: Invalid user agent from 91.121.72.90
Jun 18 09:11:45 soleil sshd[15261]: Invalid user alias from 91.121.72.90
Jun 18 09:11:45 soleil sshd[15265]: Invalid user ann from 91.121.72.90
Jun 18 09:11:45 soleil sshd[15279]: Invalid user ansel from 91.121.72.90
Jun 18 09:11:45 soleil sshd[15285]: Invalid user apache from 91.121.72.90
Jun 18 09:11:45 soleil sshd[15291]: Invalid user apache from 91.121.72.90
Jun 18 09:11:45 soleil sshd[15297]: Invalid user apache from 91.121.72.90
Jun 18 09:11:45 soleil sshd[15301]: Invalid user apache from 91.121.72.90
Jun 18 09:11:45 soleil sshd[15305]: Invalid user apache from 91.121.72.90
Dieser Server wurde bereits suspendiert und anschließend überprüft.
Somit geht von ihm jetzt keine Gefahr mehr aus.
Mathias
Jun 17 15:26:53 ks3* sshd[17362]: Failed password for invalid user test from 91.121.92.165 port 57734 ssh2
Jun 17 15:26:55 ks3* sshd[17365]: Failed password for invalid user melinda from 91.121.92.165 port 57767 ssh2
Jun 17 15:26:57 ks3* sshd[17367]: Failed password for invalid user friend from 91.121.92.165 port 57807 ssh2
Jun 17 15:26:59 ks3* sshd[17369]: Failed password for invalid user cooper from 91.121.92.165 port 57859 ssh2
Jun 17 15:27:01 ks3* sshd[17371]: Failed password for invalid user webmail from 91.121.92.165 port 57929 ssh2
Jun 17 15:27:03 ks3* sshd[17418]: Failed password for invalid user info from 91.121.92.165 port 57989 ssh2
Jun 17 15:27:06 ks3* sshd[17422]: Failed password for invalid user db2inst1 from 91.121.92.165 port 58045 ssh2
Jun 17 15:27:07 ks3* sshd[17424]: Failed password for invalid user jacky from 91.121.92.165 port 58103 ssh2
Jun 17 15:27:09 ks3* sshd[17429]: Failed password for invalid user janet from 91.121.92.165 port 58156 ssh2
Jun 17 15:27:11 ks3* sshd[17431]: Failed password for invalid user sherry from 91.121.92.165 port 58222 ssh2
noch einer :/
War nur ein kleiner Nachtrag, wenn du dir den ersten Quote anschaust siehst du eine OVH-Kiste.
Was postest du den sprintlink hier rein? Bei meinem Posting ging die Attacke von einer OVH-Kiste aus.
Jun 13 17:27:00 stock proftpd[16053]: ns358728.ovh.net (91.121.113.207[91.121.113.207]) - USER ftp: no such user found from 91.121.113.207 [91.121.113.207] to 91.121.153.156:21
Jun 13 17:27:00 stock proftpd[16053]: ns358728.ovh.net (91.121.113.207[91.121.113.207]) - FTP session closed.
Jun 13 17:27:00 stock proftpd[16054]: ns358728.ovh.net (91.121.113.207[91.121.113.207]) - USER anyone: no such user found from 91.121.113.207 [91.121.113.207] to 91.121.153.156:21
Jun 13 17:27:00 stock proftpd[16054]: ns358728.ovh.net (91.121.113.207[91.121.113.207]) - FTP session closed.
Jun 13 17:27:00 stock proftpd[16055]: ns358728.ovh.net (91.121.113.207[91.121.113.207]) - USER newuser: no such user found from 91.121.113.207 [91.121.113.207] to 91.121.153.156:21
Jun 13 17:27:00 stock proftpd[16055]: ns358728.ovh.net (91.121.113.207[91.121.113.207]) - FTP session closed.
Jun 14 13:18:47 stock sshd[5175]: Failed password for root from 222.221.249.116 port 43321 ssh2
Jun 14 13:18:50 stock sshd[5181]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.221.249.116 user=root
Jun 14 13:18:52 stock sshd[5181]: Failed password for root from 222.221.249.116 port 44011 ssh2
Jun 14 13:18:55 stock sshd[5191]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.221.249.116 user=root
Jun 14 13:18:57 stock sshd[5191]: Failed password for root from 222.221.249.116 port 44704 ssh2
Jun 14 13:19:00 stock sshd[5195]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.221.249.116 user=root
Jun 14 13:19:01 stock CRON[5198]: (pam_unix) session opened for user root by (uid=0)
Jun 14 13:19:02 stock sshd[5195]: Failed password for root from 222.221.249.116 port 45337 ssh2
Jun 14 13:19:06 stock CRON[5198]: (pam_unix) session closed for user root
Jun 14 13:19:08 stock sshd[5244]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.221.249.116 user=root
Jun 14 13:19:10 stock sshd[5244]: Failed password for root from 222.221.249.116 port 45992 ssh2
Jun 14 13:19:13 stock sshd[5251]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.221.249.116 use
sl-china1-7-0.sprintlink.net
Sagt alles oder^^ Die Iptables füllen sich ^^
Lines containing IP:91.121.146.224 in /var/log/auth.log
Jun 14 12:45:08 soleil sshd[13609]: Did not receive identification string from 91.121.146.224
Jun 14 13:14:15 soleil sshd[20241]: Invalid user admin from 91.121.146.224
Jun 14 13:14:15 soleil sshd[20252]: Invalid user stud from 91.121.146.224
Jun 14 13:14:15 soleil sshd[20258]: Invalid user trash from 91.121.146.224
Jun 14 13:14:16 soleil sshd[20262]: Invalid user aaron from 91.121.146.224
Jun 14 13:14:16 soleil sshd[20266]: Invalid user gt05 from 91.121.146.224
Jun 14 13:14:16 soleil sshd[20270]: Invalid user william from 91.121.146.224
Jun 14 13:14:16 soleil sshd[20274]: Invalid user stephanie from 91.121.146.224
Jun 14 13:14:17 soleil sshd[20312]: Invalid user gary from 91.121.146.224
Jun 14 13:14:17 soleil sshd[20322]: Invalid user guest from 91.121.146.224
Und mal wieder einer....
und xampp =>
http://www.apachefriends.org
Für die eigene Testumgebung das non plus ultra, hat aber auf einem produktiven System nichts zu suchen (steht dort auch irgendwo).
schwarzlicht
12.06.08, 08:31
Zitat von
OptimusPrime
Hallo
interessante materie
Was ist nen Zombie server und hier wird was von xamp geschrieben was ist das alles??
*rot werd*
Das ist jetzt kein "Fachbegriff", soll aber einen Server beschreiben welcher von seinem Admin unzureichend abgesichert wurde, von einem Angreifer dadurch übernommen werden konnte und jetzt andere Server angreift.
Falls Du mal einen Film mit Zombies gesehen hast weiß Du jetzt warum sie hier "Zombie-Server" genannt werden.
galleryhoster
12.06.08, 08:06
@schwarzlicht
abgeschaltet hat er es bis jetze noch nicht -.-
OptimusPrime
12.06.08, 02:49
Hallo
interessante materie
Was ist nen Zombie server und hier wird was von xamp geschrieben was ist das alles??
*rot werd*
schwarzlicht
12.06.08, 01:23
Code:
Jun 10 14:02:54 ns37x sshd[30045]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ks352616.kimsufi.com
Jun 10 14:02:56 ns37x sshd[30045]: Failed password for invalid user trash from 91.121.84.55 port 42035 ssh2
Jun 10 14:02:56 ns37x sshd[30047]: Invalid user aaron from 91.121.84.55
Jun 10 14:02:56 ns37x sshd[30047]: (pam_unix) check pass; user unknown
Jun 10 14:02:56 ns37x sshd[30047]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ks352616.kimsufi.com
Jun 10 14:02:58 ns37x sshd[30047]: Failed password for invalid user aaron from 91.121.84.55 port 42321 ssh2
Das ist kein Windows Server! Und wer mal Lust hat sich in phpmyadmin einzuloggen -> root hat da kein Passwort!
Edit:
Da ich Zugriff auf "seine " Db hatte habe ich den Inhaber per Mail informiert.
Und das bringt jetz genau was, die hier zu posten? Sorry aber wenn man von OVH Servern gescant wird, dann wendet man sich an OVH. Ansonsten an die anderen Provider.
Hallo,
ich wollte auch mal mein Senf dazu geben, diese Daten sind nur von heute. Ist aber kein OVH Server dabei sondern Server bei anderen großen Providern, deren Namen ich hier nicht nennen werden. Kann ja jeder selber nachschauen.
PHP-Code:
[Wed Jun 11 13:09:44 2008] [error] [client 89.106.8.110] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DF$
[Wed Jun 11 13:41:14 2008] [error] [client 203.68.179.195] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.$
[Wed Jun 11 14:23:43 2008] [error] [client 87.106.217.99] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.D$
[Wed Jun 11 14:26:58 2008] [error] [client 88.80.215.15] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DF$
[Wed Jun 11 15:18:47 2008] [error] [client 87.118.110.254] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.$
[Wed Jun 11 15:36:52 2008] [error] [client 87.118.110.254] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.$
[Wed Jun 11 15:56:45 2008] [error] [client 87.118.110.254] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.$
[Wed Jun 11 16:07:18 2008] [error] [client 87.106.217.99] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.D$
Viele Grüße
Dominik Klages
[Tue Jun 10 20:20:25 2008] [error] [client 195.34.105.108] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind
[Tue Jun 10 20:24:29 2008] [error] [client 204.228.228.89] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind
[Tue Jun 10 20:32:40 2008] [error] [client 87.225.33.130] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind
Müsste eig jeder Server haben
Edit: Nach OVH-Servern müsste ich mal suchen
Schon etwas älter:
Code:
[Sat Jun 07 08:42:49 2008] [error] [client 91.121.147.13] File does not exist: .../html/phpmyadmin
[Sat Jun 07 08:42:49 2008] [error] [client 91.121.147.13] File does not exist: .../html/PhpMyAdmin
[Sat Jun 07 08:42:49 2008] [error] [client 91.121.147.13] File does not exist: .../html/PMA
und
[Sat Jun 07 04:05:14 2008] [error] [client 91.121.156.149] File does not exist: .../html/administrator
Hallo,
hab hier sowas:
[Tue Jun 10 14:50:51 2008] [error] [client 89.183.24.42] File does not exist: /var/www/phpbb, referer: http://91.121.148.66/phpbb/viewtopic.php?t=72&postday$
ist sowas das gleiche?
und auch sowas?
[Mon Jun 09 08:12:09 2008] [error] [client 91.121.158.38] File does not exist: /var/www/phpmyadmin
Hallo,
die Kunden dieser beiden Windows-Server werden wir kontaktieren. Danke für die Logs.
Mathias
Ich habe auch mal zwei:
Code:
91.121.158.38 - - [09/Jun/2008:18:39:26 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 301 - "-" "-"
91.121.158.38 - - [09/Jun/2008:18:39:27 +0200] "GET /PhpMyAdmin/main.php HTTP/1.0" 301 - "-" "-"
91.121.158.38 - - [09/Jun/2008:18:39:27 +0200] "GET /PMA/main.php HTTP/1.0" 301 - "-" "-"
91.121.158.38 - - [09/Jun/2008:18:54:45 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 301 - "-" "-"
91.121.158.38 - - [09/Jun/2008:18:54:45 +0200] "GET /PhpMyAdmin/main.php HTTP/1.0" 301 - "-" "-"
91.121.158.38 - - [09/Jun/2008:18:54:45 +0200] "GET /PMA/main.php HTTP/1.0" 301 - "-" "-"
91.121.118.225 - - [09/Jun/2008:22:36:27 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 301 - "-" "-"
91.121.118.225 - - [09/Jun/2008:22:36:27 +0200] "GET /PhpMyAdmin/main.php HTTP/1.0" 301 - "-" "-"
91.121.118.225 - - [09/Jun/2008:22:36:27 +0200] "GET /PMA/main.php HTTP/1.0" 301 - "-" "-"
91.121.118.225 - - [09/Jun/2008:22:51:53 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 301 - "-" "-"
91.121.118.225 - - [09/Jun/2008:22:51:53 +0200] "GET /PhpMyAdmin/main.php HTTP/1.0" 301 - "-" "-"
91.121.118.225 - - [09/Jun/2008:22:51:53 +0200] "GET /PMA/main.php HTTP/1.0" 301 - "-" "-"
Gruß
immer wieder lustig schlecht gesicherte server zu beobachten^^
kimsufi=die ultimative kiddie-kiste -->das ist nicht generell bezogen, sondern bezieht auf das preis/leistungs-verhältnis was es wohl einigen kiddies einfacher macht den server von ihrem taschengeld zu finanzieren^^
aber naja so langs bei ein paar portscans bleibt ; )
Kompr. system ? Solange wie sie nur scannen muss es ja nicht heissen das was offen ist
Wenn man sicher ist das das System sicher ist ... kann ja nichts passieren (es sein denn man hat ne Windoof Kiste *lach*)
Ich hatte mal nen Server bekommen wo der Root kein PW hatte ... Rechner war 2 min. Online und schon war er wieder "wech" ...
Aber trotzdem .. diese Logeinträge findet man eigendlich bei jeden Root ... oder versuchte zugriffe auf phpmyadmin wie am anfang zu sehen war... damit muss man leider leben in der heutigen zeit ... leider ...
Probier die IP's per iptables zu blockieren. Iptables zu umgehen, dürfte den Kids schon schwerer fallen. Ich mach das so:
Code:
#Block DFind
for ip in `cat /var/log/apache2/error_log |grep w00tw00t | awk '{print $8}' | sed 's/]//g' | sort -ug` ; do
countoff=$[$countoff+1]
countwoot=$[$countwoot+1]
iptables -I INPUT -s $ip -j DROP
iptables -I OUTPUT -s $ip -j DROP
done
countoff und countwoot sind lediglich Zählvariablen in meinem Firewall-Bash-Script. Es empfiehlt sich ebenfalls diese IP's in einem File abzulegen und zusätzlich zu sperren, denn die Logs werden ja rotiert. Und die IP's könnten beim nächsten Durchlauf am Folgetag schon wieder offen sein.
Teste erst die Ausgabe des cat auf dem System, sonst sperrst du dich noch selbst
Trotzdem ist es ein Indiz für ein kompr. System.
Zitat von
pbm
Code:
ks36310.kimsufi.com
[Tue May 27 19:13:28 2008] [error] [client 87.98.217.110] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
Diese Zeilen sind der Fingerprint von DFind, einem vulnerability Scanner, der den Server auf Schwachstellen durchsucht. Bei Symantec kennt man das Tool als “Hacktool.DFind” - dort ist auch eine Liste von Schwachstellen, auf die das Programm mögliche Opfer testet.
Also kein direkter Hackversuch ... erst die ersten Anläufe ;(
Zitat von
pbm
na wieder einer ders versucht.
Code:
ks36310.kimsufi.com
[Tue May 27 19:13:28 2008] [error] [client 87.98.217.110] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
entweder nen kiddie der mal was testen wollt, oder noch nen zombie mehr.
Hatte diesen Gast auch auf meinem Server... (Portscan). Dagegen hilft das hier eigentlich ganz gut:
Code:
iptables -A INPUT -s 87.98.217.110 -j DROP
Nicht alle Windows User sind hier die Zombies ja ^^.
Obwohl Xamp und Thema mein Inet geht nicht schon merkwürdige Themen sind.
schwarzlicht
27.05.08, 22:44
Ich glaube fast die haben alle eine Win2k3 ISO von file*ox.out installiert und kriegen gar nicht mit was da bei denen so läuft.
na wieder einer ders versucht.
Code:
ks36310.kimsufi.com
[Tue May 27 19:13:28 2008] [error] [client 87.98.217.110] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
entweder nen kiddie der mal was testen wollt, oder noch nen zombie mehr.
und im moment scheint nich nur windows beliebt zu sein.
http://www.heise.de/newsticker/Tause...meldung/108528
schwarzlicht
27.05.08, 22:27
Zitat von
TF_SChw@rZl!cht
lol jetzt wird schon der Support ironisch
Wo ist denn da die Ironie? Das ist eher Sarkasmus.
Verdammt.
Du hast mich durchschaut.
Wir hatten ja schon ne eigene Nationalmanschaften und haben ein Staatstheater.
Das hat/-te sonst auch kein Bundesland ;-)
Die armen Kiddies
Du willst doch nur, dass SB Bundeshauptstadt wird und saarländisch zur Weltsprache
Solangsam wäre es auch mal Interessant verseuchte Windows Server 2003 ISOs ins Netz zu stellen. Ich würde mal sagen spätestens nach 2-3 Wochen haben etliche Leute die die ISO Option zum Booten verwenden das Teil drauf und man hat noch ein paar Zombies die man dazu verwenden kann irgendwann die Weltherschafft an sich zu reißen ;-)
Und morgen wieder: "Das Internet auf meinem Root funktioniert nicht!1111"
Tja "Ahh Windows = Remote Desktop klick klick XAMPP läuft ;-) "
Naja, ich würds eher auf die Administratoren als auf Microsoft schieben.
Ich hack zwar auch gerne auf MS rum, aber in diesem Fall muss man sie in Schutz nehmen
TF_SChw@rZl!cht
27.05.08, 16:51
Zitat von
mathias
Hallo,
danke für die Logs. Es handelt sich um französische und spanische Kunden, welche jetzt zunächst von uns kontaktiert werden.
Übrigens: Das sind alles Windows-Server.
Mathias
lol jetzt wird schon der Support ironisch
Hallo,
danke für die Logs. Es handelt sich um französische und spanische Kunden, welche jetzt zunächst von uns kontaktiert werden.
Übrigens: Das sind alles Windows-Server.
Mathias
ks32764.kimsufi.com <= sehr häufig in den logs zu sehen
Code:
ks358345.kimsufi.com - - [25/May/2008:23:10:13 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
ks32764.kimsufi.com - - [26/May/2008:00:41:50 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 404 217 "-" "-"
ks32764.kimsufi.com - - [26/May/2008:00:41:50 +0200] "GET /PhpMyAdmin/main.php HTTP/1.0" 404 217 "-" "-"
ks32764.kimsufi.com - - [26/May/2008:00:41:50 +0200] "GET /PMA/main.php HTTP/1.0" 404 210 "-" "-"
ks32764.kimsufi.com - - [26/May/2008:09:06:11 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 404 217 "-" "-"
ks32764.kimsufi.com - - [26/May/2008:09:06:11 +0200] "GET /PhpMyAdmin/main.php HTTP/1.0" 404 217 "-" "-"
ks32764.kimsufi.com - - [26/May/2008:09:06:11 +0200] "GET /PMA/main.php HTTP/1.0" 404 210 "-" "-"
ks358345.kimsufi.com - - [26/May/2008:18:43:57 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
ks32764.kimsufi.com - - [18/May/2008:11:54:46 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 404 217 "-" "-"
ks32764.kimsufi.com - - [18/May/2008:11:54:46 +0200] "GET /PhpMyAdmin/main.php HTTP/1.0" 404 217 "-" "-"
ks32764.kimsufi.com - - [18/May/2008:11:54:47 +0200] "GET /PMA/main.php HTTP/1.0" 404 210 "-" "-"
ns28937.ovh.net - - [18/May/2008:22:32:09 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
ns28937.ovh.net - - [18/May/2008:23:00:00 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 404 217 "-" "-"
ns28937.ovh.net - - [18/May/2008:23:00:00 +0200] "GET /phpMyAdmin/main.php HTTP/1.0" 404 217 "-" "-"
ns28937.ovh.net - - [18/May/2008:23:00:00 +0200] "GET /PMA/main.php HTTP/1.0" 404 210 "-" "-"
ns28937.ovh.net - - [18/May/2008:23:00:00 +0200] "GET /admin/main.php HTTP/1.0" 404 212 "-" "-"
ns28937.ovh.net - - [18/May/2008:23:00:00 +0200] "GET /dbadmin/main.php HTTP/1.0" 404 214 "-" "-"
ns28937.ovh.net - - [18/May/2008:23:00:00 +0200] "GET /mysql/main.php HTTP/1.0" 404 212 "-" "-"
ns28937.ovh.net - - [18/May/2008:23:00:00 +0200] "GET /myadmin/main.php HTTP/1.0" 404 214 "-" "-"
ns28937.ovh.net - - [18/May/2008:23:00:00 +0200] "GET /phpmyadmin2/main.php HTTP/1.0" 404 218 "-" "-"
ns28937.ovh.net - - [18/May/2008:23:00:00 +0200] "GET /phpMyAdmin2/main.php HTTP/1.0" 404 218 "-" "-"
ns28937.ovh.net - - [18/May/2008:23:00:00 +0200] "GET /phpMyAdmin-2/main.php HTTP/1.0" 404 219 "-" "-"
ns28937.ovh.net - - [18/May/2008:23:00:00 +0200] "GET /php-my-admin/main.php HTTP/1.0" 404 219 "-" "-"
ns28937.ovh.net - - [18/May/2008:23:00:00 +0200] "GET /phpMyAdmin-2.2.3/main.php HTTP/1.0" 404 223 "-" "-"
ns28937.ovh.net - - [18/May/2008:23:00:00 +0200] "GET /phpMyAdmin-2.2.6/main.php HTTP/1.0" 404 223 "-" "-"
ns28937.ovh.net - - [18/May/2008:23:00:00 +0200] "GET /phpMyAdmin-2.5.1/main.php HTTP/1.0" 404 223 "-" "-"
ns28937.ovh.net - - [18/May/2008:23:00:00 +0200] "GET /phpMyAdmin-2.5.4/main.php HTTP/1.0" 404 223 "-" "-"
ns28937.ovh.net - - [18/May/2008:23:00:00 +0200] "GET /phpMyAdmin-2.5.5-rc1/main.php HTTP/1.0" 404 227 "-" "-"
ns28937.ovh.net - - [18/May/2008:23:00:00 +0200] "GET /phpMyAdmin-2.5.5-rc2/main.php HTTP/1.0" 404 227 "-" "-"
ns28937.ovh.net - - [18/May/2008:23:00:00 +0200] "GET /phpMyAdmin-2.5.5/main.php HTTP/1.0" 404 223 "-" "-"
ns28937.ovh.net - - [18/May/2008:23:00:00 +0200] "GET /phpMyAdmin-2.5.5-pl1/main.php HTTP/1.0" 404 227 "-" "-"
..... usw usw
ks358345.kimsufi.com - - [23/May/2008:16:16:56 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
ks30909.kimsufi.com - - [12/May/2008:04:15:23 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 404 217 "-" "-"
ks30909.kimsufi.com - - [12/May/2008:04:15:23 +0200] "GET /PhpMyAdmin/main.php HTTP/1.0" 404 217 "-" "-"
ks30909.kimsufi.com - - [12/May/2008:04:15:23 +0200] "GET /PMA/main.php HTTP/1.0" 404 210 "-" "-"
ks32764.kimsufi.com - - [06/May/2008:00:31:40 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 404 217 "-" "-"
ks32764.kimsufi.com - - [06/May/2008:00:31:40 +0200] "GET /PhpMyAdmin/main.php HTTP/1.0" 404 217 "-" "-"
ks32764.kimsufi.com - - [06/May/2008:00:31:40 +0200] "GET /PMA/main.php HTTP/1.0" 404 210 "-" "-"
ks32764.kimsufi.com - - [06/May/2008:11:35:10 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 404 217 "-" "-"
ks32764.kimsufi.com - - [06/May/2008:11:35:10 +0200] "GET /PhpMyAdmin/main.php HTTP/1.0" 404 217 "-" "-"
ks32764.kimsufi.com - - [06/May/2008:11:35:10 +0200] "GET /PMA/main.php HTTP/1.0" 404 210 "-" "-"
ks204.kimsufi.com - - [09/May/2008:05:10:32 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 404 217 "-" "-"
ks204.kimsufi.com - - [09/May/2008:05:10:32 +0200] "GET /phpMyAdmin/main.php HTTP/1.0" 404 217 "-" "-"
ks204.kimsufi.com - - [09/May/2008:05:10:32 +0200] "GET /PMA/main.php HTTP/1.0" 404 210 "-" "-"
ks204.kimsufi.com - - [09/May/2008:05:10:32 +0200] "GET /admin/main.php HTTP/1.0" 404 212 "-" "-"
ks204.kimsufi.com - - [09/May/2008:05:10:32 +0200] "GET /dbadmin/main.php HTTP/1.0" 404 214 "-" "-"
ks204.kimsufi.com - - [09/May/2008:05:10:32 +0200] "GET /mysql/main.php HTTP/1.0" 404 212 "-" "-"
ks204.kimsufi.com - - [09/May/2008:05:10:32 +0200] "GET /myadmin/main.php HTTP/1.0" 404 214 "-" "-"
ks204.kimsufi.com - - [09/May/2008:05:10:32 +0200] "GET /phpmyadmin2/main.php HTTP/1.0" 404 218 "-" "-"
ks204.kimsufi.com - - [09/May/2008:05:10:32 +0200] "GET /phpMyAdmin2/main.php HTTP/1.0" 404 218 "-" "-"
ks204.kimsufi.com - - [09/May/2008:05:10:32 +0200] "GET /phpMyAdmin-2/main.php HTTP/1.0" 404 219 "-" "-"
ks204.kimsufi.com - - [09/May/2008:05:10:32 +0200] "GET /php-my-admin/main.php HTTP/1.0" 404 219 "-" "-"
ks204.kimsufi.com - - [09/May/2008:05:10:32 +0200] "GET /phpMyAdmin-2.2.3/main.php HTTP/1.0" 404 223 "-" "-"
ks204.kimsufi.com - - [09/May/2008:05:10:32 +0200] "GET /phpMyAdmin-2.2.6/main.php HTTP/1.0" 404 223 "-" "-"
ks204.kimsufi.com - - [09/May/2008:05:10:32 +0200] "GET /phpMyAdmin-2.5.1/main.php HTTP/1.0" 404 223 "-" "-"
ks204.kimsufi.com - - [09/May/2008:05:10:32 +0200] "GET /phpMyAdmin-2.5.4/main.php HTTP/1.0" 404 223 "-" "-"
ks204.kimsufi.com - - [09/May/2008:05:10:32 +0200] "GET /phpMyAdmin-2.5.5-rc1/main.php HTTP/1.0" 404 227 "-" "-"
ks204.kimsufi.com - - [09/May/2008:05:10:32 +0200] "GET /phpMyAdmin-2.5.5-rc2/main.php HTTP/1.0" 404 227 "-" "-"
ks204.kimsufi.com - - [09/May/2008:05:10:32 +0200] "GET /phpMyAdmin-2.5.5/main.php HTTP/1.0" 404 223 "-" "-"
ks204.kimsufi.com - - [09/May/2008:05:10:32 +0200] "GET /phpMyAdmin-2.5.5-pl1/main.php HTTP/1.0" 404 227 "-" "-"
ks204.kimsufi.com - - [09/May/2008:05:10:32 +0200] "GET /phpMyAdmin-2.5.6-rc1/main.php HTTP/1.0" 404 227 "-" "-"
ks204.kimsufi.com - - [09/May/2008:05:10:32 +0200] "GET /phpMyAdmin-2.5.6-rc2/main.php HTTP/1.0" 404 227 "-" "-"
ks204.kimsufi.com - - [09/May/2008:05:10:33 +0200] "GET /phpMyAdmin-2.5.6/main.php HTTP/1.0" 404 223 "-" "-"
ks204.kimsufi.com - - [09/May/2008:05:10:33 +0200] "GET /phpMyAdmin-2.5.7/main.php HTTP/1.0" 404 223 "-" "-"
.......usw usw
ks32764.kimsufi.com - - [26/May/2008:17:08:48 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 404 217 "-" "-"
ks32764.kimsufi.com - - [26/May/2008:17:08:48 +0200] "GET /PhpMyAdmin/main.php HTTP/1.0" 404 217 "-" "-"
ks32764.kimsufi.com - - [26/May/2008:17:08:48 +0200] "GET /PMA/main.php HTTP/1.0" 404 210 "-" "-"
ks358345.kimsufi.com - - [26/May/2008:18:43:57 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 226 "-" "-"
von heute
Code:
ks32764.kimsufi.com - - [27/May/2008:02:23:39 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 404 217 "-" "-"
ks32764.kimsufi.com - - [27/May/2008:02:23:39 +0200] "GET /PhpMyAdmin/main.php HTTP/1.0" 404 217 "-" "-"
ks32764.kimsufi.com - - [27/May/2008:02:23:39 +0200] "GET /PMA/main.php HTTP/1.0" 404 210 "-" "-"
ks32764.kimsufi.com - - [27/May/2008:13:01:11 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 404 217 "-" "-"
ks32764.kimsufi.com - - [27/May/2008:13:01:11 +0200] "GET /PhpMyAdmin/main.php HTTP/1.0" 404 217 "-" "-"
ks32764.kimsufi.com - - [27/May/2008:13:01:11 +0200] "GET /PMA/main.php HTTP/1.0" 404 210 "-" "-"
will ja nich wissen, was die zombies noch so tun.
@ovh support schaut euch die teile mal bitte an.
