[HaBo]

17.06.04, 12:51

Code:

217.224.170.20 - - [15/Jun/2004:15:57:30 +0200] "\xe3Z" 501 -
83.129.186.252 - - [15/Jun/2004:15:57:37 +0200] "\xe3`" 501 -
80.254.172.135 - - [15/Jun/2004:16:00:01 +0200] "\xe3B" 501 -
83.121.99.218 - - [15/Jun/2004:16:00:21 +0200] "\xe3<" 501 -
83.121.99.218 - - [15/Jun/2004:16:01:05 +0200] "\xe3<" 501 -
83.121.99.218 - - [15/Jun/2004:16:01:49 +0200] "\xe3<" 501 -
217.226.158.131 - - [15/Jun/2004:16:02:12 +0200] "\xe3B" 501 -
66.114.145.138 - - [15/Jun/2004:16:02:53 +0200] "\xe3Y" 501 -
80.254.172.135 - - [15/Jun/2004:16:02:58 +0200] "\xe3B" 501 -
62.214.32.239 - - [15/Jun/2004:16:04:30 +0200] "\xe3`" 501 -
213.6.246.135 - - [15/Jun/2004:16:06:01 +0200] "\xe3`" 501 -
82.82.146.7 - - [15/Jun/2004:16:06:41 +0200] "\xe3Z" 501 -
82.82.219.15 - - [15/Jun/2004:16:07:23 +0200] "\xe3B" 501 -
217.224.170.20 - - [15/Jun/2004:16:08:11 +0200] "\xe3Z" 501 -
80.137.173.177 - - [15/Jun/2004:16:09:05 +0200] "\xe3K" 501 -
80.254.172.135 - - [15/Jun/2004:16:10:02 +0200] "\xe3B" 501 -
217.233.102.206 - - [15/Jun/2004:16:10:11 +0200] "\xe3D" 501 -
213.132.129.250 - - [15/Jun/2004:16:11:09 +0200] "\xe3R" 501 -
217.93.170.186 - - [15/Jun/2004:16:11:43 +0200] "\xe38" 501 -
217.93.170.186 - - [15/Jun/2004:16:12:23 +0200] "\xe38" 501 -
217.226.158.131 - - [15/Jun/2004:16:12:55 +0200] "\xe3B" 501 -
80.254.172.135 - - [15/Jun/2004:16:12:59 +0200] "\xe3B" 501 -
217.93.170.186 - - [15/Jun/2004:16:13:05 +0200] "\xe38" 501 -
66.114.145.138 - - [15/Jun/2004:16:13:42 +0200] "\xe3Y" 501 -
82.82.146.7 - - [15/Jun/2004:16:17:34 +0200] "\xe3Z" 501 -
80.139.44.165 - - [15/Jun/2004:16:17:43 +0200] "\xe3G" 501 -
82.82.219.15 - - [15/Jun/2004:16:18:04 +0200] "\xe3B" 501 -
217.224.170.20 - - [15/Jun/2004:16:18:56 +0200] "\xe3Z" 501 -
80.254.172.135 - - [15/Jun/2004:16:20:03 +0200] "\xe3B" 501 -
66.114.145.138 - - [15/Jun/2004:16:22:08 +0200] "\xe3Y" 501 -
80.254.172.135 - - [15/Jun/2004:16:23:00 +0200] "\xe3B" 501 -
217.255.244.14 - - [15/Jun/2004:16:23:06 +0200] "\xe3T" 501 -
217.226.158.131 - - [15/Jun/2004:16:23:36 +0200] "\xe3B" 501 -
66.114.145.138 - - [15/Jun/2004:16:24:30 +0200] "\xe3Y" 501 -
195.36.176.13 - - [15/Jun/2004:16:24:50 +0200] "\xe3`" 501 -
83.129.189.106 - - [15/Jun/2004:16:25:28 +0200] "\xe3M" 501 -

Ich verstehe das nicht. Seit Tagen kommt das nun rein getickert. Speicheraddressen ohne irgendwas. Das sind keine typischen Bufferoverrun Attacken, dafür sehr ausdauernde Anfragen die meinen Indianer 24h am Tag nerven. Da in regelmäßigen Abständen abgefragt wird vermute ich zumindest IP-Spoofing, da diese recht willkührlich zu sein scheinen. Die Connections reißen also einfach ab und ich habe konstant so ca. 8 httpds rennen. Die maximalen Spawns von 15 werden jedoch nicht erreicht. also zumindest keine DOS-Attacke. Apache is apache_1.3.31, wobei das auch mit den Vorgängerversionen gekommen ist. Ich bin da halt immer ziemlich am Ball was Updates angeht

z.I.: 501 is NOT IMPLEMENTED!

Jemand ne Idee?

Astronic · 17.06.04, 13:25

Mit deiner Idee, das die Asresse gespooft ist, hast du denke ich mal recht.
Sieht nach einem IP-Wandler al? Steganos Internet Security.

Was ich nicht an den einträgen verstehe ist der immer wechselnde Wert:

217.224.170.20 - - [15/Jun/2004:16:18:56 +0200] "\xe3Z" 501 -

Anzeige

- Anzeige -

Zirias · 17.06.04, 23:47

IP-Spoofing ist ausgeschlossen, da der Apache nur die HTTP-Ebene loggt. HTTP (bzw wie in diesem Fall Datenmüll, der HTTP sein _sollte_ *g*) kann er aber erst empfangen, wenn die darunterliegende TCP-Verbindung korrekt geöffnet ist (3-way-handshake) und dazu muss die IP stimmen.

Greets, Ziri

PS: Seltsam ist, dass ich in meinen Logs keinerlei 501er finden kann ... Sieht auch nicht wirklich nach einem Wurm/Virus aus, welcher Webserver sollte sich schon mit 2 unsinnigen Bytes kompromittieren lassen? Hmmmm
Wenn es überhand nimmt, "whois" die IPs doch mal und schreib abuse-Mails

23.06.04, 07:52

Ich habe nun noch ein wenig gegoogelt (besonders in alten NewsGroup Archiven) und noch keine befriedigende Antwort erhalten. Scheinbar traten erste Fälle dieser Art bereits 2000 auf, aber wirklich erklären was das ist konnte keiner :O

Anzeige

- Anzeige -

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Apache 2 und PHP 5	GatosLoucos	Applikationen	9	22.04.07 12:33
Rechner hat geklackt, ging aus, nicht wieder an, inzwischen läuft er wieder an, bootet aber nicht	RipdEaTh	Die Problemzone	4	23.06.05 15:50
Apache+PHP!!!!!!	BasicAvid	Applikationen	4	17.01.05 19:31
Apache und SSL	mido	Internet Allgemein	2	25.07.02 19:25

17.06.04, 13:25	#2 (permalink)
Astronic Registriert seit: 15.06.04 Likes: 0	Mit deiner Idee, das die Asresse gespooft ist, hast du denke ich mal recht. Sieht nach einem IP-Wandler al? Steganos Internet Security. Was ich nicht an den einträgen verstehe ist der immer wechselnde Wert: 217.224.170.20 - - [15/Jun/2004:16:18:56 +0200] "\xe3Z" 501 -

17.06.04, 23:47	#3 (permalink)
Zirias Registriert seit: 16.04.04 Likes: 0	IP-Spoofing ist ausgeschlossen, da der Apache nur die HTTP-Ebene loggt. HTTP (bzw wie in diesem Fall Datenmüll, der HTTP sein _sollte_ g) kann er aber erst empfangen, wenn die darunterliegende TCP-Verbindung korrekt geöffnet ist (3-way-handshake) und dazu muss die IP stimmen. Greets, Ziri PS: Seltsam ist, dass ich in meinen Logs keinerlei 501er finden kann ... Sieht auch nicht wirklich nach einem Wurm/Virus aus, welcher Webserver sollte sich schon mit 2 unsinnigen Bytes kompromittieren lassen? Hmmmm Wenn es überhand nimmt, "whois" die IPs doch mal und schreib abuse-Mails

23.06.04, 07:52	#4 (permalink)
beko Guest Likes:	Ich habe nun noch ein wenig gegoogelt (besonders in alten NewsGroup Archiven) und noch keine befriedigende Antwort erhalten. Scheinbar traten erste Fälle dieser Art bereits 2000 auf, aber wirklich erklären was das ist konnte keiner :O

[HaBo]

Apache Log mal wieder