Nicht auflösbare IP-Adressen

[Cassandra]

Hallo miteinander!

Ich muss da mal für mich was klären, es geht um Folgendes:

Ich habe eine eigene Website für meine Firma und schaue halt auch mal öfters, wer sich darauf so rumtreibt, die IP-Adressen der Besucher kann ich ja einsehen.
Dabei ist mir nun schon zwei Mal etwas seltsames aufgefallen. Es kommen zwei Besucher mit einer IP-Adresse, die sich nicht auflösen lässt. Die Adressen fangen mit 10 an, da ich sie erst zweimal erwischt habe, habe ich mir die Adressen leider noch nicht notiert, werde es aber das nächste Mal tun. Es sind nämlich jedesmal dieselben, was ich an sich schon merkwürdig finde.
Wie kann es sein, dass man eine IP-Adresse nicht auflösen kann? Normalerweise kriege ich zumindest eine Meldung, dass keine Stadt gefunden wird, aber ein Land, ich schätze das sind dann irgendwelche Proxys, aber dass man gar keine Infos kriegt, habe ich noch nie gesehen.

Beim letzten Mal als diese beiden aufgetaucht sind, kam es sogar noch besser, da kam noch zusätzlich jemand mit der Adresse vom Localhost auf meine Seite. Wie bitte geht DAS denn? Wie kann ich im Internet mit der Localhost Adresse unterwegs sein???

Wenn mir da jemand weiterhelfen könnte, wäre ich echt dankbar.

LG,
Cassandra

 

[bitmuncher]

Es gibt z.B. die Möglichkeit dass IP-Spoofing genutzt wird. Vor allem bei DoS-Angriffen ist das durchaus üblich. Dadurch versucht man, dass sich der Webserver selbst antwortet um so den Traffic auf dem Netzwerk-Device dicht zu machen. Ein Zugriff über 127.0.0.1 kann aber auch bedeuten, dass eine Executable auf dem Server eingeschleust wurde, die dann die Aufrufe übernimmt. Oder ein Admin oder Monitoring testet ob der Webserver korrekt erreichbar ist. Wenn der Server intern eine 10.x.x.x-Adresse nutzt kann das natürlich auch für diese Aufrufe zutreffen.

 

[Cassandra]

Erstmal danke für die Antwort.

Habe ich das richtig verstanden, dass es sich also um eine versuchte Denial of Service Attacke handeln könnte? Sprich, jemand versucht, den Server lahmzulegen?
Komischerweise tauchen diese beiden Adressen aber nur auf, sobald ich einen neuen Artikel gepostet habe und bleiben dann für ca 10 Minuten auf diesem Artikel, sonst passiert nichts.

Das mit dem Localhost habe ich noch nicht ganz verstanden um ehrlich zu sein. Könntest Du mir das bitte noch etwas genauer erklären?

Vielleicht sollte ich noch eines erwähnen, in letzter Zeit sind öfters Kommentare auf meiner HP einfach gelöscht wurden, ich habe schon zweimal mein Passwort geändert, aber das hat nicht geholfen. Meine Webhosterin glaubt aber nicht, dass sich da jemand reingehackt hat, weil der dann gleich die ganze Seite löschen würde und nicht nur Kommentare.

 

[bitmuncher]

Ja, es könnte ein DoS sein, aber es muss nicht. Es könnte auch ein Monitoring sein, das über's interne Netzwerk auf den Server zugreift um zu prüfen ob der Webserver korrekt erreichbar ist. Auch ein Caching-Mechanismus des Anbieters, der Last vom Server nehmen will und daher neuen Content auf einen Caching-Server lädt um ihn darüber auszuliefern, wäre durchaus eine Möglichkeit.

Bezüglich des localhost/127.0.0.1: Es gibt Monitoring-Tools, die lokal auf den Servern laufen und dort bestimmte Parameter überprüfen. Zu diesen Parametern kann auch die korrekte Funktionsweise des sogenannten Loopback-Devices oder die Erreichbarkeit des Webservers über localhost gehören. Diese Zugriffe würden dann natürlich über die 127.0.0.1 erfolgen. Es ist aber auch möglich, dass ein Bot auf dem Server eingeschleust wurde, der die Anfragen auf die 127.0.0.1 stellt. Das ist zwar eher unwahrscheinlich, weil untypisch, aber durchaus möglich. Da kommt's halt darauf an inwiefern der Bot direkt auf diesen Server oder gar auf eine bestimmte Website auf dem Server zugeschnitten ist.

Das Problem der verschwundenen Kommentare kann auch mit dem dahinter sitzen Datenbank-System zu tun haben, sofern sowas eingesetzt wird. Wird ein DB-Cluster oder ein repliziertes Datenbank-System eingesetzt, kann es vorkommen, dass die Daten zwar auf einem DB-Server korrekt geschrieben werden, aber die Übertragung auf die anderen DB-Server im Verbund nicht korrekt funktioniert. Die möglichen Ursachen dafür können sehr vielseitig sein, am häufigsten kommt es aber vor, dass IDs doppelt vergeben, die eigentlich unique sein müssen, so dass der empfangende DB-Server im Verbund den Datensatz aufgrund dessen einfach ablehnt. Er hat halt bereits einen Datensatz mit der gleichen ID und kann dadurch keinen weiteren mit dieser ID schreiben.

Ich denke ohne den Server genauer unter die Lupe zu nehmen und ohne zusätzliche Kenntnisse über das Netzwerk deines Anbieters kann man da nur spekulieren.

 

[Cassandra]

Ok, dann bin ich jetzt schonmal etwas schlauer und verstehe auch, worum es geht. Am Besten werde ich mich wohl mal mit meiner Webhosterin kurzschließen, letztendlich kann ja nur sie klären, ob Deine Vermutungen stimmen oder nicht.
Ich versuche sie schon seit ein paar Tagen zu erreichen, leider erfolglos. Sobald ich sie am Telefon hatte und mehr weiß, werde ich das hier aktualisieren.
Danke schonmal für Deine Geduld und Hilfe!

 

[bitmuncher]

Danke schonmal für Deine Geduld und Hilfe!

Dafür sind wir ja da und Geduld musste ich ja glücklicherweise nicht wirklich aufbringen.

 

[blinkfreak182]

..., ich habe schon zweimal mein Passwort geändert, aber das hat nicht geholfen. Meine Webhosterin glaubt aber nicht, dass sich da jemand reingehackt hat, weil der dann gleich die ganze Seite löschen würde und nicht nur Kommentare.

Hast du auch die richtigen Passwörter geändert? Vllt haben die Übeltäter Zugriff auf deine Datenbank und du hast z.B. nur dein normales Login (für z.B. Verwaltung deines Accounts) geändert.
Check am besten auch ob deine Seite gegen SQL-Injection geschützt ist. Wenn nicht kann man recht einfach Kommentare rauslöschen, ohne sich irgendwo einzuloggen.

 

[Cassandra]

Auf die Datenbank habe ich gar keinen Zugriff, da lässt die Webhosterin mich nicht ran, macht sie prinzipiell nicht. Somit konnte ich nur das Passwort für meinen Admin Account zur Seitenverwaltung ändern.
Darauf und auf SQL-Injection muss ich sie dann wohl auch mal ansprechen. Danke für den Hinweis, wird sicher alles helfen rauszufinden, was da los ist.

 

[blinkfreak182]

Was für ein Webhoster hast du den, das du keinen Datenbankzugriff hast? Is das sone Baukastenwebseite wo man nur die Texte schreibt und n bissl zurecht schiebt oder schreibst du selber die html-, php-, ... Dateien?

 

[Cassandra]

Ne, ist schon ein richtiger Webhoster, W&K Netpublishing. Die Seite ist mit Wordpress gemacht, im Prinzip mache ich da alles selbst, ist ja auch recht easy, aber die Feinheiten an den PHP Scripten oder der Datenbank macht die Hosterin selbst.
Sie meinte dazu mal, dass sie schon zuviel Mist mit Kunden erlebt haben, die selber an der Datenbank rumgepfuscht haben und sie dadurch eine Menge extra Arbeit hatte.
Wenn irgendwas gemacht werden muss reicht aber ein Wort und sie macht das ohne Aufpreis. Ich bin eigentlich sehr zufrieden mit ihr, zumal meine aktive Zeit als Informatiker zu lange zurück liegt und ich lieber jemanden an's Eingemachte lasse, der auch versteht, was er da tut.

Ich habe übrigens gerade eine der IP-Adressen bekommen.

10.179.59.239

Interessanterweise konnte ich eins dabei beobachten. Diese Adresse taucht nicht sofort nach Veröffentlichung des neuen Artikels auf, sondern erst, nachdem ich den Link über die Facebook Page veröffentlicht habe.
Spricht das nicht gegen irgendwas automatisiertes?

 

[jemo.]

Die IP-Adresse kommt aus dem privaten Adressbereich, also wird es entweder etwas sein, was im Netz des Webhosters läuft oder es ist IP-Spoofing.

 

[Cassandra]

Danke. Dann hoffe ich mal, dass ich die Webhosterin endlich mal erreiche und sie das aufklären kann.
Ich werde das dann hier berichten.

 

[blinkfreak182]

Dann hoffe ich mal, dass ich die Webhosterin endlich mal erreiche

Klingt als würde es nicht so einfach sein mal was an der Datenbank ändern zu lassen ;P ^^ trotzdem noch viel Spass mit diesem (für mich) kuriosen Webhosterunternehmen^^