Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Apache log

Mitglied: Tolwyn

Tolwyn (Level 1) - Jetzt verbinden

14.01.2008, aktualisiert 20:33 Uhr, 5322 Aufrufe, 4 Kommentare

Hallo

ich betreibe freizeitmäßig einen Webserver auf Windows XP.
ich habe heute folgenden Eintrag in meinem Apache log gefunden:

24.98.111.69 - - [13/Jan/2008:20:04:38 +0100] "GET http://67.191.230.57/ HTTP/1.0" 200 7704

Nach ein wenig Ausprobieren und Suchen fand ich heraus, dass angeblich jemand meinen Server als Proxy nutzt.

Dann hab ich mal im Browser geschaut, was diese Seite unter der IP 67.191.230.57 zu bieten hat:
Die Ausgabe war eine weiße Seite mit folgendem Text:

You have made contact with the beacon GET / HTTP/1.1 Host: 67.191.230.57 User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.11 Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5 Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3 Accept-Encoding: gzip,deflate Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive

hier noch einige Sachen, denen ich keine wertvollen Informationen abverlangen kann ,aber ihr vielleicht:

IP Lookup:
24.98.111.69 (c-24-98-111-69.hsd1.ga.comcast.net)


ICMP Traceroute to 24.98.111.69 (24.98.111.69)

Hop 01: 192.168.178.1 fritz.fonwlan.box
Hop 02: 217.0.116.174 [Unknown]
Hop 03: 217.0.73.242 [Unknown]
Hop 04: 62.154.14.53 nyc-e5.NYC.US.net.DTAG.DE
Hop 05: ---
Hop 06: 68.86.85.74 pos-0-9-0-0-cr01.mclean.va.ibone.comcast.net
Hop 07: 68.86.85.66 pos-0-5-0-0-cr01.atlanta.ga.ibone.comcast.net
Hop 08: 68.86.90.129 te-0-2-0-4-cr01.nashville.tn.ibone.comcast.net
Hop 09: 68.86.90.130 te-7-3-ar01.nashville.tn.nash.comcast.net
Hop 10: 68.85.232.125 po-1-ar01.b0atlanta.ga.atlanta.comcast.net
Hop 11: 68.86.106.10 te-9-1-ur01.b0atlanta.ga.atlanta.comcast.net
Hop 12: 68.86.106.14 te-9-1-ur02.b0atlanta.ga.atlanta.comcast.net
Hop 13: 68.86.106.126 te-9-1-ur01.b3marietta.ga.atlanta.comcast.net
Hop 14: 68.86.106.130 te-9-1-ur01.n4atlanta.ga.atlanta.comcast.net
Hop 15: 68.86.106.134 te-9-1-ur01.n3alpharetta.ga.atlanta.comcast.net
Hop 16: 68.86.110.18 [Unknown]
Hop 17: 24.98.111.69 c-24-98-111-69.hsd1.ga.comcast.net

Standort: USA - Atlanta??

Er betreibt keinen Webserver auf Port 80

Whois-Lookup:

Comcast Cable Communications Holdings, Inc CCCH3-2 (NET-24-98-0-0-1)
24.98.0.0 - 24.99.255.255
Comcast Cable Communications Holdings, Inc. ATLANTA-5 (NET-24-98-0-0-2)
24.98.0.0 - 24.99.255.255

  1. ARIN WHOIS database, last updated 2008-01-12 19:10
  2. Enter ? for additional hints on searching ARIN's WHOIS database.


Wieder Atlanta?


Der Rechner hat angeblich keine offenen Ports!


und die andere IP:

IP Lookup:
Resolving 67.191.230.57...
67.191.230.57 (c-67-191-230-57.hsd1.ga.comcast.net)


ICMP Traceroute to 67.191.230.57 (67.191.230.57)

Hop 01: 192.168.178.1 fritz.fonwlan.box
Hop 02: 217.0.116.174 [Unknown]
Hop 03: 217.0.73.242 [Unknown]
Hop 04: 62.154.14.53 nyc-e5.NYC.US.net.DTAG.DE
Hop 05: 68.86.85.94 pos-0-9-0-0-cr01.newyork.ny.ibone.comcast.net
Hop 06: 68.86.85.70 pos-0-8-0-0-cr01.mclean.va.ibone.comcast.net
Hop 07: 68.86.85.66 pos-0-5-0-0-cr01.atlanta.ga.ibone.comcast.net
Hop 08: 68.86.90.129 te-0-2-0-4-cr01.nashville.tn.ibone.comcast.net
Hop 09: 68.86.90.130 te-7-3-ar01.nashville.tn.nash.comcast.net
Hop 10: 68.85.232.125 po-1-ar01.b0atlanta.ga.atlanta.comcast.net
Hop 11: 68.86.106.10 te-9-1-ur01.b0atlanta.ga.atlanta.comcast.net
Hop 12: 68.86.106.14 te-9-1-ur02.b0atlanta.ga.atlanta.comcast.net
Hop 13: 68.86.106.126 te-9-1-ur01.b3marietta.ga.atlanta.comcast.net
Hop 14: 68.86.106.130 te-9-1-ur01.n4atlanta.ga.atlanta.comcast.net
Hop 15: 68.86.106.134 te-9-1-ur01.n3alpharetta.ga.atlanta.comcast.net
Hop 16: 68.86.110.18 [Unknown]
Hop 17: 67.191.230.57 c-67-191-230-57.hsd1.ga.comcast.net

Ebenfalls Atlanta?


Die Ausgabe von Port 80:

GET request "/" to 67.191.230.57 (67.191.230.57)

HTTP/1.0 200 OK

Connection: close

Date: Sun Jan 13 18:30:34 EST 2008

Server: Microsoft-IIS/6.0

X-AspNet-Version: 1.1.4322

Cache-Control: private

Content-Type: text/html; charset=windows-1251

Content-Length: 44



<html>
You have made contact with the beacon
<body>
GET / HTTP/1.0
</body>
</html>




WHOIS-Lookup:
Comcast Cable Communications, Inc. ATT-COMCAST (NET-67-160-0-0-1)
67.160.0.0 - 67.191.255.255
Comcast Cable Communications, Inc. ATLANTA-10 (NET-67-191-192-0-1)
67.191.192.0 - 67.191.255.255

  1. ARIN WHOIS database, last updated 2008-01-12 19:10
  2. Enter ? for additional hints on searching ARIN's WHOIS database.


Der Rechner hat angeblich einen offenen UDP Port:
UDP 123 Network Time Protocol



meine Fragen:

1. Was hat der Mensch mit der IP 24.98.111.69 hier genau gemacht?
Was könnte er gewollt haben?
Hat er mich als "Proxy" genutzt?

2. Wie kann ich sowas unterbinden? Habt ihr sonst noch irgendwelche Links zur hand, die sich dem Sichern eines Apache Webservers unter Windows widmen?
Hab nur kurz was vom entfernen des Moduls "mod_proxy" gelesen;

3. Was bedeutet diese obige Ausgabe auf der Webseite?!
Und vor allem was heißt :
"You have made contact with the beacon "

4. Was kann ich aus obigen Angaben über den anderen und seinen Zielserver schlussfolgern?

Danke für eure Hilfe

Gruß

Tolwyn
Mitglied: gnarff
14.01.2008 um 01:46 Uhr
Hallo Tolwyn,

wenn Du z.B. einen Blog oder Feed auf Deinem Server zur Verfügung stellst, könnte es sich um ein Ping- beacon handeln. Google bedient sich dessen, um festzustellen, ob ein Server [Link] down ist oder aktiv.

saludos
gnarff
Bitte warten ..
Mitglied: Tolwyn
14.01.2008 um 13:44 Uhr
Hallo

also zu "Ping-beacon" finde ich nichts wirklich relevantes oder aussagekräftiges, außer:


Somewhere out on the web there are a series of machines that are set up
simply as something to be pinged.

The idea is that they provide a reliable machine that does not block
the port of the ping .

However I have the name wrong "ping Beacon" does not google up what I
want.

Anybody know the proper term? (or better yet a list of such beacons on
the web?)


Zu meiner Homepage:
Ich habe keinen Blog oder ähnliches auf meiner Homepage;
Es handelt sich um ganz normale Html Seiten, die für die meisten Leute auch eher uninteressant sein dürften; (Lateinseite!)

Hast du vielleicht weiterführende Links zu diesem "Ping-Beacon".
Wenn ich das im Groben richtig verstehe, nimmt Maschine XY meinen Server um zu testen, ob sie über diesen einen anderen Server erreichen kann und auf Grund dessen festzustellen, ob mein Server noch richtig funktioniert.

Was wären denn denkbare Alternativen zum "Ping-Beacon"?
Google indexiert meine Homepage nämlich regelmäßig über einen ganz normalen GET Request mit der Angabe der entsprechend aufgerufenen Seite ab oder überprüft einfach nur robots.txt bzw. sitemap.xml
Daher finde ich diese Ausgabe nämlich auch "komisch".

Gruß
tolwyn
Bitte warten ..
Mitglied: gnarff
14.01.2008 um 16:03 Uhr
Hallo Tolwyn,

derartige Beacons werden von Provider/Carrier benutzt um die Netzwerkperformance zu überwachen.
Bitte mache von allen IP's unter folgendem Link einen Network Lookup, Du wirst z.B. dabei auch feststellen, dass niemand spezielles hinter IP 24.98.111.69 sitzt.

Die Resultate sog. Passthru-Tests sehen dann so aus:Looking up status of 24.98.111.69

saludos
gnarff
Bitte warten ..
Mitglied: Tolwyn
14.01.2008 um 20:33 Uhr
Hallo gnarff

ok;

noch eine Frage dazu:

"Du wirst z.B. dabei auch feststellen, dass niemand spezielles hinter IP 24.98.111.69 sitzt."

Ist die 24.98.111.69 einer der Backbone-Server?

Ich hab das ganze mal noch mit meiner IP ausgetestet;
Worin unterscheidet sich eine "NICHT genutzte" IP von einer genutzten?

Ist bei einer genutzten noch der Provider (wie bspw. Telekom) und der status: ASSIGNED PA eingetragen?

Ach und wo ich gerade eh beim Thema war:
Woran würde ich im Apache Log erkennen können, OB jemand meinen Server missbraucht hat?

btw: danke für die Hilfe

Gruß

Tolwyn
Bitte warten ..
Ähnliche Inhalte
Apache Server

Apache modProxy debug-log schreibt in error-log

Frage von mic.weApache Server6 Kommentare

Hallo @ all, Ich habe in meinem Apache einen VHost, wo ich das Module ProxyPass verwende. Ich wollte von ...

Windows Server

Log On Log Off-Verhalten per PowerShell aus dem Event Log

Frage von Leo-leWindows Server7 Kommentare

Hallo Forum, wie gehe ich am besten vor, wenn ich aus dem DC Event Log von mehreren Nutzern das ...

Windows Server

Inetpub Logs - 100GB Logs in 2016 auf SBS 2011

gelöst Frage von cymodeWindows Server15 Kommentare

Hi, 1x SBS 2011 als Exchange 2010 und DNS server. ca. 20 Mitarbeiter/PCs in der Domain. Wir haben des ...

RedHat, CentOS, Fedora

Installation von Apache

Frage von Marcel1707RedHat, CentOS, Fedora10 Kommentare

Hallo, Ich habe letztens ein Beispiel bekommen, bei dem ich gewissen Anwendungen auf RedHat 6.2 installieren muss. Über eine ...

Neue Wissensbeiträge
Datenschutz

Die Datenkrake Google verlängert ihr Arme mal wieder ein wenig, automatische Anmeldung

Tipp von magicteddy vor 4 StundenDatenschutz

Benutzer mit einem Google Account und gespeicherten Zugangsdaten werden von chrome 69 automatisch bei Google angemeldet, natürlich alles zum ...

Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWusste vor 1 TagVerschlüsselung & Zertifikate3 Kommentare

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 3 TagenE-Mail11 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 3 TagenHyper-V1 Kommentar

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Heiß diskutierte Inhalte
Datenschutz
Gilt ein Ransomware-Befall als Datenpanne nach DSGVO?
Frage von MOS6581Datenschutz22 Kommentare

Moin Kollegen, wenn sich jemand Ransomware einfängt und dadurch bspw. Kundendaten verschlüsselt werden; gilt dies dann als meldepflichtige Datenpanne ...

Hardware
Sophos SG135 - Routing
gelöst Frage von Xaero1982Hardware22 Kommentare

Moin Zusammen, ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135. Ich muss bestimmte Ziele über ...

E-Mail
Welche ist die beste E-Mail Groupware für die Zukunft?
Frage von ITCrowdSupporterE-Mail16 Kommentare

Guten Tag allerseits :) Ich möchte mich mit einer Frage heute mal an die Schwarmintelligenz wenden. Aktuell befasse ich ...

Windows 7
Mit gpedit gesetzte Richtlinien in rsop.msc nicht definiert und ausgegraut
gelöst Frage von 137006Windows 715 Kommentare

Hallo zusammen, anfangs verweise ich fairerweise daruf dass ich dieses Thema bereits im Forum angeschnitten habe, nachdem ich hier ...