4
Apache log
Hallo
ich betreibe freizeitmäßig einen Webserver auf Windows XP.
ich habe heute folgenden Eintrag in meinem Apache log gefunden:
24.98.111.69 - - [13/Jan/2008:20:04:38 +0100] "GET http://67.191.230.57/ HTTP/1.0" 200 7704
Nach ein wenig Ausprobieren und Suchen fand ich heraus, dass angeblich jemand meinen Server als Proxy nutzt.
Dann hab ich mal im Browser geschaut, was diese Seite unter der IP 67.191.230.57 zu bieten hat:
Die Ausgabe war eine weiße Seite mit folgendem Text:
You have made contact with the beacon GET / HTTP/1.1 Host: 67.191.230.57 User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.11 Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5 Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3 Accept-Encoding: gzip,deflate Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive
hier noch einige Sachen, denen ich keine wertvollen Informationen abverlangen kann ,aber ihr vielleicht:
IP Lookup:
24.98.111.69 (c-24-98-111-69.hsd1.ga.comcast.net)
ICMP Traceroute to 24.98.111.69 (24.98.111.69)
Hop 01: 192.168.178.1 fritz.fonwlan.box
Hop 02: 217.0.116.174 [Unknown]
Hop 03: 217.0.73.242 [Unknown]
Hop 04: 62.154.14.53 nyc-e5.NYC.US.net.DTAG.DE
Hop 05: ---
Hop 06: 68.86.85.74 pos-0-9-0-0-cr01.mclean.va.ibone.comcast.net
Hop 07: 68.86.85.66 pos-0-5-0-0-cr01.atlanta.ga.ibone.comcast.net
Hop 08: 68.86.90.129 te-0-2-0-4-cr01.nashville.tn.ibone.comcast.net
Hop 09: 68.86.90.130 te-7-3-ar01.nashville.tn.nash.comcast.net
Hop 10: 68.85.232.125 po-1-ar01.b0atlanta.ga.atlanta.comcast.net
Hop 11: 68.86.106.10 te-9-1-ur01.b0atlanta.ga.atlanta.comcast.net
Hop 12: 68.86.106.14 te-9-1-ur02.b0atlanta.ga.atlanta.comcast.net
Hop 13: 68.86.106.126 te-9-1-ur01.b3marietta.ga.atlanta.comcast.net
Hop 14: 68.86.106.130 te-9-1-ur01.n4atlanta.ga.atlanta.comcast.net
Hop 15: 68.86.106.134 te-9-1-ur01.n3alpharetta.ga.atlanta.comcast.net
Hop 16: 68.86.110.18 [Unknown]
Hop 17: 24.98.111.69 c-24-98-111-69.hsd1.ga.comcast.net
Standort: USA - Atlanta??
Er betreibt keinen Webserver auf Port 80
Whois-Lookup:
Comcast Cable Communications Holdings, Inc CCCH3-2 (NET-24-98-0-0-1)
24.98.0.0 - 24.99.255.255
Comcast Cable Communications Holdings, Inc. ATLANTA-5 (NET-24-98-0-0-2)
24.98.0.0 - 24.99.255.255
Wieder Atlanta?
Der Rechner hat angeblich keine offenen Ports!
und die andere IP:
IP Lookup:
Resolving 67.191.230.57...
67.191.230.57 (c-67-191-230-57.hsd1.ga.comcast.net)
ICMP Traceroute to 67.191.230.57 (67.191.230.57)
Hop 01: 192.168.178.1 fritz.fonwlan.box
Hop 02: 217.0.116.174 [Unknown]
Hop 03: 217.0.73.242 [Unknown]
Hop 04: 62.154.14.53 nyc-e5.NYC.US.net.DTAG.DE
Hop 05: 68.86.85.94 pos-0-9-0-0-cr01.newyork.ny.ibone.comcast.net
Hop 06: 68.86.85.70 pos-0-8-0-0-cr01.mclean.va.ibone.comcast.net
Hop 07: 68.86.85.66 pos-0-5-0-0-cr01.atlanta.ga.ibone.comcast.net
Hop 08: 68.86.90.129 te-0-2-0-4-cr01.nashville.tn.ibone.comcast.net
Hop 09: 68.86.90.130 te-7-3-ar01.nashville.tn.nash.comcast.net
Hop 10: 68.85.232.125 po-1-ar01.b0atlanta.ga.atlanta.comcast.net
Hop 11: 68.86.106.10 te-9-1-ur01.b0atlanta.ga.atlanta.comcast.net
Hop 12: 68.86.106.14 te-9-1-ur02.b0atlanta.ga.atlanta.comcast.net
Hop 13: 68.86.106.126 te-9-1-ur01.b3marietta.ga.atlanta.comcast.net
Hop 14: 68.86.106.130 te-9-1-ur01.n4atlanta.ga.atlanta.comcast.net
Hop 15: 68.86.106.134 te-9-1-ur01.n3alpharetta.ga.atlanta.comcast.net
Hop 16: 68.86.110.18 [Unknown]
Hop 17: 67.191.230.57 c-67-191-230-57.hsd1.ga.comcast.net
Ebenfalls Atlanta?
Die Ausgabe von Port 80:
GET request "/" to 67.191.230.57 (67.191.230.57)
HTTP/1.0 200 OK
Connection: close
Date: Sun Jan 13 18:30:34 EST 2008
Server: Microsoft-IIS/6.0
X-AspNet-Version: 1.1.4322
Cache-Control: private
Content-Type: text/html; charset=windows-1251
Content-Length: 44
<html>
You have made contact with the beacon
<body>
GET / HTTP/1.0
</body>
</html>
WHOIS-Lookup:
Comcast Cable Communications, Inc. ATT-COMCAST (NET-67-160-0-0-1)
67.160.0.0 - 67.191.255.255
Comcast Cable Communications, Inc. ATLANTA-10 (NET-67-191-192-0-1)
67.191.192.0 - 67.191.255.255
Der Rechner hat angeblich einen offenen UDP Port:
UDP 123 Network Time Protocol
meine Fragen:
1. Was hat der Mensch mit der IP 24.98.111.69 hier genau gemacht?
Was könnte er gewollt haben?
Hat er mich als "Proxy" genutzt?
2. Wie kann ich sowas unterbinden? Habt ihr sonst noch irgendwelche Links zur hand, die sich dem Sichern eines Apache Webservers unter Windows widmen?
Hab nur kurz was vom entfernen des Moduls "mod_proxy" gelesen;
3. Was bedeutet diese obige Ausgabe auf der Webseite?!
Und vor allem was heißt :
"You have made contact with the beacon "
4. Was kann ich aus obigen Angaben über den anderen und seinen Zielserver schlussfolgern?
Danke für eure Hilfe
Gruß
Tolwyn
ich betreibe freizeitmäßig einen Webserver auf Windows XP.
ich habe heute folgenden Eintrag in meinem Apache log gefunden:
24.98.111.69 - - [13/Jan/2008:20:04:38 +0100] "GET http://67.191.230.57/ HTTP/1.0" 200 7704
Nach ein wenig Ausprobieren und Suchen fand ich heraus, dass angeblich jemand meinen Server als Proxy nutzt.
Dann hab ich mal im Browser geschaut, was diese Seite unter der IP 67.191.230.57 zu bieten hat:
Die Ausgabe war eine weiße Seite mit folgendem Text:
You have made contact with the beacon GET / HTTP/1.1 Host: 67.191.230.57 User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.11 Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5 Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3 Accept-Encoding: gzip,deflate Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive
hier noch einige Sachen, denen ich keine wertvollen Informationen abverlangen kann ,aber ihr vielleicht:
IP Lookup:
24.98.111.69 (c-24-98-111-69.hsd1.ga.comcast.net)
ICMP Traceroute to 24.98.111.69 (24.98.111.69)
Hop 01: 192.168.178.1 fritz.fonwlan.box
Hop 02: 217.0.116.174 [Unknown]
Hop 03: 217.0.73.242 [Unknown]
Hop 04: 62.154.14.53 nyc-e5.NYC.US.net.DTAG.DE
Hop 05: ---
Hop 06: 68.86.85.74 pos-0-9-0-0-cr01.mclean.va.ibone.comcast.net
Hop 07: 68.86.85.66 pos-0-5-0-0-cr01.atlanta.ga.ibone.comcast.net
Hop 08: 68.86.90.129 te-0-2-0-4-cr01.nashville.tn.ibone.comcast.net
Hop 09: 68.86.90.130 te-7-3-ar01.nashville.tn.nash.comcast.net
Hop 10: 68.85.232.125 po-1-ar01.b0atlanta.ga.atlanta.comcast.net
Hop 11: 68.86.106.10 te-9-1-ur01.b0atlanta.ga.atlanta.comcast.net
Hop 12: 68.86.106.14 te-9-1-ur02.b0atlanta.ga.atlanta.comcast.net
Hop 13: 68.86.106.126 te-9-1-ur01.b3marietta.ga.atlanta.comcast.net
Hop 14: 68.86.106.130 te-9-1-ur01.n4atlanta.ga.atlanta.comcast.net
Hop 15: 68.86.106.134 te-9-1-ur01.n3alpharetta.ga.atlanta.comcast.net
Hop 16: 68.86.110.18 [Unknown]
Hop 17: 24.98.111.69 c-24-98-111-69.hsd1.ga.comcast.net
Standort: USA - Atlanta??
Er betreibt keinen Webserver auf Port 80
Whois-Lookup:
Comcast Cable Communications Holdings, Inc CCCH3-2 (NET-24-98-0-0-1)
24.98.0.0 - 24.99.255.255
Comcast Cable Communications Holdings, Inc. ATLANTA-5 (NET-24-98-0-0-2)
24.98.0.0 - 24.99.255.255
- ARIN WHOIS database, last updated 2008-01-12 19:10
- Enter ? for additional hints on searching ARIN's WHOIS database.
Wieder Atlanta?
Der Rechner hat angeblich keine offenen Ports!
und die andere IP:
IP Lookup:
Resolving 67.191.230.57...
67.191.230.57 (c-67-191-230-57.hsd1.ga.comcast.net)
ICMP Traceroute to 67.191.230.57 (67.191.230.57)
Hop 01: 192.168.178.1 fritz.fonwlan.box
Hop 02: 217.0.116.174 [Unknown]
Hop 03: 217.0.73.242 [Unknown]
Hop 04: 62.154.14.53 nyc-e5.NYC.US.net.DTAG.DE
Hop 05: 68.86.85.94 pos-0-9-0-0-cr01.newyork.ny.ibone.comcast.net
Hop 06: 68.86.85.70 pos-0-8-0-0-cr01.mclean.va.ibone.comcast.net
Hop 07: 68.86.85.66 pos-0-5-0-0-cr01.atlanta.ga.ibone.comcast.net
Hop 08: 68.86.90.129 te-0-2-0-4-cr01.nashville.tn.ibone.comcast.net
Hop 09: 68.86.90.130 te-7-3-ar01.nashville.tn.nash.comcast.net
Hop 10: 68.85.232.125 po-1-ar01.b0atlanta.ga.atlanta.comcast.net
Hop 11: 68.86.106.10 te-9-1-ur01.b0atlanta.ga.atlanta.comcast.net
Hop 12: 68.86.106.14 te-9-1-ur02.b0atlanta.ga.atlanta.comcast.net
Hop 13: 68.86.106.126 te-9-1-ur01.b3marietta.ga.atlanta.comcast.net
Hop 14: 68.86.106.130 te-9-1-ur01.n4atlanta.ga.atlanta.comcast.net
Hop 15: 68.86.106.134 te-9-1-ur01.n3alpharetta.ga.atlanta.comcast.net
Hop 16: 68.86.110.18 [Unknown]
Hop 17: 67.191.230.57 c-67-191-230-57.hsd1.ga.comcast.net
Ebenfalls Atlanta?
Die Ausgabe von Port 80:
GET request "/" to 67.191.230.57 (67.191.230.57)
HTTP/1.0 200 OK
Connection: close
Date: Sun Jan 13 18:30:34 EST 2008
Server: Microsoft-IIS/6.0
X-AspNet-Version: 1.1.4322
Cache-Control: private
Content-Type: text/html; charset=windows-1251
Content-Length: 44
<html>
You have made contact with the beacon
<body>
GET / HTTP/1.0
</body>
</html>
WHOIS-Lookup:
Comcast Cable Communications, Inc. ATT-COMCAST (NET-67-160-0-0-1)
67.160.0.0 - 67.191.255.255
Comcast Cable Communications, Inc. ATLANTA-10 (NET-67-191-192-0-1)
67.191.192.0 - 67.191.255.255
- ARIN WHOIS database, last updated 2008-01-12 19:10
- Enter ? for additional hints on searching ARIN's WHOIS database.
Der Rechner hat angeblich einen offenen UDP Port:
UDP 123 Network Time Protocol
meine Fragen:
1. Was hat der Mensch mit der IP 24.98.111.69 hier genau gemacht?
Was könnte er gewollt haben?
Hat er mich als "Proxy" genutzt?
2. Wie kann ich sowas unterbinden? Habt ihr sonst noch irgendwelche Links zur hand, die sich dem Sichern eines Apache Webservers unter Windows widmen?
Hab nur kurz was vom entfernen des Moduls "mod_proxy" gelesen;
3. Was bedeutet diese obige Ausgabe auf der Webseite?!
Und vor allem was heißt :
"You have made contact with the beacon "
4. Was kann ich aus obigen Angaben über den anderen und seinen Zielserver schlussfolgern?
Danke für eure Hilfe
Gruß
Tolwyn
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 78036
Url: https://administrator.de/contentid/78036
Printed on: April 23, 2024 at 08:04 o'clock
4 Comments
Latest comment
Hallo Tolwyn,
wenn Du z.B. einen Blog oder Feed auf Deinem Server zur Verfügung stellst, könnte es sich um ein Ping- beacon handeln. Google bedient sich dessen, um festzustellen, ob ein Server [Link] down ist oder aktiv.
saludos
gnarff
wenn Du z.B. einen Blog oder Feed auf Deinem Server zur Verfügung stellst, könnte es sich um ein Ping- beacon handeln. Google bedient sich dessen, um festzustellen, ob ein Server [Link] down ist oder aktiv.
saludos
gnarff
Hallo
also zu "Ping-beacon" finde ich nichts wirklich relevantes oder aussagekräftiges, außer:
Somewhere out on the web there are a series of machines that are set up
simply as something to be pinged.
The idea is that they provide a reliable machine that does not block
the port of the ping .
However I have the name wrong "ping Beacon" does not google up what I
want.
Anybody know the proper term? (or better yet a list of such beacons on
the web?)
Zu meiner Homepage:
Ich habe keinen Blog oder ähnliches auf meiner Homepage;
Es handelt sich um ganz normale Html Seiten, die für die meisten Leute auch eher uninteressant sein dürften; (Lateinseite!)
Hast du vielleicht weiterführende Links zu diesem "Ping-Beacon".
Wenn ich das im Groben richtig verstehe, nimmt Maschine XY meinen Server um zu testen, ob sie über diesen einen anderen Server erreichen kann und auf Grund dessen festzustellen, ob mein Server noch richtig funktioniert.
Was wären denn denkbare Alternativen zum "Ping-Beacon"?
Google indexiert meine Homepage nämlich regelmäßig über einen ganz normalen GET Request mit der Angabe der entsprechend aufgerufenen Seite ab oder überprüft einfach nur robots.txt bzw. sitemap.xml
Daher finde ich diese Ausgabe nämlich auch "komisch".
Gruß
tolwyn
also zu "Ping-beacon" finde ich nichts wirklich relevantes oder aussagekräftiges, außer:
Somewhere out on the web there are a series of machines that are set up
simply as something to be pinged.
The idea is that they provide a reliable machine that does not block
the port of the ping .
However I have the name wrong "ping Beacon" does not google up what I
want.
Anybody know the proper term? (or better yet a list of such beacons on
the web?)
Zu meiner Homepage:
Ich habe keinen Blog oder ähnliches auf meiner Homepage;
Es handelt sich um ganz normale Html Seiten, die für die meisten Leute auch eher uninteressant sein dürften; (Lateinseite!)
Hast du vielleicht weiterführende Links zu diesem "Ping-Beacon".
Wenn ich das im Groben richtig verstehe, nimmt Maschine XY meinen Server um zu testen, ob sie über diesen einen anderen Server erreichen kann und auf Grund dessen festzustellen, ob mein Server noch richtig funktioniert.
Was wären denn denkbare Alternativen zum "Ping-Beacon"?
Google indexiert meine Homepage nämlich regelmäßig über einen ganz normalen GET Request mit der Angabe der entsprechend aufgerufenen Seite ab oder überprüft einfach nur robots.txt bzw. sitemap.xml
Daher finde ich diese Ausgabe nämlich auch "komisch".
Gruß
tolwyn
Hallo Tolwyn,
derartige Beacons werden von Provider/Carrier benutzt um die Netzwerkperformance zu überwachen.
Bitte mache von allen IP's unter folgendem Link einen Network Lookup, Du wirst z.B. dabei auch feststellen, dass niemand spezielles hinter IP 24.98.111.69 sitzt.
Die Resultate sog. Passthru-Tests sehen dann so aus:Looking up status of 24.98.111.69
saludos
gnarff
derartige Beacons werden von Provider/Carrier benutzt um die Netzwerkperformance zu überwachen.
Bitte mache von allen IP's unter folgendem Link einen Network Lookup, Du wirst z.B. dabei auch feststellen, dass niemand spezielles hinter IP 24.98.111.69 sitzt.
Die Resultate sog. Passthru-Tests sehen dann so aus:Looking up status of 24.98.111.69
saludos
gnarff
Hallo gnarff
ok;
noch eine Frage dazu:
"Du wirst z.B. dabei auch feststellen, dass niemand spezielles hinter IP 24.98.111.69 sitzt."
Ist die 24.98.111.69 einer der Backbone-Server?
Ich hab das ganze mal noch mit meiner IP ausgetestet;
Worin unterscheidet sich eine "NICHT genutzte" IP von einer genutzten?
Ist bei einer genutzten noch der Provider (wie bspw. Telekom) und der status: ASSIGNED PA eingetragen?
Ach und wo ich gerade eh beim Thema war:
Woran würde ich im Apache Log erkennen können, OB jemand meinen Server missbraucht hat?
btw: danke für die Hilfe
Gruß
Tolwyn
ok;
noch eine Frage dazu:
"Du wirst z.B. dabei auch feststellen, dass niemand spezielles hinter IP 24.98.111.69 sitzt."
Ist die 24.98.111.69 einer der Backbone-Server?
Ich hab das ganze mal noch mit meiner IP ausgetestet;
Worin unterscheidet sich eine "NICHT genutzte" IP von einer genutzten?
Ist bei einer genutzten noch der Provider (wie bspw. Telekom) und der status: ASSIGNED PA eingetragen?
Ach und wo ich gerade eh beim Thema war:
Woran würde ich im Apache Log erkennen können, OB jemand meinen Server missbraucht hat?
btw: danke für die Hilfe
Gruß
Tolwyn
