Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[APACHE] Raar iets in logs

Pagina: 1
Acties:

maandag 10 oktober 2005 13:15

Acties:
  • Graaf
  • Registratie: Oktober 2001
  • Laatst online: 20-03-2024

Graaf

blup

Topicstarter
Ik weet niet psies waar ik dit kwijt moet, maar ik zie de laatste tijd dingen in mn logs voorbij komen zoals...


213.239.154.3 - - [10/Oct/2005:10:07:09 +0200] "CONNECT 213.239.154.22:6667 HTTP/1.0" 200 5 "-" "-" "-" 0 localhost
213.239.154.3 - - [10/Oct/2005:10:07:09 +0200] "POST http://213.239.154.22:6667/ HTTP/1.0" 200 5 "-" "-" "-" 0 localhost

3.154.239.213.in-addr.arpa domain name pointer atropos.tweakers.net.
22.154.239.213.in-addr.arpa domain name pointer abaris.tweakers.net.

Geen flauw idee wat ze op die tweakers servers aan het doen zijn, maar volgens mij moet ik hier niet blij mee zijn en zien als hack pogingen.

Wat zijn dit voor requests? en Waarom worden ze gedaan?

maandag 10 oktober 2005 13:19

Acties:
  • whoami
  • Registratie: December 2000
  • Laatst online: 10:52

whoami

Dit heeft eigenlijk niets met programmeren te maken.

IMHO kan het beter in Beveiliging & Virussen staan

P&W -> BV

https://fgheysels.github.io/

maandag 10 oktober 2005 14:51

Acties:
  • pasta
  • Registratie: September 2002
  • Laatst online: 12-01 14:16

pasta

Ondertitel

De poorten wijzen op de IRC server van T.net, echter draait die op Arethusa, dus dat lijkt het me niet, daarbij zou het niet in je Apache log moeten komen. :) Ik heb even rondgekeken en kwam erachter dat Atropos 1 van de Load-Balancers is, en Abaris is 1 van de webservers.

Signature

maandag 12 februari 2007 17:30

Acties:
  • Vloris
  • Registratie: December 2001
  • Laatst online: 28-11 11:26

Vloris

Allereerst sorry als ik dit beter in een nieuw topic had moeten plaatsen, maar al zoekend kwam dit het beste overeen met hetgeen ik nu mee zit.

Ik kom de laatste tijd ook dit soort meldingen tegen, niet in m'n apache logs maar wel in m'n firewall logs. Ik kan me voorstellen dat er een open-proxy scan uitgevoerd wordt, maar is het niet handig om dat vanaf een ip te doen wat een duidelijke rDNS heeft zoals open-proxy-scan.tweakers.net ofzo?
Vanaf de loadbalancer zelf lijkt me niet handig, vooral niet met 'intelligente' firewalls die portscans proberen te detecteren en aan de hand daarvan hosts volledig gaan blokken.
Dan is dus tweakers.net onbereikbaar voor hun.

Verder begrijp ik niet helemaal waarom die dan in allerlei wazige poortnummers tussen de 30000 en de 60000 geinteresseerd is:
floris@kronos:/var/log$ zgrep 213.239.154.3 syslo* | cut -d" " -f20 |cut -c5- | sort -n | uniq -c
     56 23
     28 1180
     27 1978
     28 2280
     27 3128
     28 3380
     27 6588
      4 33057
      4 33265
  .... en nog zo wat willekeurigs ....
      4 59406
      4 60716

Dit is in 1 week tijd dus. Eerste getal is het aantal keer dat het poortnummer (tweede getal) geprobeerd is te connecten vanaf atropos.tweakers.net

[ Voor 5% gewijzigd door Vloris op 12-02-2007 17:31 ]

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq