Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Poging tot website inbraak?

Pagina: 1
Acties:

dinsdag 28 juli 2009 10:31

Acties:
  • EXX
  • Registratie: Juni 2001
  • Laatst online: 24-11 14:35

EXX

EXtended eXchange

Topicstarter
Ik onderhoud een website die ik host bij Neostrada. Sinds enige tijd zie ik het volgende regelmatig in de access logs opduiken:

code:
1
2
3
4
5
6
7
8
9
10
11
12

65.46.48.194 - - [26/Jul/2009:10:30:21 +0200] "GET / HTTP/1.1" 200 5711 "-" "Mozilla/4.0"
65.46.48.194 - - [26/Jul/2009:10:30:23 +0200] "GET /cpanel HTTP/1.1" 301 - "-" "Mozilla/4.0"
65.46.48.194 - - [26/Jul/2009:10:31:10 +0200] "GET /frontend/x3/index.html HTTP/1.1" 302 412 "-" "Mozilla/4.0"
65.46.48.194 - - [26/Jul/2009:10:31:10 +0200] "GET /404page.html HTTP/1.1" 200 6018 "-" "Mozilla/4.0"
65.46.48.194 - - [26/Jul/2009:10:31:22 +0200] "GET /frontend/x3/stats/lastvisitors_landing.html HTTP/1.1" 302 412 "-" "Mozilla/4.0"
65.46.48.194 - - [26/Jul/2009:10:31:23 +0200] "GET /404page.html HTTP/1.1" 200 6018 "-" "Mozilla/4.0"
65.46.48.194 - - [26/Jul/2009:10:31:26 +0200] "GET /xml-api/cpanel HTTP/1.1" 302 412 "-" "Mozilla/4.0"
65.46.48.194 - - [26/Jul/2009:10:31:27 +0200] "GET /404page.html HTTP/1.1" 200 6018 "-" "Mozilla/4.0"
65.46.48.194 - - [26/Jul/2009:10:39:52 +0200] "GET /logout HTTP/1.1" 302 412 "-" "Mozilla/4.0"
65.46.48.194 - - [26/Jul/2009:10:39:53 +0200] "GET /404page.html HTTP/1.1" 200 6018 "-" "Mozilla/4.0"
65.46.48.194 - - [26/Jul/2009:10:39:54 +0200] "GET /cpanel__force__logout.html HTTP/1.1" 302 412 "-" "Mozilla/4.0"
65.46.48.194 - - [26/Jul/2009:10:39:54 +0200] "GET /404page.html HTTP/1.1" 200 6018 "-" "Mozilla/4.0"


Als ik via ripe.net opvraag bij wie dit IP adres hoort, krijg ik:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41

[% Information related to '65.44.0.0 - 65.47.255.255'

inetnum:         65.44.0.0 - 65.47.255.255
netname:         IALG-ALGX-7
descr:           XOXO
country:         US
admin-c:         ARIN1-RIPE
tech-c:          ARIN1-RIPE
remarks:         *****************************************************
remarks:         *    This IPv4 network is assigned by the ARIN.     *
remarks:         * Please query WHOIS.ARIN.NET for more information. *
remarks:         *****************************************************
mnt-by:          ARIN-MNT
source:          ARIN # Filtered

person:          ARIN Dummy person
address:         RIPE NCC
address:         Singel, 258
address:         1016 AB Amsterdam
address:         The Netherlands
phone:           +31 20 535 4444
fax-no:          +31 20 545 4445
e-mail:          ripe-dbm@ripe.net
nic-hdl:         ARIN1-RIPE
source:          ARIN # Filtered

% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '65.44.0.0/14AS2828'

route:           65.44.0.0/14
descr:           XO Communications IALG-ALGX-7
                XO Communications
                11111 Sunset Hills Road
                Reston, VA  20190-5339
                Network Operations <stlnmc@xo.com> +1.314.787.7777
                Network Violations <abuse@xo.com>
origin:          AS2828
mnt-by:          MAINT-AS2828
source:          ARIN # Filtered


Ik kan me niet verklaren wie of wat hier toegang probeert te krijgen tot bestanden die niet van buiten af bereikbaar horen te zijn. De requester krijgt dan ook de 404 pagina op zijn brood. Zijn dit hackpogingen?

For it is the doom of men that they forget...           Huidige en vroegere hardware specs         The Z80 is still alive!

dinsdag 28 juli 2009 10:33

Acties:
  • AtleX
  • Registratie: Maart 2003
  • Niet online

AtleX

Tyrannosaurus Lex 🦖

Ja, maar dat gebeurt compleet geautomatiseerd en ze scannen zo duizenden domeinen per dag. Zolang je server op orde is hoef je je nergens zorgen over te maken.

Sole survivor of the Chicxulub asteroid impact.

dinsdag 28 juli 2009 10:37

Acties:
  • EXX
  • Registratie: Juni 2001
  • Laatst online: 24-11 14:35

EXX

EXtended eXchange

Topicstarter
Op de server heb ik in principe weinig invloed, die wordt beheerd door de hosting provider. Ik ga er maar vanuit dat die hun zaakjes in orde hebben. Wat proberen de inbrekers eigenlijk te bewerkstelligen?

[ Voor 16% gewijzigd door EXX op 28-07-2009 10:38 ]

For it is the doom of men that they forget...           Huidige en vroegere hardware specs         The Z80 is still alive!

dinsdag 28 juli 2009 10:40

Acties:
  • B-Man
  • Registratie: Februari 2000
  • Niet online

B-Man

Ze scannen geautomatiseerd op bekende bugs/exploits. Als die gevonden worden, wordt er iemand van op de hoogte gesteld die dan vervolgens actief gaat proberen toegang tot je server te krijgen.

Dit is (helaas) zeer normaal als je een server 24/7 aan het net hebt hangen.

[ Voor 17% gewijzigd door B-Man op 28-07-2009 10:40 ]

vrijdag 31 juli 2009 10:36

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

XO is een hosting/network toko, dus een mailtje naar het genoemde abuse adres dat ze een zombie hebben in hun netwerk/colo kan nooit kwaad.

[ Voor 7% gewijzigd door alt-92 op 31-07-2009 10:37 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 31 juli 2009 11:08

Acties:
  • EXX
  • Registratie: Juni 2001
  • Laatst online: 24-11 14:35

EXX

EXtended eXchange

Topicstarter
Goede suggestie, daar had ik nog niet aan gedacht. :)

edit: Done.

[ Voor 12% gewijzigd door EXX op 31-07-2009 11:08 ]

For it is the doom of men that they forget...           Huidige en vroegere hardware specs         The Z80 is still alive!

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq