83.137.142.11 (free-11.wartburg.nl) in je sitestats?

woensdag 17 november 2010 12:44

Acties:

0 Henk 'm!

Topicstarter

Wij draaien tientallen goedbezochte websites met gescheiden loginsystemen.

Nu zie ik in de verzamelde logs dat het ip-adres 83.137.142.11 heel erg vaak voorkomt als IP-adres, bij vele verschillende gebruikers. Het adres verwijst naar "free-11.wartburg.nl", een christelijke scholengemeenschap.

Als ik google dan zijn er honderden track-logs te vinden waar de IP voorkomt, en ook vele fora en gastenboeken met serieuze content waar dit IP wordt gebruikt (varierend van Barbie tot Formule1), dus niet alleen onze eigen sites.

Gebruikers met dit IP-adres lijken dan ook 'normaal' gebruik te maken van onze sites, typen wel eens een wachtwoord fout in, wijzigen adresgegevens op normale wijze, hebben verschillende browsers, resoluties etc.

Ik snap eigenlijk niet hoe dit kan. Kan het zijn dat KPN dit IP-adres heel vaak uitgeeft aan verschillende gebruikers tegelijk? Of kan het zijn dat deze pc's besmet zijn met het een of ander, en de traffic wordt getunneld?

Ik verwacht eigenlijk dat, als je een beetje goedlopende site hebt, dat dit adres voor gaat komen. Wie heeft zin om dit even te checken in z'n logs?

Canon 400D, Sigma 17-70 2.8-4.5, Canon 50 1.8

woensdag 17 november 2010 13:24

Acties:

0 Henk 'm!

Baiko

Is waarschijnlijk gewoon een proxy die geforceerd ingesteld staat op alle machines binnen de school, is vrij normaal voor scholen. Kunnen ze het internet verkeer loggen/filteren voor de kids.

Lian Li PC O-11 Dynamic XL, AMD 5950x, NZXT Z73, Asus X570 Gaming-E, 4x8GB 3600mhz, Gigabyte RTX 3090 Vision OC, WD Black SN850 1TB

woensdag 17 november 2010 14:20

Acties:

0 Henk 'm!

AugmentoR

Topicstarter

Nee, ik ken een aantal van de accounts en die hebben helemaal niks met die school te maken en gebruikers met dat IP hebben ook nog nooit van de school gehoord.

Ook geografisch is er geen connectie want het betreft accounts van mensen uit amsterdam, assen, breda, maarssen, utrecht, heemskerk, hengelo etc.

Canon 400D, Sigma 17-70 2.8-4.5, Canon 50 1.8

woensdag 17 november 2010 14:28

Acties:

0 Henk 'm!

EcoR

Ik heb even bij onze sites gekeken (4 relatief kleine sites, zeer specifieke doelgroepen) hebben ook enkele hits gekregen via dat IP. Zijn slechts een paar hits op enkele nieuwsberichten (variërend van wetswijziging tot regionale nieuwtjes).

woensdag 17 november 2010 16:10

Acties:

0 Henk 'm!

Verwijderd

nvm

[ Voor 113% gewijzigd door Verwijderd op 14-04-2011 00:54 ]

woensdag 17 november 2010 16:20

Acties:

0 Henk 'm!

Kees

Serveradmin / BOFH / DoC

Het is een domein dat geregistreerd staaat bij kpn, op een IP van Volker Wessel, met als administrative contact Vodafone.

Naja, het lijkt mij gewoon een exit van een groot bedrijf of een school. Aangezien er ook enige tientallen mensen op GoT rondlopen 'vanaf' dat IP lijkt het me eerder een school dan een bedrijf, en wie weet komt er nog wel iemand langs met dat IP om het uit te leggen wat het precies is

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

woensdag 17 november 2010 16:55

Acties:

0 Henk 'm!

Robinski

A.K.A. RHarmsen

Misschien moet de TS gewoon eens contact opnemen met die betreffende school, misschien draaien er en paar leerlingen stiekem TOR om zo toch bepaalde gebieden op internet te kunnen bezoeken welke geblokkeerd zijn (geenstijl bijv).

Hierdoor komt er ook mogelijk op die school een TOR endpoint waar anderen gebruik van maken, al dan niet bewust.

10xAXItec AC-265P = 2,650kWp @ SolarEdge SE2200 - PVOutput

woensdag 17 november 2010 19:09

Acties:

0 Henk 'm!

AugmentoR

Topicstarter

Ik denk dat ik er achter ben: de gemene deler lijkt Volker Wessels te zijn, en zo te zien zijn landelijk al hun kantoren van dat IP 'voorzien'. Nu richten onze sites zich veelal op de bouw, dus vandaar dat we daar veel hits van ontvangen.
De verwijzing naar het Wartburg-college zal een foutje zijn, of ze hebben de zelfde automatiseerder.
Bedankt voor zover, van mij mag 'ie op slot.

Canon 400D, Sigma 17-70 2.8-4.5, Canon 50 1.8

woensdag 17 november 2010 19:35

Acties:

0 Henk 'm!

bjck

Is het netblock niet van Vodafone en dit subnet onder de naam Volker Wessels ICT b.v gezet?

Domein door KPN geregistreerd maakt het inderdaad geen IP van KPN of verbindbinding van KPN perse (kan wel)

Mijn beredenering zou zijn dat deze 'klant' (school Wartburg) haar verbinding afneemt bij Vodafone en dat door Volker Wessels ICT wordt geleverd. Of andersom, dat ze het afnemen bij Volker Wessels ICT en die dat bij Vodafone inkopen de connectiviteit?

Het netblock wordt ook door AS33915 TNF-AS Vodafone Libertel B.V. in de routing tabel gezet die de internet verbinding realiseert.

Dat is van wie *dit* IP adres is in de post. Een IP adres komt maar op één plaats voor in het internet, nooit dubbel dat kan niet.

Maar als je in de logs free-11.wartburg.nl ziet staan kan het nog anders zijn. Deze reverse DNS naam kan wel aan meerdere adressen zijn gekoppeld. Deze resolven dan naar dezelfde naam, zo kom je bijvoorbeeld ook wel eens 'unused.bedrijf.nl' tegen. Nog niet specifiek geconfigureerde namen die voor meerdere adressen hetzelfde zijn.

rDNS kan wel vaker voorkomen op meerdere IP's (oneindig).
DNS kan maar naar één of meer IP's tegelijk wijzen en kan je zien door het domein te resolven.

Meest aannemelijk is wel dat deze hits op je sever komen van deze school gewoon

[ Voor 44% gewijzigd door bjck op 17-11-2010 19:44 ]

Een onderschrift moet altijd zinvol zijn.

Onderwerpen