Toon posts:

Vreemde webserver log

Pagina: 1
Acties:

zaterdag 21 november 2015 13:16

Acties:
  • Mijzelf
  • Registratie: September 2004
  • Niet online

Mijzelf

Topicstarter
Vanmorgen vond ik dit in mijn webserver log:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

104.156.228.116 <mijndomein> - [21/Nov/2015:01:43:06 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
155.94.171.207 <mijndomein> - [21/Nov/2015:01:43:07 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
108.61.210.150 <mijndomein> - [21/Nov/2015:01:43:09 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
84.177.25.199 <mijndomein> - [21/Nov/2015:01:43:11 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
95.25.10.32 <mijndomein> - [21/Nov/2015:01:43:12 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
188.244.39.126 <mijndomein> - [21/Nov/2015:01:43:12 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
162.216.46.23 <mijndomein> - [21/Nov/2015:01:43:13 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
31.7.58.158 <mijndomein> - [21/Nov/2015:01:43:19 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
95.220.187.85 <mijndomein> - [21/Nov/2015:01:43:19 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
50.177.200.87 <mijndomein> - [21/Nov/2015:01:43:20 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
95.165.106.128 <mijndomein> - [21/Nov/2015:01:43:20 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
18.238.2.85 <mijndomein> - [21/Nov/2015:01:43:20 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
176.126.252.11 <mijndomein> - [21/Nov/2015:01:43:21 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
148.240.174.247 <mijndomein> - [21/Nov/2015:01:43:22 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
173.254.216.69 <mijndomein> - [21/Nov/2015:02:44:15 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
158.69.208.131 <mijndomein> - [21/Nov/2015:02:44:17 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
64.235.40.24 <mijndomein> - [21/Nov/2015:02:44:27 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
95.220.187.85 <mijndomein> - [21/Nov/2015:02:44:28 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
84.177.25.199 <mijndomein> - [21/Nov/2015:02:44:29 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
173.254.216.66 <mijndomein> - [21/Nov/2015:02:44:30 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
177.154.139.194 <mijndomein> - [21/Nov/2015:02:44:37 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
50.177.200.87 <mijndomein> - [21/Nov/2015:02:44:38 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
194.150.168.95 <mijndomein> - [21/Nov/2015:02:44:38 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
155.94.171.207 <mijndomein> - [21/Nov/2015:02:44:39 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
37.146.191.231 <mijndomein> - [21/Nov/2015:02:44:40 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
95.165.106.128 <mijndomein> - [21/Nov/2015:02:44:42 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
107.170.123.11 <mijndomein> - [21/Nov/2015:02:44:42 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
148.240.174.247 <mijndomein> - [21/Nov/2015:02:44:48 +0100] "GET / HTTP/1.1" 404 345 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
Wat mij verbaast is dat de user agent volstrekt gelijk is. IE6 op XP. Gezien de burst is dit een botnet. Wat ik mij nou afvraag, zijn dit echt allemaal identieke XP installaties, of vermomd de bot zich?
Overigens zijn er geen follow-ups. Alleen de root wordt opgevraagd.

zaterdag 21 november 2015 13:26

Acties:
  • Breezers
  • Registratie: Juli 2011
  • Laatst online: 16-03-2021

Breezers

Script met random IP's dat zich voordoet als een agent

[ Voor 17% gewijzigd door Breezers op 21-11-2015 13:27 ]

“We don't make mistakes just happy little accidents” - Bob Ross

zaterdag 21 november 2015 13:30

Acties:
  • DiedX
  • Registratie: December 2000
  • Laatst online: 06:11

DiedX

Monitoring tool?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

zaterdag 21 november 2015 13:33

Acties:
  • HollowGamer
  • Registratie: Februari 2009
  • Niet online

HollowGamer

Met deze informatie kunnen we weinig, wat heb je in de (public) root staan? Moet er toegang zijn? Alles up-to-date?

Denk dat er een IE6 agent wordt gebruikt voor het zoeken naar SSL lekken.

zaterdag 21 november 2015 13:35

Acties:
  • MrMonkE
  • Registratie: December 2009
  • Laatst online: 04-11 15:26

MrMonkE

★ EXTRA ★

Als het een botnet is dan is het wel slecht dat hun client string niet dynamisch is als het een poging tot vermomming is. Dat, of dit botnet heeft een exploit gebruikt die alleen voor "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" gold. lol.

★ What does that mean? ★

zaterdag 21 november 2015 13:45

Acties:
  • Morrar
  • Registratie: Juni 2002
  • Laatst online: 07-11 11:06

Morrar

30 requests in bijna 2 minuten is niet bijzonder veel lijkt me, daarnaast max 2 requests per IP is ook niet veel. Samen met wat MrMonkE zegt lijkt het me geen botnet.

Is het niet gewoon een doorlink service via een webserver? Dus men heeft (geprobeerd) een illegaal bestand op je server te zetten (MP3 of film o.i.d.) en vervolgens via een of ander gaar webscript hiernaar gelinkt. Het webscript vuurt het GET request af (met die User Agent) met als referrer het IP van degene die de link aanklikt.

Dat zou ook verklaren waarom sommige IPs 2x voorkomen en anderen niet; aangezien het bestand niet gevonden werd (404) klikken sommige waarschijnlijk nog een keer voor ze het opgeven.

zaterdag 21 november 2015 13:48

Acties:
  • MrMonkE
  • Registratie: December 2009
  • Laatst online: 04-11 15:26

MrMonkE

★ EXTRA ★

Ze doen allemaal get /

★ What does that mean? ★

zaterdag 21 november 2015 14:11

Acties:
  • Mijzelf
  • Registratie: September 2004
  • Niet online

Mijzelf

Topicstarter
HollowGamer schreef op zaterdag 21 november 2015 @ 13:33:
Met deze informatie kunnen we weinig, wat heb je in de (public) root staan? Moet er toegang zijn?
Dit is een privé servertje thuis. Ik heb wat tools 'in het veld' staan, die af een toe een terugmelding geven door een wget, met als doel een logregel te krijgen. Hoogstens 100 accesses per etmaal. De root hoort een 404 te geven, daar is niets vreemds aan. (Eigenlijk geeft alles een 404. De document root is leeg)
Morrar schreef op zaterdag 21 november 2015 @ 13:45:
30 requests in bijna 2 minuten is niet bijzonder veel lijkt me, daarnaast max 2 requests per IP is ook niet veel. Samen met wat MrMonkE zegt lijkt het me geen botnet.
Het is wel veel, namelijk 90% van de internetruis van afgelopen nacht. Zoveel dat het patroon eruitsprong zonder dat ik hoefde te filteren. En aangezien de IP addressen hoofdzakelijk verschillen, zit er iets overkoepelends achter.
MrMonkE schreef op zaterdag 21 november 2015 @ 13:35:
Dat, of dit botnet heeft een exploit gebruikt die alleen voor "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" gold. lol.
Dat vroeg ik me dus af, of dat mogelijk was. Is dat inderdaad Gold? Dan moet het haast wel fake zijn. Je kunt toch niet .Net 2.0 installeren zonder een servicepack mee te trekken?
Breezers schreef op zaterdag 21 november 2015 @ 13:26:
Script met random IP's dat zich voordoet als een agent
Random IP's? Hoe doe je dat?

zaterdag 21 november 2015 14:19

Acties:
  • MrMonkE
  • Registratie: December 2009
  • Laatst online: 04-11 15:26

MrMonkE

★ EXTRA ★

Ik denk eerder dat ze gewoon hardcoded client string erin hebben staan.
Maar als je een botnet bent dat niet wil worden herkend is het wel een beetje dom.

★ What does that mean? ★

zaterdag 21 november 2015 14:28

Acties:
  • McKaamos
  • Registratie: Maart 2002
  • Niet online

McKaamos

Master of the Edit-button

Ik zou me er niet druk om maken.
Lijkt gewoon op wat internetruis. Een paar scanners die een heel blok IP's aan het af-scannen zijn of er toevallig openstaande services draaien.
Je server spuugt gewoon een 404 uit, dus ze hebben iig geen aanknopingspunt dat er een script staat wat misbruikt kan worden.

Je zou de IP's eventueel kunnen loggen en dan een blokkade opwerpen, maar dat lijkt me verspilde tijd.
Mocht je NginX draaien, dan kan je ook nog een 'return 444;' op de docroot zetten, met een exclusie voor 1 hele specifieke, zwaar random URL, welke 404 meld oid.

444 is een 'do not respond' setting voor NginX, wat letterlijk betekent dattie gewoon geen reactie zal afgeven, zelfs geen 404 oid.

Iemand een Tina2 in de aanbieding?

zaterdag 21 november 2015 14:31

Acties:
  • MrMonkE
  • Registratie: December 2009
  • Laatst online: 04-11 15:26

MrMonkE

★ EXTRA ★

Ja, wat mcKaamos zegt.
Ik zie dit soort hits 24/7 het hele jaar door.
Ook meer specifieke requests die speciefieke aanvalsdoelen hebben.
Ze doen gewoon IP ranges aflopen.

★ What does that mean? ★

zaterdag 21 november 2015 14:42

Acties:
  • Morrar
  • Registratie: Juni 2002
  • Laatst online: 07-11 11:06

Morrar

Mijzelf schreef op zaterdag 21 november 2015 @ 14:11:
[...]
Dit is een privé servertje thuis. Ik heb wat tools 'in het veld' staan, die af een toe een terugmelding geven door een wget, met als doel een logregel te krijgen. Hoogstens 100 accesses per etmaal. De root hoort een 404 te geven, daar is niets vreemds aan. (Eigenlijk geeft alles een 404. De document root is leeg)


[...]
Het is wel veel, namelijk 90% van de internetruis van afgelopen nacht. Zoveel dat het patroon eruitsprong zonder dat ik hoefde te filteren. En aangezien de IP addressen hoofdzakelijk verschillen, zit er iets overkoepelends achter.
Gezien de hoeveelheid ruis die er rondspookt op het net (meeste verkeer is inmiddels niet meer van mensen) kan je server er een keer tussenzitten toch :)
[...]
Random IP's? Hoe doe je dat?
Referer kun je zelf in de header van het GET request opgeven en ook IP adressen zou je kunnen spoofen. Als je niet geinteresseerd bent in het antwoord van de server, kun je dus willekeurige adressen gebruiken.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq