nicht angemeldet
traeumt.net
hallo ;-)
Bereits seit langer Zeit finde ich in meinen Serverlogs Zugriffe bzw. Anfragen verzeichnet, die von http://traeumt.net kommen - die zugehörige IP ist konstant dieselbe und gehört laut Whois einer Markus Bach Betriebs Gesellschaft mbH in 47495 Rheinberg. Ich habe schonmal hingeschrieben, aber keine Antwort erhalten (bisher). Der Grund, weshalb mich das ärgert, ist "GET /default.ida?XXX...", was oft (aber nicht immer) von traeumt.net stammt. In der Regel wird auch versucht, über port 6667 eine Verbindung aufzunehmen, der ist allerdings geschlossen. Es passiert mir nix, und in der Regel bekommt die Anfrage einen 404er zurück, aber mich wundert die Hartnäckigkeit, mit der immer wieder diese Adresse in meinen logs auftaucht. Kennt jemand von euch dieses trauemt.net?
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|
-
Hi,
Bereits seit langer Zeit finde ich in meinen Serverlogs Zugriffe bzw. Anfragen verzeichnet, die von http://traeumt.net kommen - die zugehörige IP ist konstant dieselbe und gehört laut Whois einer Markus Bach Betriebs Gesellschaft mbH in 47495 Rheinberg.
hast Du mal einen HTTP-Request auf die IP-Adresse versucht?
Der Grund, weshalb mich das ärgert, ist "GET /default.ida?XXX...", was oft (aber nicht immer) von traeumt.net stammt.
Das ist Code Red II: http://www.thesitewizard.com/news/coderediiworm.shtml
Kennt jemand von euch dieses trauemt.net?
Ich glaube nicht, dass traeumt.net etwas damit zu tun hat, zumal es sich dabei um einen Apache handelt. Warum diese Adresse als Referer(?) mitgeliefert wird, kann ich Dir auch nicht sagen.
Cheatah
--
X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
X-Will-Answer-Email: No
X-Please-Search-Archive-First: Absolutely Yes-
hallo Cheatah,
hast Du mal einen HTTP-Request auf die IP-Adresse versucht?
Ja, aber ohne verwertbares Ergebnis.
Der Grund, weshalb mich das ärgert, ist "GET /default.ida?XXX..."
Das ist Code Red IIIch weiß, ich bin in vorauseilendem Gehorsam deinem Rat gefolgt und habe dazu im Archiv recherchiert ;-)
Kennt jemand von euch dieses trauemt.net?
Ich glaube nicht, dass traeumt.net etwas damit zu tun hatMag sein, deswegen hab ich ja dort mal angefragt, und solange sie nicht antworten, ist es zumindest nicht ausgeschlossen, daß sie die Bösewichte sind.
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|-
Hallo Christoph,
Kennt jemand von euch dieses trauemt.net?
Ich glaube nicht, dass traeumt.net etwas damit zu tun hatMag sein, deswegen hab ich ja dort mal angefragt, und solange sie
nicht antworten, ist es zumindest nicht ausgeschlossen, daß sie
die Bösewichte sind.Ich kann dir versichern: sie sind es nicht. Ich kenne einige der
Leute recht gut persoenlich.Grüße,
CK-
hallo CK,
solange sie nicht antworten, ist es zumindest nicht ausgeschlossen, daß sie die Bösewichte sind.
Ich kann dir versichern: sie sind es nicht. Ich kenne einige der Leute recht gut persoenlich.ok, wenn du das sagst, bin ich ja beruhigt. Dann wird die Adresse aber leider mißbraucht (nicht von mir), und zwar schon längere Zeit.
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|-
Hallo Christoph,
solange sie nicht antworten, ist es zumindest nicht
ausgeschlossen, daß sie die Bösewichte sind.
Ich kann dir versichern: sie sind es nicht. Ich kenne einige der
Leute recht gut persoenlich.ok, wenn du das sagst, bin ich ja beruhigt. Dann wird die Adresse
aber leider mißbraucht (nicht von mir), und zwar schon längere
Zeit.Ich habe den Verantwortlichen bereits informiert.
Grüße,
CK
-
-
-
-
-
Moin,
Bereits seit langer Zeit finde ich in meinen Serverlogs Zugriffe bzw. Anfragen verzeichnet, die von http://traeumt.net kommen - die zugehörige IP ist konstant dieselbe und gehört laut Whois einer Markus Bach Betriebs Gesellschaft mbH in 47495 Rheinberg.
Gibt es rein zufällig eine starke Korrelation mit deinen spärlichen Besuchen im Chat?
;; ANSWER SECTION:
traeumt.net. 2560 IN A 195.137.213.77;; ANSWER SECTION:
irc.epd-me.net. 300 IN A 217.160.109.242
irc.epd-me.net. 300 IN A 195.137.213.77Sowie ein Ausschnitt aus dem motd:
--- - ------------------------------------------------------
--- - THIS SERVER AUTOMATICALLY SCANS FOR INSECURE PROXIES
--- - IF YOU DON'T AUTHORIZE THIS SCAN DO NOT CONNECT TO
--- - EPD-ME NETWORK SERVERS AND DISCONNECT IMMEDIATLY.
--- - --------------------------------------------------------
Henryk Plötz
Grüße aus Berlin
~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~-
hallo Henryk,
Gibt es rein zufällig eine starke Korrelation mit deinen spärlichen Besuchen im Chat?
Die Vermutung liegt wegen port 6667 nahe, ja. Ich habe das aber nicht geprüft. Gut, dann werde ich mal darauf achten, ob es eine zeitliche Nähe zu Chatbesuchen gibt - andere IRC-Server kommen nicht infrage, da ich nahezu nie irgendwelche Chats besuche. Gegen einen gelegentliche "Scan" hätte ich auch nix einzuwenden, daß mir aber "default.ida?" angedroht wird, mißfällt mir durchaus.
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|
-
-
Hi Christoph,
[...] Der Grund, weshalb mich das ärgert, ist "GET /default.ida?XXX...", was oft (aber nicht immer) von traeumt.net stammt.
Das können wir beim besten Willen nicht nachvollziehen, da der Code Red Wurm nur IIS-Server befällt und traeumt.net auf einem Linux-System (Apache) läuft.
Bitte gib uns mal den gesamten Logfile-Auszug. Wir vermuten da deinerseits ein Missverständnis.
In der Regel wird auch versucht, über port 6667 eine Verbindung aufzunehmen, der ist allerdings geschlossen.
Ja, das ist richtig. Dies dient zur Abfrage auf unsichere Proxy-Server und dieser Scan wird nur beim Verbinden zum IRC-Netzwerk epd-me.net durchgeführt.
[...] aber mich wundert die Hartnäckigkeit, mit der immer wieder diese Adresse in meinen logs auftaucht.
Was chattest du auch so viel... ;o)
Kennt jemand von euch dieses trauemt.net?
trauemt.net kennen wir nicht. traeumt.net hingegen ist einer der Server, die zum epd-me.net IRC-Netzwerk gehört, auf dem der Selfhtml-Chat läuft.
Eins möchten wir allerdings noch gerne wissen: Weshalb hast Du Kontakt zu Domainbox (dem Provider von traeumt.net) aufgenommen und nicht direkt mit Dirk, dem Administrator von traeumt.net. Dirk hättest Du über die gängige Webmaster-Mailadresse erreicht.
Viele Grüße...
Alex und Dirk :)
-
hallo,
Bitte gib uns mal den gesamten Logfile-Auszug.
Würde ich gerne machen, kann ich aber im Moment nicht, weil ich vorhin meine "alten" logs gelöscht habe. Ich muß abwarten, bis da wieder irgendwas eintrudelt, sorry. Aber bei der Gelegenheit wars mir halt mal wieder aufgefallen.
Was chattest du auch so viel... ;o)
Tu ich ja gar nicht :-P
trauemt.net ist einer der Server, die zum epd-me.net IRC-Netzwerk gehört, auf dem der Selfhtml-Chat läuft.
Das habe ich nun nach dem Hinweis von Henryk vorhin mitgekriegt, war mir aber vorher nicht bekannt.
Eins möchten wir allerdings noch gerne wissen: Weshalb hast Du Kontakt zu Domainbox (dem Provider von traeumt.net) aufgenommen und nicht direkt mit Dirk, dem Administrator von traeumt.net. Dirk hättest Du über die gängige Webmaster-Mailadresse erreicht.
Weil ich nicht wußte, daß es einen solchen Weg gegeben hätte. Ok, jetzt weiß ichs, und wenn wieder so eine Anfrage bei mir zu sehen ist, werde ich ihm schreiben. Ich werde sogar extra mal port 6667 aufmachen und meiner Firewall Bescheid sagen, daß ihr scannen dürft.
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|-
Hi,
Ich werde sogar extra mal port 6667 aufmachen und meiner Firewall Bescheid sagen, daß ihr scannen dürft.
Damit machst Du genau das Falsche. Port 6667 darf gerne gescchlossen bleiben.
Der Proxy-Scanner verbindet sich zu Dir auf Port 80 und sendet dann zu Dir eine Anfrage, ob Du zu traeumt.net auf Port 6667 eine Verbindung herstellen kannst. Sollte das der Fall sein, hättest Du einen unsichern Proxy-Server.
Im Klartext: Es wird getestet, ob es "Fremden" möglich ist, sich über deinen Proxy-Server (sofern du einen hättest) zum IRC-Netzwerk zu verbinden.
Viele Grüße...
Alex :)
-
guten Abend,
Ich werde sogar extra mal port 6667 aufmachen
Damit machst Du genau das Falsche.Ok, ok, port 6667 ist geschlossen geblieben.
Aber ich bin jetzt extra mal in den SELF-Chat gehüpft, um nachzuschauen, ob es eine Beziehung zu meinen Server-logs gibt. Siehe da:
traeumt.net - - [04/Aug/2004:23:00:45 +0200] "CONNECT 195.137.xxx.77:6667 HTTP/1.0" 405 1084(die "xxx" hab ich jetzt über die echte Ziffernfolge drübergeschrieben)
Prima, ihr habt mich also einigermaßen erfolgreich gescannt. Hier gibts nun kein "default.ida?..." (was ich euch auch gar nicht geglaubt hätte), so daß ich um Geduld bitten muß, ob und wie sich die von mir im OP aufgestellte Behauptung nachweisen läßt.
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|
-
-
-