merkwürdige IP-Adresse

[Fallbeil]

Der Server eines Bekannten ist gehackt worden. :bash: Die maßgebliche IP-Adresse lautet: 200.80.42.122. Damit kann ripe.net aber nix anfangen. :bigcry: Angeblich soll es aber trotzdem keine fingierte IP-Adresse sein, sondern eine echte. Hat jemand eine Idee??
Danke im voraus!

 

[technofreak]

einfach mal in den Whois Dienst von Computerbetrug eingeben:
http://www.computerbetrug.de/whois/index.php?p=0|

da gibts ein schönes Ergebnis mit einem Land, wo sich schon viele nette Zeitgenossen hinbegeben haben
nach "Abwicklung" ihrer "Geschäfte"...

Gruß
tf

 

[Fallbeil]

Amigo

Danke sehr! :flower: Jetzt weiß ich auch die Antwort von ripe.net zu deuten => einfacher Weiterverweis. Aber Computerbetrug-whois kommt wohl ohne Verweise aus, was sehr praktisch ist.

 

[Counselor]

Der Server eines Bekannten ist gehackt worden.

Man kann nur warnen: Meine Webserverlogs weisen jeden Tag Scans aus. Hier der letzte Scan als Beispiel:

2004-02-18 12:59:45 208.57.38.24 - W3SVC1 MeinServer Meine IP 80 GET /<Rejected-By-UrlScan> 
[02-18-2004 - 12:59:45] Client at 208.57.38.24: URL normalization was not complete after one pass. Request will be rejected.  Site Instance='1', Raw URL='/scripts/..%255c%255c../winnt/system32/cmd.exe'

Man hat hier versucht, den Befehlsinterpreter zu starten. Der ISAPI Filter hat die Anfrage verworfen.

 

[Heiko]

Jo, mein Apache amüsiert sich auch immer wieder mal über diese Anfragen...

 

[Counselor]

Jo, mein Apache amüsiert sich auch immer wieder mal über diese Anfragen...

Bringt mich auf eine Idee: Ich könnte die Fehlermeldungen als Apache Meldungen tarnen. Das verwirrt die Doofies mit den Kaufhaus-Hackertoolz :lol:

Heute nacht hat wieder mal einer versucht, sich als 'Administrator' bzw 'Guest' anzumelden, die unterstützen HTTP/1.1 Methoden zu erforschen und das 'Translate f.' Exploit auszuführen (um sich Quellcode von irgendwas im Browser anschauen zu können). Es ging knapp 30 min mit zwei Requests pro Sekunde.