Bots mit dyn. IP-Adressen und Verschiedene Müll-Agents

[/bin/false]

Mir scheint, es gibt eine neue Art von Bots, die bei jedem Aufruf
den User Agent ändern ... und dynamische IP's ... ausser einer
Botfalle würd es da ja etwas schwierig

84.180.87.76
Agent is pghxsjroPgbuyndagcdetvegwshyuc qtgrnP

84.180.125.242
Agent is gcjjmwqamcmdngoomxcmiowg1f1dktfwnj

[Hasso]

Dabei handelt es sich jeher um einen Rechner mit dem ganz normalen DSL Anschluss von Telekom und einer dynamischen IP-Adresse.
Bei der ersten Adresse ist das bspw. Zwickau.

Ob er bei sich ein Server stehen hat, ist schon eine andere Frage.

Grüsse
Hasso

[thetrasher]

Ich tippe auf eine trojanergestützte Botfarm. Der Server-/Proxybetreiber dürfte vom Bot nichts wissen. So neu ist diese Botart aber nicht ...

Wer sollte einen Server über eine Modemverbindung (... .dip.t-dialin.net = Modem/ISDN - oder irre ich mich?!) betreiben?

[Harki]

Ahoi,

der Zeitgenosse tummelt sich in den letzten Tagen gelegentlich auch bei mir - komischerweise auch unter einem t-dialin-Host aus Sachsen...

Code: Alles auswählen

p54b45374.dip.t-dialin.net - - [11/Jan/2006:03:16:24 +0100] "GET /beitrag5923.html HTTP/1.0" 200 49283 "-" "fadbr3fTubxTpmi3shrfq" "konjunktiv2.de"

[Hasso]

@Harki
Ja der ist ebenfalls aus Zwickau.
Was holt er so alles ab? robots.txt, html-Dateien, Formular-PHP Scripte?
In welchen Abständen? Ist die IP-Adresse immer gleich? Sind es immer GET-Anfragen?

Grüsse
Hasso

[Harki]

Salut Hasso,

er kommt so drei- bis fünfmal am Tag vorbei, und grast dann im Abstand von ganz wenigen Sekunden (1-3, oder so) jeweils so ca. 20 Seiten ab:

html und php. An Graphiken skurrilerweise das favicon.ico, aber keine GIFs, PNGs oder JPGs. Auch keine css und js, wenn ich nichts übersehen habe.

Alles per GET.

Nein, die IP-Adresse ist nicht immer gleich, aber eben offensichtlich immer von einem Einwahlknoten in Sachsen (Neotrace sagt mir "Chemnitz", aber kann sein, daß es Zwickau ist.)

Auf die Schnelle finde ich z.B. diese zwei IP-Nummern:
84.180.83.116
84.180.101.161

Zur Illustration einer der betreffenden Blöcke aus den Logs.

p54b45374.dip.t-dialin.net - - [10/Jan/2006:20:20:36 +0100] "GET /privmsg.php?folder=inbox HTTP/1.0" 302 - "-" "qfgfjnecjyyvxfrmtqS1jmi1" "konjunktiv2.de"
p54b45374.dip.t-dialin.net - - [10/Jan/2006:20:20:36 +0100] "GET /login.php HTTP/1.0" 200 9554 "-" "eaeiycbukgmccrrawbop" "konjunktiv2.de"
p54b45374.dip.t-dialin.net - - [10/Jan/2006:20:20:36 +0100] "GET /posting.php?mode=newtopic&f=1 HTTP/1.0" 200 4377 "-" "c ujlbdtdlFyk9cjkbfgkflknitprv pluvj" "konjunktiv2.de"
p54b45374.dip.t-dialin.net - - [10/Jan/2006:20:20:36 +0100] "GET /links.html HTTP/1.0" 200 15002 "-" "etrsnrcimsjnbukymrjkiqcqlcvhdrgsa" "konjunktiv2.de"
p54b45374.dip.t-dialin.net - - [10/Jan/2006:20:20:36 +0100] "GET /profile.php?mode=register HTTP/1.0" 200 12249 "-" "jmdyd pki dOgOopdwhsfmwOvv6orrvp" "konjunktiv2.de"
p54b45374.dip.t-dialin.net - - [10/Jan/2006:20:20:36 +0100] "GET /posting.php?mode=reply&t=269 HTTP/1.0" 200 4313 "-" "raqrqrhti4y 4iPxidymqiite" "konjunktiv2.de"
p54b45374.dip.t-dialin.net - - [10/Jan/2006:20:20:36 +0100] "GET / HTTP/1.0" 200 20497 "-" "mvrvciabjy 3rc3CxCjq" "konjunktiv2.de"
p54b45374.dip.t-dialin.net - - [10/Jan/2006:20:20:36 +0100] "GET /fragen.html HTTP/1.0" 200 72413 "-" "mswuyihfiscJlapryJ ueJmvug" "konjunktiv2.de"
p54b45374.dip.t-dialin.net - - [10/Jan/2006:20:20:36 +0100] "GET /thema269-15.html HTTP/1.0" 200 97411 "-" "rmrmkmWpgksseadf5qyosborWaqsc" "konjunktiv2.de"
p54b45374.dip.t-dialin.net - - [10/Jan/2006:20:20:36 +0100] "GET /thema269-45.html HTTP/1.0" 200 105487 "-" "nxwhicvliwgcwdd7o fhkq idh" "konjunktiv2.de"
p54b45374.dip.t-dialin.net - - [10/Jan/2006:20:20:36 +0100] "GET /vorigesthema269.html HTTP/1.0" 200 116314 "-" "ahpxhAuaeykoxohyojwnfaurlic" "konjunktiv2.de"
p54b45374.dip.t-dialin.net - - [10/Jan/2006:20:20:36 +0100] "GET /thema142.html HTTP/1.0" 200 40427 "-" "bpqxu cxhutcnbfhf7vakwxcsmr" "konjunktiv2.de"
p54b45374.dip.t-dialin.net - - [10/Jan/2006:20:20:36 +0100] "GET /thema213.html HTTP/1.0" 200 32769 "-" "q6xfpfqolisfuCpikbdrul" "konjunktiv2.de"
p54b45374.dip.t-dialin.net - - [10/Jan/2006:20:20:36 +0100] "GET /naechstesthema269.html HTTP/1.0" 200 40278 "-" "p egJxlcclm ecbnJbqJjrbpvfaomwmqv" "konjunktiv2.de"
p54b45374.dip.t-dialin.net - - [10/Jan/2006:20:20:36 +0100] "GET /rss.php?atom HTTP/1.0" 200 41562 "-" "gb cbcxtuHeoyudtkk japhehhyx ikhtog" "konjunktiv2.de"
p54b45374.dip.t-dialin.net - - [10/Jan/2006:20:20:36 +0100] "GET /thema1450.html HTTP/1.0" 200 116736 "-" "pohfmawwjcauxipmbf u eRmdxahawxrx" "konjunktiv2.de"
p54b45374.dip.t-dialin.net - - [10/Jan/2006:20:20:36 +0100] "GET /thema269.html HTTP/1.0" 200 106137 "-" "hbeqfagxaispyj gFuvcoaaFaio1" "konjunktiv2.de"
p54b45374.dip.t-dialin.net - - [10/Jan/2006:20:20:36 +0100] "GET /thema269-30.html HTTP/1.0" 200 106865 "-" "ny kna hkbyoEyqkx cjly" "konjunktiv2.de"
p54b45374.dip.t-dialin.net - - [10/Jan/2006:20:20:36 +0100] "GET /thema269-60.html HTTP/1.0" 200 100152 "-" "womwir5uyxknppsvbgcfcipntjmnfxfy" "konjunktiv2.de"
p54b45374.dip.t-dialin.net - - [10/Jan/2006:20:20:36 +0100] "GET /thema269-75.html HTTP/1.0" 200 112701 "-" "h gs klvW3ibttqumygndumtqyhttkyhyatki" "konjunktiv2.de"

Grüße, Harki

[marc75]

@harki

hast da ein phpbb laufen oder? eventuell sucht er lücken zum hacken.

[Harki]

marc75,

ja, es handelt sich um ein phpBB, in der Tat.