127.0.0.1

[grossy]

https://127.0.0.1:4664/preview?event_id ... 0000000000

Das ist, glaube ich, nur der refer. Der sagt aus, auf welcher Seiter der Browsers vorher war. Ich vermute mal, dieser Besucher hat irgend eine locale Suma laufen, die ihm die Ergebnisse im Browser ausgibt und dafür halt die Url 127.0.0.1:4664 benutzt, anstatt z.B. google.com. Die Tatsache des Zugriffs an sich, ist meiner Meinung nach, absolut unbedenklich.

[Michael1967]

Na dann danke für die Info.

[SloMo]

Beweisführung geglückt! Dieses Forum kann aus Scheiße einen mehrseitigen Thread machen! Aber mal ehrlich: das wissen wir doch schon länger...

[thekaine]

Sollte keine Probleme verursachen wenn du das nur über Apache sperrst. Und das macht auf "shared" Hostern durch aus sinn. Wenn man das Pech hat mit "komischen" Leuten auf einem Server zu sein.

[ramiba]

I hacked 127.0.0.1
https://www.stophiphop.com/modules/news ... toryid=184

geil

[wolli]

Der Zugriff ist auf jedenfall von deinem Rechner.
Sperre einfach mal den Port und achte auf Fehlermeldungen in den Logs


nette Grüße
wolli

[Pompom]

Der Zugriff ist auf jeden Fall nicht von deinem Rechner oder Server.

Ich habe die auch (ausreichend) in meinen Logs.

Wahrscheinlich handelt es sich da um eine Cache-Funktion irgendeiner Suma/eines Webverzeichnisses/eines Proxys. So richtig habe ich das noch nicht raus bekommen, wer da hinter steckt.

[wolkenkrieger]

Der Port liegt verdächtig nähe der eMule-Ports - kann es sein, dass der eMule oder irgendeiner seiner Dienste (Webclient oder so) das verursacht?

[wolli]

@popcom
--
Der Zugriff ist auf jeden Fall nicht von deinem Rechner oder Server.
So richtig habe ich das noch nicht raus bekommen, wer da hinter steckt.
--

Ich kenne keinen Weg! wo man eine IP auf 127.. faken kann.
Somit kommt der Aufruf definitiv von dem eigenen Rechner!

Was möglich wäre ist das ein Angriff über ein nicht geschütztes Formular
kommt, das lokal dann eine Anwendung (datei) aufruft.

nette Grüße
wolli

[Pompom]

Glaub ich nicht, daß da was emulet.
Mit dem Parameter q hängt ein Key dran, wie z.B. bei Zugriffen aus dem Google Cache, bloß dass es nicht google ist.

Hier mal kleiner Auszug aus meinem (Sperr-)Log
d54C042C0.access.telenet.be - https://127.0.0.1:4664/preview?event_id ... 0000000000

xdsl-87-78-178-188.netcologne.de - https://127.0.0.1:4664/preview?event_id ... 0000000000

Pro Tag habe ich da so ca. 700...800 Zugriffe von.

[Pompom]

@knollibolliwolli

Ich kenne keinen Weg! wo man eine IP auf 127.. faken kann.
Somit kommt der Aufruf definitiv von dem eigenen Rechner!

Danke, dass du dich so super auf meinem Server auskennst, Herr Dr. Schäuble.

Was möglich wäre ist das ein Angriff über ein nicht geschütztes Formular
kommt, das lokal dann eine Anwendung (datei) aufruft.

Nö.

[wolli]

@Pompom

warum so unfreundlich?
Zeige mir wie ich eine IP explizit auf 127... faken kann und ich mach dich reich !

Du hast in den logs 127.... dann kommt der Zugriff auch von deiném Rechner!
Da kannst du mich auch doppeltwolliweißichnicht nennen, das ändert nichts an der Tatsache dass IPs [noch] nicht explizit zu faken sind!

nette Grüße
doppelwolliweißichnichtundschongarnicht......

[wolli]

@Pompom
jetzt mal wieder sachlich, denn ich denke du suchst eine Lösung
oder Aufklärung des Problems.

Hast du mal probiert den Link lokal aufzurufen?
https://127.0.0.1:4664/preview?event_id ... 0000000000

Was bekommst du als Ausgabe?

nette Grüße
wolli

[wolkenkrieger]

Zeige mir wie ich eine IP explizit auf 127... faken kann und ich mach dich reich !

Beschäftige dich mal mit PERL und Web-Exploits...

[wolli]

@wolkenkrieger

Web-Exploits?
Die werden eingeschleust und lokal ausgeführt
und bestätigen meine These zu dem Problem in diesen Thread!

Gibt es andere überzeugende Argumente eine IP explizit zu faken?

nette Grüße
wolli