Seltsame Logfile-Einträge
Verfasst: 28.03.2004, 12:22
Hallo zusammen,
ich habe hier in letzter Zeit immer wieder Informationen zu Fragen gefunden, die ich beim Auswerten meiner Logfiles hatte. Doch heute sehe ich etwas ziemlich seltsames in meinen Logs und hätte gerne mal eure Meinung dazu:
205.140.178.158 - - [27/Mar/2004:15:09:00 +0100] "GET /cgi-bin/formmail.pl HTTP/1.0" 404 1981 "https://www.domainname.com/" "-"
200.254.91.131 - - [27/Mar/2004:15:09:18 +0100] "GET /cgi-bin/formmail.cgi HTTP/1.0" 404 1981 "https://www.domainname.com/" "-"
200.254.91.131 - - [27/Mar/2004:15:09:24 +0100] "GET /cgi-bin/FormMail.pl HTTP/1.0" 404 1981 "https://www.domainname.com/" "-"
200.254.91.131 - - [27/Mar/2004:15:09:25 +0100] "GET /cgi-bin/FormMail.cgi HTTP/1.0" 404 1981 "https://www.domainname.com/" "-"
200.254.91.131 - - [27/Mar/2004:15:09:27 +0100] "GET /cgi-sys/formmail.pl HTTP/1.0" 404 1981 "https://www.domainname.com/" "-"
200.254.91.131 - - [27/Mar/2004:15:09:29 +0100] "GET /cgi-sys/formmail.cgi HTTP/1.0" 404 1981 "https://www.domainname.com/" "-"
200.254.91.131 - - [27/Mar/2004:15:09:31 +0100] "GET /cgi-sys/FormMail.pl HTTP/1.0" 404 1981 "https://www.domainname.com/" "-"
200.254.91.131 - - [27/Mar/2004:15:09:37 +0100] "GET /cgi-bin/Formmail.pl HTTP/1.0" 404 1981 "https://www.domainname.com/" "-"
195.163.190.42 - - [27/Mar/2004:15:09:52 +0100] "GET /cgi-bin/Formmail.pl HTTP/1.0" 404 1981 "https://www.domainname.com/" "-"
148.223.153.87 - - [27/Mar/2004:15:10:13 +0100] "GET /cgi-bin/Formmail.pl HTTP/1.0" 404 1981 "https://www.domainname.com/" "-"
148.223.153.87 - - [27/Mar/2004:15:10:14 +0100] "GET /cgi-bin/mail.pl HTTP/1.0" 404 1981 "https://www.domainname.com/" "-"
148.223.153.87 - - [27/Mar/2004:15:10:15 +0100] "GET /cgi-bin/FORMMAIL.PL HTTP/1.0" 404 1981 "https://www.domainname.com/" "-"
Die waren alle so hintereinander weg eingetragen. Was wollte da jemand mit meiner formmail-Datei. Auch wenn die IP gewechselt hat, bin ich mir sicher, dass das ein und dieselbe Person bzw. Spider war. IPs waren in der Caribik, Brasil und USA - ich denke, das war einfach ein Anonymiser. Aber was war der Zweck von diesem Versuch? Ein robot war es wohl nicht, denn wenn der nach der robots.txt gefragt hätte, hätte er gar nicht erst auf den cgi-bin-Ordner zugreifen dürfen.
Was denkt ihr?
Schönen Sonntag noch und hoffentlich bis später
fool
ich habe hier in letzter Zeit immer wieder Informationen zu Fragen gefunden, die ich beim Auswerten meiner Logfiles hatte. Doch heute sehe ich etwas ziemlich seltsames in meinen Logs und hätte gerne mal eure Meinung dazu:
205.140.178.158 - - [27/Mar/2004:15:09:00 +0100] "GET /cgi-bin/formmail.pl HTTP/1.0" 404 1981 "https://www.domainname.com/" "-"
200.254.91.131 - - [27/Mar/2004:15:09:18 +0100] "GET /cgi-bin/formmail.cgi HTTP/1.0" 404 1981 "https://www.domainname.com/" "-"
200.254.91.131 - - [27/Mar/2004:15:09:24 +0100] "GET /cgi-bin/FormMail.pl HTTP/1.0" 404 1981 "https://www.domainname.com/" "-"
200.254.91.131 - - [27/Mar/2004:15:09:25 +0100] "GET /cgi-bin/FormMail.cgi HTTP/1.0" 404 1981 "https://www.domainname.com/" "-"
200.254.91.131 - - [27/Mar/2004:15:09:27 +0100] "GET /cgi-sys/formmail.pl HTTP/1.0" 404 1981 "https://www.domainname.com/" "-"
200.254.91.131 - - [27/Mar/2004:15:09:29 +0100] "GET /cgi-sys/formmail.cgi HTTP/1.0" 404 1981 "https://www.domainname.com/" "-"
200.254.91.131 - - [27/Mar/2004:15:09:31 +0100] "GET /cgi-sys/FormMail.pl HTTP/1.0" 404 1981 "https://www.domainname.com/" "-"
200.254.91.131 - - [27/Mar/2004:15:09:37 +0100] "GET /cgi-bin/Formmail.pl HTTP/1.0" 404 1981 "https://www.domainname.com/" "-"
195.163.190.42 - - [27/Mar/2004:15:09:52 +0100] "GET /cgi-bin/Formmail.pl HTTP/1.0" 404 1981 "https://www.domainname.com/" "-"
148.223.153.87 - - [27/Mar/2004:15:10:13 +0100] "GET /cgi-bin/Formmail.pl HTTP/1.0" 404 1981 "https://www.domainname.com/" "-"
148.223.153.87 - - [27/Mar/2004:15:10:14 +0100] "GET /cgi-bin/mail.pl HTTP/1.0" 404 1981 "https://www.domainname.com/" "-"
148.223.153.87 - - [27/Mar/2004:15:10:15 +0100] "GET /cgi-bin/FORMMAIL.PL HTTP/1.0" 404 1981 "https://www.domainname.com/" "-"
Die waren alle so hintereinander weg eingetragen. Was wollte da jemand mit meiner formmail-Datei. Auch wenn die IP gewechselt hat, bin ich mir sicher, dass das ein und dieselbe Person bzw. Spider war. IPs waren in der Caribik, Brasil und USA - ich denke, das war einfach ein Anonymiser. Aber was war der Zweck von diesem Versuch? Ein robot war es wohl nicht, denn wenn der nach der robots.txt gefragt hätte, hätte er gar nicht erst auf den cgi-bin-Ordner zugreifen dürfen.
Was denkt ihr?
Schönen Sonntag noch und hoffentlich bis später
fool
