access log

[Lutz Donnerhacke]

* Hans- Peter Walther wrote:
> 217.80.156.61 - - [19/Nov/2002:12:52:01 +0100] "CONNECT 
> 207.46.133.140:21 HTTP/1.0" @@S 344 
> ----snap----
> geworden. Ich interpretiere das mal in Umgangssprache so, das
> der Rechner mit der ersten IP (gehört nicht zu unseren) den
> Apachen auffordert, mit dem Rechner mit der 2. IP (is auch
> keiner von uns) auf port 21 eine (passive?) ftp- Verbindung
> aufzubauen.

Erstmal ist das nur eine Aufforderung, einen TCP-Socket aufzubauen und
durchzureichen.

> Scheint die letzten Tage öfter vorgekommen zu sein.
> Erste IP wechselt, zweite IP bleibt gleich.
> Und das möchte ich eigentlich als Angriff werten, oder?

Ja. Man sucht nach "offenen Relays". Wenn das geht, kommt man so leicht ins
interne Netz.

-- 
tlug Mailingliste
Archiv: http://www.tlug.de/archiv/
http://schwarz.thueday.de/mailman/listinfo/tlug_allgemein