[Eisfair_dev] BFB 0.8.3 immer noch Problem mit *.html

Detlef Paschke schabau at t-online.de
Mo Jan 16 10:29:42 CET 2017 

Am 20.12.2016 um 18:37 schrieb Olaf Jaehrling:

Hallo Olaf,

>> Ich habe hier sogar von einer älteren SuSE/Samba auf meinen SuSE 13.2
>> lustige Dateinamen:
>>
>> Original (ältere SuSE)
>> .DCOPserver_lighthouse_localhost_10
>>
>> erscheint in Dolphin per Samba-Freigabe als:
>>
>> _EVQ9P-O

heute Nacht war es wieder mal soweit. Ein Angriff kam von 216.246.49.26
und mir wurde per Mail auch eine 216.246.49.26.html "angeboten". Unter
Windows erscheint im TC per Samba eine Datei Namens 6TA0L3~0.
Schaue ich direkt im MC heißt die Datei 62.157.140.133.80.156.86.78.html.

Im BFB debug Log steht dazu auch:

...
IP 216.246.49.26 hat web versucht
starte Auswertung
Accesslistscan
ip=216.246.49.26
Traceroute soll gemacht werden
gehe zu _traceroute
starte traceroute zu 216.246.49.26
Whois soll gemacht werden
gehe zu _whois
starte whois von 216.246.49.26
starte blocking
16.01.2017 00:38:07
Blocke die IP  216.246.49.26
blocke lokal.
/sbin/iptables -I BFBBLOCK -s 216.246.49.26 -j REJECT
sende Mail
...

dann aber:

...
createhtml_ipaddress=62.157.140.133
80.156.86.78
createhtml_root=/var/www/htdocs/brute_force_blocking
createhtml_dateiname=/var/www/htdocs/brute_force_blocking/62.157.140.133
80.156.86.78.html
ip=216.246.49.26
...

Woher nimmt BFB die beiden IPs 62.157.140.133 und 80.156.86.78? Das
scheint ja das Problem zu sein.

Und, was mir auch gerade auffällt. Eine ältere dieser dubiosen Dateien
die unter Windows im TC 8UCBUG~O heißt aber eigentlich
60.13.124.145.html hätte heißen sollen, heißt im MC
80.156.86.78.62.157.140.133.html.

Sprich also, auch wieder die IPs 62.157.140.133 und 80.156.86.78 nur bei
dieser in umgekehrter Reihenfolge.

Bei einer schnellen Suche im Netz habe ich unter vielem anderen auch
folgendes zu diesen beiden IPs gefunden:

https://telekomhilft.telekom.de/t5/Sonstiges/DNS-Server-Problem-T-Online-DNS/td-p/584721

http://www.mcseboard.de/topic/153341-seltsames-ergebnis-bei-nslookup/

Sollte es dann nicht vorerst helfen, wenn ich BFB_RESOLVE_DNS= auf no setze?

> Danke und Gruß
> 
> Olaf

Viele Grüße
Detlef Paschke

-- 
registered Fli4l-User #00000209
Das "Zitat des Augenblicks" gibt es nur auf
http://www.schabau.goip.de

Mehr Informationen über die Mailingliste Eisfair_dev