[Eisfair] BFB: eigenartiger Logfile

So Aug 5 12:38:51 CEST 2012

Hallo Peter,

--- Original-Nachricht ---
Absender: Peter Spiess
Datum: 04.08.2012 22:36
> wieder mal hat einer rumprobiert, nur ist diesmal der Logfile etwas
> eigenartig. Das Teil ist ziemlich groß und unübersichtlich, ich poste es
> trotzdem mal. Falls es die Boardregeln sprengen sollte, bitte ich den
> Mod, den Beitrag zu löschen.
> 
> Vielleicht könnte mir jemand kurz erklären, was da passiert ist oder
> versucht wurde.

Siehe Anmerkungen.

> 
> Danke schon mal.
> Servus
> Peter
> --------------------------------------------
> APACHE was attacked
> 
> [Sat Aug 04 15:40:46 2012] [error] [client 211.210.124.201] File does
> not exist: /var/www/htdocs/w00tw00t.at.blackhats.romanian.anti-sec:)
> [Sat Aug 04 15:40:46 2012] [error] [client 211.210.124.201] File does
> not exist: /var/www/htdocs/phpMyAdmin

Die 211.210.124.201 hat einen Filescan gemacht um komprmotierbare
Dateien zu finden

> #################################################################
> Process query: '211.210.124.201'
> Query recognized as IPv4.
> Querying whois.nic.or.kr:43 with whois.
> 
> "x{00c1}" does not map to ascii at /usr/bin/gwhois line 688, line 3110.
> "x{00b6}" does not map to ascii at /usr/bin/gwhois line 688, line 3110.
> "x{00c8}" does not map to ascii at /usr/bin/gwhois line 688, line 3110.
> "x{00b8}" does not map to ascii at /usr/bin/gwhois line 688, line 3110.

> query: 211.210.124.201 # KOREAN
> x{00c1}x{00b6}x{00c8}x{00b8}x{00c7}x{00cf}x{00bd}x{00c5}
> IPv4x{00c1}x{00d6}x{00bc}x{00d2}x{00b4}x{00c2}
> x{00c7}x{00d1}x{00b1}x{00b9}x{00c0}x{00ce}x{00c5}x{00cd}x{00b3}x{00dd}x{00c1}x{00f8}x{00c8}x{00ef}x{00bf}x{00f8}x{00c0}x{00b8}x{00b7}x{00ce}x{00ba}x{00ce}x{00c5}x{00cd}
> x{00be}x{00c6}x{00b7}x{00a1}x{00c0}x{00c7}
> x{00b0}x{00fc}x{00b8}x{00ae}x{00b4}x{00eb}x{00c7}x{00e0}x{00c0}x{00da}x{00bf}x{00a1}x{00b0}x{00d4}
> x{00c7}x{00d2}x{00b4}x{00e7}x{00b5}x{00c7}x{00be}x{00fa}x{00c0}x{00b8}x{00b8}x{00e7},

> ip-adm at skbroadband.com [ x{00bd}x{00ba}"x{00c6}" does not map to ascii
> at /usr/bin/gwhois line 688, line 3110. "x{00d4}" does not map to ascii
> at /usr/bin/gwhois line 688, line 3110. "x{00c7}" does not map to ascii
> at /usr/bin/gwhois line 688, line 3110. "x{00d8}" does not map to ascii

Das ist die Ausgabe von whois. Hat BFB keinen Einfluss drauf. BroadNet
als Betreiber dieser IP hat Koreanische Schriftzeichen in der Ausgabe.
Daher kommen diese komischen Zeichen zustande. Jeder whois-betreiber hat
damit seine Problem. Kannst ja mal die unterschiedlichen Ausgaben hier
vergleichen:
 /usr/bin/whois 211.210.124.201

mit

 /usr/bin/whois -h whois.in-berlin.de 211.210.124.201

> #################################################################
> traceroute to 211.210.124.201 (211.210.124.201), 20 hops max, 40 byte
> packets using UDP 1 fritzbox.spiess.local (192.189.207.1) 0.566 ms 2
> 217.0.116.74 (217.0.116.74) 166.239 ms 3 217.0.69.82 (217.0.69.82)
> 52.513 ms 4 l-eb2-i.L.DE.NET.DTAG.DE (62.154.89.110) 58.173 ms 5
> 217.243.216.202 (217.243.216.202) 77.427 ms 6
> vlan60.csw1.Frankfurt1.Level3.net (4.69.154.62) 72.044 ms 7
> ae-92-92.ebr2.Frankfurt1.Level3.net (4.69.140.29) 65.467 ms 8
> ae-22-22.ebr2.London1.Level3.net (4.69.148.189) 80.735 ms 9
> ae-41-41.ebr1.NewYork1.Level3.net (4.69.137.66) 150.796 ms 10
> ae-71-71.csw2.NewYork1.Level3.net (4.69.134.70) 151.897 ms 11
> ae-92-92.ebr2.NewYork1.Level3.net (4.69.148.45) 149.314 ms 12
> 4.69.135.185 (4.69.135.185) 220.373 ms 13
> ae-61-61.csw1.SanJose1.Level3.net (4.69.153.2) 219.772 ms 14
> ae-31-90.car1.SanJose2.Level3.net (4.69.152.203) 235.561 ms 15
> HANARO.car1.SanJose2.Level3.net (4.59.0.162) 345.862 ms 16 58.229.15.169
> (58.229.15.169) 355.081 ms 17 58.229.92.138 (58.229.92.138) 353.213 ms
> 18 211.108.122.2 (211.108.122.2) 354.301 ms 19 101.55.0.142
> (101.55.0.142) 352.468 ms 20 211.210.124.201 (211.210.124.201) 351.214 ms

Ein wunderschöner traceroute nach Korea :)

Gruß

Olaf