# Attake auf meinen Webserver?



## Gunah (28. Januar 2008)

moin,

bei mir in meinem Port 8080 Server (apache 1.3.x) Aktuelle Version mit php als cgi mit OpenBase_dir

kommt im Log mehrere Male folgendes Vor:

```
122.127.67.32 - - [27/Jan/2008:04:16:39 +0100] "\x05\x01" 200 3127
122.127.67.32 - - [27/Jan/2008:04:16:39 +0100] "CONNECT 203.188.201.253:25 HTTP/1.1" 200 3139
122.127.67.32 - - [27/Jan/2008:15:30:21 +0100] "\x05\x01" 200 3127
122.127.67.32 - - [28/Jan/2008:01:05:19 +0100] "CONNECT 203.188.201.253:25 HTTP/1.1" 200 3139
122.127.67.32 - - [28/Jan/2008:01:05:19 +0100] "\x05\x01" 200 3127
122.127.67.32 - - [28/Jan/2008:10:31:05 +0100] "\x05\x01" 200 3127
122.127.67.32 - - [28/Jan/2008:10:31:05 +0100] "CONNECT 203.188.201.253:25 HTTP/1.1" 200 3139
```

kann mir einer sagen was es damit aussicht hat?

gruß
Gunah


----------



## 28dayslater (28. Januar 2008)

Naja, bei so wenigen Aufrufen wird das wohl nix schlimmes sein. Vielleicht warst du das ja auch selber. Wenn du deinen Server aus dem Internet aufrufst, dann stehst du ja auch mit deiner Adresse in den Log-Files.

Ansonsten , wie gesagt, wird wohl nix schlimmes sein, und wenn es jemand versucht hat, dann hast du ja höchstwahrscheinlich wieder eine neue IP-Adresse, wenn dein Routersich neu verbindet.

MFG


----------



## Gunah (28. Januar 2008)

naja nicht aber beim RootServer..

hatte Solche logs noch nie gesehen und ich hab schon einiges gesehen 

was mich wundert ist, das er hier anzeigt 200 also erfolgreich:
122.127.67.32 - - [28/Jan/2008:10:31:05 +0100] "\x05\x01" 200 3127


----------



## ink (28. Januar 2008)

Moin
Die Zeit liegt zwar länger zurück, aber sehe ich das richtig dass er sich über den Port 25 verbunden hat?
Das ist doch der Mailport nicht wahr?
Wenn es so ist, gibbet ne Masse an Exploits/Trojaner/Viren dafür...


----------



## Sinac (29. Januar 2008)

Das war bestimmt kein Angriff, das ist eine stinknormale Anfrage nur aus irgendeinem Grund hexcodiert, koennte zwar ein Bot etc. gewesen sein aber ist nichts schlimmes. Hat ja schliesslich auch ne erfolgreiche Antwort vom httpd gegeben.


----------



## olqs (29. Januar 2008)

Das ist ne Anfrage an nen Proxy Server.
Hier wird versucht mittels Connect Methode auf einen SMTP zuzugreifen.

Ich denke es handelt sich hier um nen Bot, der einfach auf Port 8080 (Standard Windows Proxy Port) probiert, ob ein falschkonfigurierter Proxy läuft.

Solange deine Dienste sicher konfiguriert sind, kann man diese Logeinträge vernachlässigen.


----------

