PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : scheinbarer Angreifer


Cerberus
24.05.2008, 21:47
Irgendwie schlägt meine LOG andauernd an ...
Immer der gleich User ...

aber immer alle 24 Minuten -- ich vermute, das ist eine announce -- also ein Schwarzleecher ....

Ich habe den CT-Tracker jetzt ergänzt
$hacked = htmlentities(sqlesc($cracktrack));
write_log("ctracker", "$cremotead - $cuseragent [$hacked]");
ich will wissen, welches Verhalten das hervorruft ....
und wie ich es unterbinden kann ..

IP-Search von Desaster und die Start-Stop-Log ergeben keine Treffer

gotthummer
24.05.2008, 21:56
Ich glaub das hatte ich auch mal ist aber von alleine weggegangen konnte auch nix rausfinden

Cerberus
24.05.2008, 22:35
der kommt auf zwei verschiedene
216.133.221.196 - Java/1.5.0_11 ['passkey=3297d78c12d26140?info_hash=%9b%ca%13%9d%2a%ca%7d%66%9b%f0%b4%cb%80%0a%3c%67%a2%2e%1c%04&peer_id=-LT0100-9>9807<5:?>4&port=6870&uploaded=86016&downloaded=86016&left=374377548&event=started&numwant=50&no_peer_id=1&compact=1&key=6xiaLM6c']
und
216.133.221.196 - Java/1.5.0_11 ['passkey=8f1603af74a38fd6?info_hash=%9b%ca%13%9d%2a%ca%7d%66%9b%f0%b4%cb%80%0a%3c%67%a2%2e%1c%04&peer_id=-LT0100-9>9807<5:?>4&port=6870&uploaded=86016&downloaded=86016&left=374377548&event=started&numwant=50&no_peer_id=1&compact=1&key=6xiaLM6c']

die Erweiterung laß ich mal Drin -- so sehe ich, wie die kommen :)

BiGPoWeR
24.05.2008, 22:37
Hi
Genau das gleiche habe ich auch ;)

Immer eine IP mit 216.133 am Anfang und und dann eben Java/1.5.0_11

Lg BiGPoWeR

gotthummer
25.05.2008, 01:56
Vielleicht liegt das an einem bestimmten Clienten irgend einer azureus (azu war ja java basis oder täusch ich mich gerade) version müsste mann mal testweise ein nach dem anderem clienten sperren udn gucken ob es dann auch noch kommt wenn nicht mehr weiß mann an welchem clienten es liegt hab ich damals auch schon vermutet nur nicht getestet

HaBe
25.05.2008, 02:38
naja du siehst ja den passkey im webserver log. einfach mal danach suchen, der ist ja recht eindeutig :D

SeeYou
25.05.2008, 08:41
hatte ich auch und war auf einmal wieder wech..auch mit 216.133.....

Cerberus
25.05.2008, 08:59
also das scheint ein Azu zu sein ....

Passkey hab ich ja nu raus gefunden -- aber der ist bei uns nicht vergeben

seit 2:00 ist kein Eintrag mehr vorhanden

HaBe
25.05.2008, 12:51
doofe frage meinerseits:

wie hast du den ctracker in die announce eingebaut?

storker
25.05.2008, 13:08
naja Azureus wirds nicht sein...siehe peer id.
Azureus hat als peer id AZ...
bsp.
AZ2402 = Azureus 2.4.0.2
AZ2502 = Azureus 2.5.0.2

gotthummer
25.05.2008, 19:00
Naja aber ich denk trotzdem das es irgendein client ist

Cerberus
25.05.2008, 21:25
der cttracker ist in der bittorrent.php drin ...
und die per include in der announce

Tiberius
26.05.2008, 02:29
LT ist glaub ich ein LibTorrent Kern, $_SERVER['HTTP_USER_AGENT'] wird euch sicherlich mehr Aufschluss dazu geben

Solstice
28.05.2008, 16:42
Joo... habe dasselbe problem gehabt.
ich hab dann einfach mal alle Java clients gesperrt und die IP von der es kam (großräumig) seitdem hat ich dat problem nie wieder...

Allerdings....
Die ctracker php schlägt doch nur an, wenn verbotene Befehlswörter (simples Bsp: UPDATE oder union (mysql/sql)) an den Tracker übergeben werden.
Also denke ich, ein normaler Client kann/macht das ja nicht, da der solche Befehle nichtmal kennt. Ich hab mir überlegt, das es aufgrund dieser Tatsache ein Programm sein könnte, das sich die Lücken im system automatisch aussucht und probiert. und jedes Mal gibbet halt nen Log eintrag. Ich mein halt so ne Art Tool das zb Mysql injections testet ob diese möglich sind.
Wäre möglich, das sich ein solches Programm als Client tarnt.

Klingt vll. jetzt unglaublich, aber schließlich glaubt man als unwissender es auch vorerst nicht, dass PWs geklaut werden können, wenn man links benutzt...

So far..

mfg,
Sol

Cerberus
28.05.2008, 19:43
so -- und nu fangen wir nochmal an ....