scheinbarer Angreifer
 

Irgendwie schlägt meine LOG andauernd an ...
Immer der gleich User ...

aber immer alle 24 Minuten -- ich vermute, das ist eine announce -- also ein Schwarzleecher ....

Ich habe den CT-Tracker jetzt ergänzt
ich will wissen, welches Verhalten das hervorruft ....
und wie ich es unterbinden kann ..

IP-Search von Desaster und die Start-Stop-Log ergeben keine Treffer

Ich glaub das hatte ich auch mal ist aber von alleine weggegangen konnte auch nix rausfinden

der kommt auf zwei verschiedene
und
die Erweiterung laß ich mal Drin -- so sehe ich, wie die kommen :)

Hi
Genau das gleiche habe ich auch ;)

Immer eine IP mit 216.133 am Anfang und und dann eben Java/1.5.0_11

Lg BiGPoWeR

Vielleicht liegt das an einem bestimmten Clienten irgend einer azureus (azu war ja java basis oder täusch ich mich gerade) version müsste mann mal testweise ein nach dem anderem clienten sperren udn gucken ob es dann auch noch kommt wenn nicht mehr weiß mann an welchem clienten es liegt hab ich damals auch schon vermutet nur nicht getestet

naja du siehst ja den passkey im webserver log. einfach mal danach suchen, der ist ja recht eindeutig :D

hatte ich auch und war auf einmal wieder wech..auch mit 216.133.....

also das scheint ein Azu zu sein ....

Passkey hab ich ja nu raus gefunden -- aber der ist bei uns nicht vergeben

seit 2:00 ist kein Eintrag mehr vorhanden

doofe frage meinerseits:

wie hast du den ctracker in die announce eingebaut?

naja Azureus wirds nicht sein...siehe peer id.
Azureus hat als peer id AZ...
bsp.
AZ2402 = Azureus 2.4.0.2
AZ2502 = Azureus 2.5.0.2

Naja aber ich denk trotzdem das es irgendein client ist

der cttracker ist in der bittorrent.php drin ...
und die per include in der announce

LT ist glaub ich ein LibTorrent Kern, $_SERVER['HTTP_USER_AGENT'] wird euch sicherlich mehr Aufschluss dazu geben

Joo... habe dasselbe problem gehabt.
ich hab dann einfach mal alle Java clients gesperrt und die IP von der es kam (großräumig) seitdem hat ich dat problem nie wieder...

Allerdings....
Die ctracker php schlägt doch nur an, wenn verbotene Befehlswörter (simples Bsp: UPDATE oder union (mysql/sql)) an den Tracker übergeben werden.
Also denke ich, ein normaler Client kann/macht das ja nicht, da der solche Befehle nichtmal kennt. Ich hab mir überlegt, das es aufgrund dieser Tatsache ein Programm sein könnte, das sich die Lücken im system automatisch aussucht und probiert. und jedes Mal gibbet halt nen Log eintrag. Ich mein halt so ne Art Tool das zb Mysql injections testet ob diese möglich sind.
Wäre möglich, das sich ein solches Programm als Client tarnt.

Klingt vll. jetzt unglaublich, aber schließlich glaubt man als unwissender es auch vorerst nicht, dass PWs geklaut werden können, wenn man links benutzt...

So far..

mfg,
Sol

so -- und nu fangen wir nochmal an ....