Discussion:
aufgefallen
(zu alt für eine Antwort)
Klaus Medeke
2008-10-09 04:19:27 UTC
Permalink
Hallo,

seit ein paar Tagen kommen aus dem IP Bereich 217.93.xxx.xx, der zur
Telekom gehört, jede Menge Aufrufe, die in den Logfiles wie folgt
dokumentiert werden:

GET
http://www.meine-domain.de/cgi-bin/suchen.cgi?session_id=1234567&words=Beispiel

Üblicherweise sehen solche Einträge so aus:

GET /cgi-bin/suchen.cgi?session_id=1234567&words=Beispiel

Meine Fragen:

-wie kommen Aufrufe zustande, die mit http:// beginnend im Logfile
protokolliert werden?
-was könnte mit diesen Aufrufen beabsichtigt sein? Probiert da einer
einen Robot aus?

Der User-Agent ist übrigens immer Mozilla/4.0 (compatible; MSIE 7.0b;
Windows NT 6.0)

Vielen Dank schon mal für jede Idee.

Viele Grüße,

Klaus
Gabriele Neukam
2008-10-09 14:56:49 UTC
Permalink
Post by Klaus Medeke
GET
http://www.meine-domain.de/cgi-bin/suchen.cgi?session_id=1234567&words=Beispiel
GET /cgi-bin/suchen.cgi?session_id=1234567&words=Beispiel
Wie heißt Deine Domain denn (Punkte können ruhig ausgelassen werden)?
Es könnte sein dass Mozilla da was in der Startseite oder einem Plugin
drin stehen hat das dorthin (irrtümlich?) verweist.


Gabriele Neukam

***@t-online.de
--
No I am not a troll. Just a beginner and lazy!!!!!!!!!!!
(leepeach in alt.comp.virus, asked why (s)he was repeatedly asking the
same question)
Karsten Düsterloh
2008-10-09 20:01:18 UTC
Permalink
Post by Gabriele Neukam
Wie heißt Deine Domain denn (Punkte können ruhig ausgelassen werden)?
Es könnte sein dass Mozilla da was in der Startseite oder einem Plugin
drin stehen hat das dorthin (irrtümlich?) verweist.
Ich sehe in Klaus' Posting genau gar keinen Bezug zu Mozilla.
Der angegebene User-Agent "Mozilla/4.0 (compatible; MSIE 7.0b;
Windows NT 6.0)" ist eben gerade *NICHT* von Mozilla, sondern vom
Internet Explorer (wenn er denn nicht sowieso gefälscht ist)...


Karsten
--
Freiheit stirbt | Fsayannes SF&F-Bibliothek:
Mit Sicherheit | http://fsayanne.tprac.de/
Klaus Medeke
2008-10-10 07:00:55 UTC
Permalink
Post by Gabriele Neukam
Post by Klaus Medeke
GET
http://www.meine-domain.de/cgi-bin/suchen.cgi?session_id=1234567&words=Beispiel
GET /cgi-bin/suchen.cgi?session_id=1234567&words=Beispiel
Wie heißt Deine Domain denn (Punkte können ruhig ausgelassen werden)?
Es könnte sein dass Mozilla da was in der Startseite oder einem Plugin
drin stehen hat das dorthin (irrtümlich?) verweist.
Hallo Gabriele,

inzwischen sind schon mehrere Domains davon betroffen. Die Aufrufe
erfolgen auch nicht als Ergebnis eigener Crawltätigkeit sondern werden
wohl über Google zusammengeklaubt, wie ich anhand der Session-Ids
erkennen kann.

Schaden richtet das ja (bislang) auch keinen an, mich würde halt nur
interessieren, wieso die Aufrufe mit http usw beginnen und wozu sie
dienen.

Den User Agent habe ich übrigens nicht deswegen angegeben, weil ich
dachte, dass ein Browser was falsch interpretiert, sondern nur als
Indiz dafür, dass der Verursacher immer derselbe ist.

Viele Grüße,

Klaus
Arno Welzel
2008-10-10 09:07:14 UTC
Permalink
Post by Klaus Medeke
seit ein paar Tagen kommen aus dem IP Bereich 217.93.xxx.xx, der zur
Telekom gehört, jede Menge Aufrufe, die in den Logfiles wie folgt
GET
http://www.meine-domain.de/cgi-bin/suchen.cgi?session_id=1234567&words=Beispiel
GET /cgi-bin/suchen.cgi?session_id=1234567&words=Beispiel
-wie kommen Aufrufe zustande, die mit http:// beginnend im Logfile
protokolliert werden?
Dadurch, dass ein kaputter Bot "http://..." im GET-Request sendet.
Post by Klaus Medeke
-was könnte mit diesen Aufrufen beabsichtigt sein? Probiert da einer
einen Robot aus?
Möglich.
--
http://arnowelzel.de
http://de-rec-fahrrad.de
Dirk Haun
2008-10-10 18:14:13 UTC
Permalink
Post by Arno Welzel
Dadurch, dass ein kaputter Bot "http://..." im GET-Request sendet.
Wieso eigentlich "kaputt"? Laut RFC 2616 ist eine "absoluteURI" durchaus
erlaubt. Wohl in erster Linie gedacht für den Einsatz mit Proxies, aber
ich sehe jetzt auf die Schnelle nichts, was den Einsatz anderswo
verbieten würde.

bye, Dirk
Arno Welzel
2008-10-13 13:21:48 UTC
Permalink
Post by Dirk Haun
Post by Arno Welzel
Dadurch, dass ein kaputter Bot "http://..." im GET-Request sendet.
Wieso eigentlich "kaputt"? Laut RFC 2616 ist eine "absoluteURI" durchaus
erlaubt. Wohl in erster Linie gedacht für den Einsatz mit Proxies, aber
ich sehe jetzt auf die Schnelle nichts, was den Einsatz anderswo
verbieten würde.
Verboten ist es in der Tat nicht - es ist nur unüblich. Kein gänger
Browser schickt absolute URIs direkt an einen Webserver. Wenn solche
Requests im Log auftauchen, kann man davon ausgehen, dass es *kein*
Browser war.
--
http://arnowelzel.de
http://de-rec-fahrrad.de
Loading...