Discussion:
Seltsamer NNTP-Kontakt
(zu alt für eine Antwort)
Ulrich F. Heidenreich
2007-09-27 09:00:18 UTC
Permalink
Hallöchen.

Obzwar ich nicht weiß, ob es einer und wenn ja, was für ein Mißbrauch
das sein könnte, wüßte ich rekursiverweise genau deswegen zunächst keine
bessere Gruppe.

Irgendso ein Schwachmat kippt hier in unregelmäßigen Abständen in den
Port 119 (SIC! Also NNTP) Folgendes ab:

POST http://72.21.54.170/proxy5/check.php HTTP/1.1

Was zum Henker will der?

CU!
Ulrich
--
Was haben eigentlich "Gorgonzola" und "Gurkensalat" gemeinsam?
Ralph A. Schmid, dk5ras
2007-09-27 15:12:50 UTC
Permalink
Post by Ulrich F. Heidenreich
Irgendso ein Schwachmat kippt hier in unregelmäßigen Abständen in den
POST http://72.21.54.170/proxy5/check.php HTTP/1.1
Komisch. NNTP ist bei mir hier der einziger Service, auf den kein
Schwein zugreift, absolut nix außer meinen eigenen Zugriffen. Scheint
derzeit nicht interessant zu sein...

Ralph.
Ulrich F. Heidenreich
2007-09-27 15:38:15 UTC
Permalink
Post by Ralph A. Schmid, dk5ras
Post by Ulrich F. Heidenreich
Irgendso ein Schwachmat kippt hier in unregelmäßigen Abständen in den
POST http://72.21.54.170/proxy5/check.php HTTP/1.1
Komisch. NNTP ist bei mir hier der einziger Service, auf den kein
Schwein zugreift, absolut nix außer meinen eigenen Zugriffen.
Das freut mich für Dich; aber bringt es uns in der Sache irgendwie
weiter?

CU!
Ulrich
--
Was haben eigentlich "Gorgonzola" und "Gurkensalat" gemeinsam?
Ralph A. Schmid, dk5ras
2007-09-27 16:13:29 UTC
Permalink
Post by Ulrich F. Heidenreich
Das freut mich für Dich; aber bringt es uns in der Sache irgendwie
weiter?
Nein. Sollte es? Ich habe meine logfiles der letzten zwei Monate
durchsucht, aber sowas nicht entdecken können. Üblicherweise sind ja
irgendwelche Angriffsversuche eher "überall" anzutreffen, also klingt
es eher nach irgend einer falsch konfigurierten Anwendung.

Ralph.
Ulrich F. Heidenreich
2007-09-27 16:28:32 UTC
Permalink
Post by Ralph A. Schmid, dk5ras
Post by Ulrich F. Heidenreich
Das freut mich für Dich; aber bringt es uns in der Sache irgendwie
weiter?
Nein. Sollte es?
Deswegen hatte ich ja eigentlich gefragt, was Ziel und Zweck einer
offensichtlichen HTTP-Anfrage auf Port 119 bezwecken sollte.
¯¯¯¯
CU!
Ulrich

P.S.: -thh kann ich diesmal wohl ausschließen <vbeg>
--
Was haben eigentlich "Gorgonzola" und "Gurkensalat" gemeinsam?
Ray Banana
2007-09-27 16:57:59 UTC
Permalink
Post by Ulrich F. Heidenreich
Deswegen hatte ich ja eigentlich gefragt, was Ziel und Zweck einer
offensichtlichen HTTP-Anfrage auf Port 119 bezwecken sollte.
Herauszufinden, ob bei dir auf Port 119 ein offener HTTP-Proxy läuft?
Und nein, es ist nicht verboten, auf Port 119 etwas anderes als NNTP zu
sprechen.
--
Too many ingredients in the soup, no room for a spoon.
http://news.motzarella.org
Nils Ketelsen
2007-09-27 17:18:42 UTC
Permalink
Post by Ulrich F. Heidenreich
Post by Ralph A. Schmid, dk5ras
Post by Ulrich F. Heidenreich
Das freut mich für Dich; aber bringt es uns in der Sache irgendwie
weiter?
Nein. Sollte es?
Deswegen hatte ich ja eigentlich gefragt, was Ziel und Zweck einer
offensichtlichen HTTP-Anfrage auf Port 119 bezwecken sollte.
Möglich wäre, daß Du irgendwann mal einen link der Art
"news://deinnewserver.example.com:119/" veröffentlich hast (wo auch immer)
und der Superparser eines Spammers noch erkannt hat, das das ein URL ist,
nicht aber, das es URLs auch für andere Protokolle als http gibt.

Aber das ist natürlich Rätselgerate.

Nils
--
Newsreaders still feel it is worth a special and rather worrying mention if,
for instance, a crime was planned by people over the Internet. They don't
bother to mention when criminals use the telephone or the M4, or discuss
their dastardly plans over a cup of tea. -- Douglas Adams --
Thomas Hochstein
2007-09-27 18:51:39 UTC
Permalink
Post by Ulrich F. Heidenreich
P.S.: -thh kann ich diesmal wohl ausschließen <vbeg>
*patsch*
Lothar Kimmeringer
2007-10-05 10:24:20 UTC
Permalink
Post by Ulrich F. Heidenreich
Irgendso ein Schwachmat kippt hier in unregelmäßigen Abständen in den
POST http://72.21.54.170/proxy5/check.php HTTP/1.1
Ist das alles, oder schickt der noch irgendwelche Header mit?
Eigentlich sollte bei HTTP 1.1 ja noch ein "Host" mitgeschickt
werden.

Gab es einen Portscan im Vorfeld? Wenn ja, ist das wohl irgend-
ein Trojaner, der sich auf 119 breitmacht (unter Windows geht
das ja problemlos) und beim obigen Request zurueckmeldet, dass
er bereit ist.

Stehst Du hinter einer NAT? Evtl. ist ein Rechner Deiner
L-User "trojanisch versorgt". Wenn ja, mach doch mal einen
Portscan auf Port 119 ueber Dein Netzwerk.


Gruesse, Lothar
--
Lothar Kimmeringer E-Mail: ***@kimmeringer.de
PGP-encrypted mails preferred (Key-ID: 0x8BC3CD81)

Always remember: The answer is forty-two, there can only be wrong
questions!
Ulrich F. Heidenreich
2007-10-05 11:07:10 UTC
Permalink
Post by Lothar Kimmeringer
Post by Ulrich F. Heidenreich
Irgendso ein Schwachmat kippt hier in unregelmäßigen Abständen in den
POST http://72.21.54.170/proxy5/check.php HTTP/1.1
Ist das alles, oder schickt der noch irgendwelche Header mit?
Eigentlich sollte bei HTTP 1.1 ja noch ein "Host" mitgeschickt
werden.
Es ist alles, was ich im Newsserverlog (SIC!) sehen kann. Da dem NNTP-
Protokoll scheint's egal ist, ob hinter POST noch irgendetwas steht oder
nicht, bekommt er auch noch ein

"340 OK, recommended ID <***@ufh.invalid.de>"

an den Kopf geworfen bevor die Verbindung offensichtlich mangels
Datenfluß austimed.
Post by Lothar Kimmeringer
Stehst Du hinter einer NAT? Evtl. ist ein Rechner Deiner
L-User "trojanisch versorgt". Wenn ja, mach doch mal einen
Portscan auf Port 119 ueber Dein Netzwerk.
Da meldet sich überall der Hamster.

CU!
Ulrich
--
51°26'57.97",7°1'48.09"
Loading...