Dit komt uit de acces log van een domein op mijn VPS.
Is het een bot of wat anders?

88.191.62.182 - - [04/Nov/2008:05:48:21 +0100] "GET HTTP/1.1 HTTP/1.1" 400 485 "-" "Toata dragostea mea pentru diavola"
88.191.62.182 - - [04/Nov/2008:05:48:22 +0100] "GET /mantisbt/login_page.php HTTP/1.1" 404 478 "-" "Toata dragostea mea pentru diavola"
88.191.62.182 - - [04/Nov/2008:05:48:24 +0100] "GET /tracker/login_page.php HTTP/1.1" 404 477 "-" "Toata dragostea mea pentru diavola"
88.191.62.182 - - [04/Nov/2008:05:48:24 +0100] "GET /bugtracker/login_page.php HTTP/1.1" 404 480 "-" "Toata dragostea mea pentru diavola"
88.191.62.182 - - [04/Nov/2008:05:48:25 +0100] "GET /bugtrack/login_page.php HTTP/1.1" 404 478 "-" "Toata dragostea mea pentru diavola"
88.191.62.182 - - [04/Nov/2008:05:48:26 +0100] "GET /support/login_page.php HTTP/1.1" 404 477 "-" "Toata dragostea mea pentru diavola"
88.191.62.182 - - [04/Nov/2008:05:48:26 +0100] "GET /bug/login_page.php HTTP/1.1" 404 473 "-" "Toata dragostea mea pentru diavola"
88.191.62.182 - - [04/Nov/2008:05:48:27 +0100] "GET /bugs/login_page.php HTTP/1.1" 404 474 "-" "Toata dragostea mea pentru diavola"
88.191.62.182 - - [04/Nov/2008:05:48:27 +0100] "GET /mantis/login_page.php HTTP/1.1" 404 476 "-" "Toata dragostea mea pentru diavola"
88.191.62.182 - - [04/Nov/2008:05:48:28 +0100] "GET /login_page.php HTTP/1.1" 404 469 "-" "Toata dragostea mea pentru diavola"

Ik heb mijn Admin. password maar gewijzigd en het IP-adres geblokkeerd in PLESK voor wat zekerheid.

zeker een bot of een botnet infected pc/server die standaard pagina's bezoekt

komt geregeld voor, ik zie het dagelijks

update: in dit geval eentje die specifiek naar de mantis bugtracker login pagina zoekt

Hey, bedankt voor het snelle antwoord Ramon, dus het doet verder geen
kwaad denk je?

Ron

nouja de volgende stap is dat je hoogstwaarschijnlijk POST of HEAD zaken in je logs gaat vinden.

Even close monitoren kan geen kwaad, en zorg dat je open source software applicaties ( joomla, phpbb, mantis, wordpress etc.. ) gewoon up to date zijn.
Vaak worden oude lekken ge-exploit middels zulke botjes.

Dank je, ik hou de logs maar in de gaten voorlopig.

Ron

Ip nagetrokken;

IP Location: France Paris Dedibox Sas
Resolve Host: sd-11602.dedibox.fr
IP Address: 88.191.62.182

Als je die log nu even mailt naar abuse@support.dedibox.fr met een kleine uitleg erbij dat dat IP adres je server aan het scannen/bruten is en dat je server waarschijnlijk niet de enige is. Verzoek ze vriendelijk maar dringend om aktie te ondernemen.

Houd er rekening mee dat het IP gespoofed kan zijn..

Houd er rekening mee dat het IP gespoofed kan zijn..

Die kans schat ik niet zo hoog in, en in dat geval zal het in ieder geval uit hetzelfde netwerk komen. Ze zijn niet veel goed van plan in ieder geval als we de Roemeense tekst mogen geloven...

hmm tja, even die txt googlen lijkt op een standaard txt van een tutorial hoe hack ik een server oid ...

anyway gewoon ip blocken en monitoren :)


update: hoera, 2000nd post !! Ber|Art edit: Proficiat! :)

Ik wil hier nog even vermelden dat dit de eerste records waren van de acceslog van een dot com domein nadat ik een DNS-wijziging had doorgevoerd.
Dus m.a.w. het domein geregistreerd en daarna DNS gewijzigd naar mijn
server.

Misschien zit de amerikaanse registrar hierachter, het is wel toevallig.

En Ramon:gefeliciteerd:)