Wido
24/03/05, 13:26
Hallo,
Al ongeveer 24 uur lang wordt onze website (www.pcextreme.nl) aangevallen door een soort worm lijkt het.
Het volgende wordt constant opgevraagd:
213.75.12.42 - - [23/Mar/2005:16:24:05 +0100] "GET / HTTP/1.1" 200 17074 "-" "IMHTTP"
68.13.211.102 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.1" 302 5 "-" "IMHTTP"
165.98.145.134 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.0" 302 0 "-" "IMHTTP"
80.55.154.66 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.0" 302 0 "-" "IMHTTP"
83.16.196.114 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.0" 302 0 "-" "IMHTTP"
68.225.250.6 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.1" 302 5 "-" "IMHTTP"
68.100.156.217 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.0" 302 0 "-" "IMHTTP"
62.45.231.50 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.1" 302 5 "-" "IMHTTP"
200.117.239.163 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.0" 302 0 "-" "IMHTTP"
83.192.72.32 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.1" 302 5 "-" "IMHTTP"
161.139.115.5 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.0" 302 0 "-" "IMHTTP"
212.25.90.101 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.1" 302 5 "-" "IMHTTP"
83.130.207.127 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.1" 302 5 "-" "IMHTTP"
68.13.211.102 - - [23/Mar/2005:16:24:05 +0100] "GET / HTTP/1.1" 200 17074 "-" "IMHTTP"
62.254.0.12 - - [23/Mar/2005:16:24:05 +0100] "GET / HTTP/1.1" 200 17074 "-" "IMHTTP"
69.141.118.196 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.1" 302 5 "-" "IMHTTP"
65.29.93.179 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.1" 302 5 "-" "IMHTTP"
68.100.156.217 - - [23/Mar/2005:16:24:05 +0100] "GET / HTTP/1.0" 200 17020 "-" "IMHTTP"
200.50.114.10 - - [23/Mar/2005:16:24:06 +0100] "GET /update/4/update151.ini HTTP/1.1" 302 5 "-" "IMHTTP"
En zo gaat het al uren door.
Dat hele bestand + pad bestaat niet bij ons, maar het blijft maar doorgaan?
Ik heb nu maar een mooi bash script gemaakt dat deze hosts allemaal uit de access_log vist en ze blokkeerd in de firewall.
Ik heb op Google al gezocht, maar er valt niets te vinden?
Hebben andere mensen ook last hiervan?
Al ongeveer 24 uur lang wordt onze website (www.pcextreme.nl) aangevallen door een soort worm lijkt het.
Het volgende wordt constant opgevraagd:
213.75.12.42 - - [23/Mar/2005:16:24:05 +0100] "GET / HTTP/1.1" 200 17074 "-" "IMHTTP"
68.13.211.102 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.1" 302 5 "-" "IMHTTP"
165.98.145.134 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.0" 302 0 "-" "IMHTTP"
80.55.154.66 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.0" 302 0 "-" "IMHTTP"
83.16.196.114 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.0" 302 0 "-" "IMHTTP"
68.225.250.6 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.1" 302 5 "-" "IMHTTP"
68.100.156.217 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.0" 302 0 "-" "IMHTTP"
62.45.231.50 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.1" 302 5 "-" "IMHTTP"
200.117.239.163 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.0" 302 0 "-" "IMHTTP"
83.192.72.32 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.1" 302 5 "-" "IMHTTP"
161.139.115.5 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.0" 302 0 "-" "IMHTTP"
212.25.90.101 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.1" 302 5 "-" "IMHTTP"
83.130.207.127 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.1" 302 5 "-" "IMHTTP"
68.13.211.102 - - [23/Mar/2005:16:24:05 +0100] "GET / HTTP/1.1" 200 17074 "-" "IMHTTP"
62.254.0.12 - - [23/Mar/2005:16:24:05 +0100] "GET / HTTP/1.1" 200 17074 "-" "IMHTTP"
69.141.118.196 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.1" 302 5 "-" "IMHTTP"
65.29.93.179 - - [23/Mar/2005:16:24:05 +0100] "GET /update/4/update151.ini HTTP/1.1" 302 5 "-" "IMHTTP"
68.100.156.217 - - [23/Mar/2005:16:24:05 +0100] "GET / HTTP/1.0" 200 17020 "-" "IMHTTP"
200.50.114.10 - - [23/Mar/2005:16:24:06 +0100] "GET /update/4/update151.ini HTTP/1.1" 302 5 "-" "IMHTTP"
En zo gaat het al uren door.
Dat hele bestand + pad bestaat niet bij ons, maar het blijft maar doorgaan?
Ik heb nu maar een mooi bash script gemaakt dat deze hosts allemaal uit de access_log vist en ze blokkeerd in de firewall.
Ik heb op Google al gezocht, maar er valt niets te vinden?
Hebben andere mensen ook last hiervan?