O
oberon
Guest
Hallo ich bin neu hier.
Habe das Forum durch google gefunden.
Wir hosten ein paar Webseiten (unsere) und betreiben einen eigenen mailserver. Alles unter Suse-linux.
Folgende drei Eiträge erscheinen im Accesslogfile von Apache als Erstes wenn ich das Logfile lösche und neu boote:
-----
24.127.144.214 - - [29/Mar/2004:15:21:50 +0200] "GET http://www.proxycity.com/proxy.php HTTP/1.1" 200 149
66.165.3.214 - - [29/Mar/2004:15:23:24 +0200] "GET http://e7.member.yahoo.com/config/login?.r...sswd=1235678910 HTTP/1.0" 502 945
66.165.3.214 - - [29/Mar/2004:15:24:11 +0200] "GET http://e8.member.yahoo.com/config/login?.r...asswd=123567890 HTTP/1.0" 502 935
-------
Kann so etwas ein Trojaner machen? Wurde er in Apache eincompiliert?
Wir hatten 2 Hackerangriffe die unsere Websites mit neuen Indexfiles 'schmückten', an sich harmlos aber ecklig.
nun habe ich dauernd solche Zugriffe:
----
P/1.0" 999 1195
68.185.209.155 - - [30/Mar/2004:08:01:53 +0200] "GET http://e6.member.ukl.yahoo.com/config/logi...54&passwd=12345 HTTP/1.0" 999 1195
68.185.209.155 - - [30/Mar/2004:08:08:07 +0200] "GET http://e2.edit.cnb.yahoo.com/config/login?...es&passwd=12345 HTTP/1.0" 200 2520
68.185.209.155 - - [30/Mar/2004:08:20:17 +0200] "GET http://e2.edit.cnb.yahoo.com/config/login?...6&passwd=123456 HTTP/1.0" 200 2448
-----
wobei der user immer ein bisschen wechselt.
Hat jemand vielleicht einen Tipp zur Hand?
Gruss
oberon
Habe das Forum durch google gefunden.
Wir hosten ein paar Webseiten (unsere) und betreiben einen eigenen mailserver. Alles unter Suse-linux.
Folgende drei Eiträge erscheinen im Accesslogfile von Apache als Erstes wenn ich das Logfile lösche und neu boote:
-----
24.127.144.214 - - [29/Mar/2004:15:21:50 +0200] "GET http://www.proxycity.com/proxy.php HTTP/1.1" 200 149
66.165.3.214 - - [29/Mar/2004:15:23:24 +0200] "GET http://e7.member.yahoo.com/config/login?.r...sswd=1235678910 HTTP/1.0" 502 945
66.165.3.214 - - [29/Mar/2004:15:24:11 +0200] "GET http://e8.member.yahoo.com/config/login?.r...asswd=123567890 HTTP/1.0" 502 935
-------
Kann so etwas ein Trojaner machen? Wurde er in Apache eincompiliert?
Wir hatten 2 Hackerangriffe die unsere Websites mit neuen Indexfiles 'schmückten', an sich harmlos aber ecklig.
nun habe ich dauernd solche Zugriffe:
----
P/1.0" 999 1195
68.185.209.155 - - [30/Mar/2004:08:01:53 +0200] "GET http://e6.member.ukl.yahoo.com/config/logi...54&passwd=12345 HTTP/1.0" 999 1195
68.185.209.155 - - [30/Mar/2004:08:08:07 +0200] "GET http://e2.edit.cnb.yahoo.com/config/login?...es&passwd=12345 HTTP/1.0" 200 2520
68.185.209.155 - - [30/Mar/2004:08:20:17 +0200] "GET http://e2.edit.cnb.yahoo.com/config/login?...6&passwd=123456 HTTP/1.0" 200 2448
-----
wobei der user immer ein bisschen wechselt.
Hat jemand vielleicht einen Tipp zur Hand?
Gruss
oberon