Besuch aus China :-)

Alles, was nicht direkt mit dem i-Telex System oder technischem Support zu tun hat, im entferntesten Sinne aber noch zum Thema Fernschreiber passt.
Antworten
Benutzeravatar

Topic author
cguenther
Rank 3
Rank 3
Beiträge: 153
Registriert: Di 28. Mai 2019, 01:13
Wohnort: 51429 Bergisch Gladbach
Hauptanschluß: 96899 cg d

Besuch aus China :-)

#1

Beitrag: # 13322Beitrag cguenther »

Hallo,

ich hatte gestern mal an die Ethernetkarte als auch TW39-Spezial einen RS232-to-LAN Interface gahengen, um in einer Konsole die Ausgaben mitlaufen zu lassen.

Interessanterweise gab es dann kurz darauf heute nacht Besuch aus China (122.114.171.57 / https://ipinfo.io/AS4837/122.114.0.0/16 ... 4.170.0/23).
Da wurde mal jeweils ein Request auf alles losgelassen, was anscheinend eine Möglichkeit für eine Backdoor bzw. Hack bieten könnte:

00:59:00,38: http-request: index.html from 122.114.171.57
http-server: robots.txt ( 68 Byte uebertragen (FLASH)
00:59:03,02: http-request: robots.txt from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
00:59:05,49: http-request: from 122.114.171.57
http-server: webdav/ ( 0 Byte uebertragen (SD)
00:59:07,62: http-request: webdav/ from 122.114.171.57
http-server: help.php ( 0 Byte uebertragen (SD)
00:59:10,01: http-request: help.php from 122.114.171.57
http-server: java.php ( 0 Byte uebertragen (SD)
00:59:13,02: http-request: java.php from 122.114.171.57
http-server: _query.php ( 0 Byte uebertragen (SD)
00:59:16,02: http-request: _query.php from 122.114.171.57
http-server: test.php ( 0 Byte uebertragen (SD)
00:59:19,01: http-request: test.php from 122.114.171.57
http-server: db_cts.php ( 0 Byte uebertragen (SD)
00:59:21,15: http-request: db_cts.php from 122.114.171.57
http-server: db_pma.php ( 0 Byte uebertragen (SD)
00:59:24,02: http-request: db_pma.php from 122.114.171.57
http-server: logon.php ( 0 Byte uebertragen (SD)
00:59:27,02: http-request: logon.php from 122.114.171.57
http-server: help-e.php ( 0 Byte uebertragen (SD)
00:59:28,02: http-request: help-e.php from 122.114.171.57
http-server: license.php ( 0 Byte uebertragen (SD)
00:59:30,15: http-request: license.php from 122.114.171.57
http-server: log.php ( 0 Byte uebertragen (SD)
00:59:33,02: http-request: log.php from 122.114.171.57
http-server: hell.php ( 0 Byte uebertragen (SD)
00:59:34,02: http-request: hell.php from 122.114.171.57
http-server: pmd_online.php ( 0 Byte uebertragen (SD)
00:59:35,02: http-request: pmd_online.php from 122.114.171.57
http-server: x.php ( 0 Byte uebertragen (SD)
00:59:37,15: http-request: x.php from 122.114.171.57
http-server: shell.php ( 0 Byte uebertragen (SD)
00:59:40,02: http-request: shell.php from 122.114.171.57
http-server: htdocs.php ( 0 Byte uebertragen (SD)
00:59:43,02: http-request: htdocs.php from 122.114.171.57
http-server: sane.php ( 0 Byte uebertragen (SD)
00:59:47,02: http-request: sane.php from 122.114.171.57
http-server: desktop.ini.php ( 0 Byte uebertragen (SD)
00:59:50,02: http-request: desktop.ini.php from 122.114.171.57
http-server: z.php ( 0 Byte uebertragen (SD)
00:59:53,01: http-request: z.php from 122.114.171.57
http-server: lala.php ( 0 Byte uebertragen (SD)
00:59:55,15: http-request: lala.php from 122.114.171.57
http-server: lala-dpr.php ( 0 Byte uebertragen (SD)
00:59:58,02: http-request: lala-dpr.php from 122.114.171.57
http-server: wpc.php ( 0 Byte uebertragen (SD)
00:59:59,02: http-request: wpc.php from 122.114.171.57
http-server: wpo.php ( 0 Byte uebertragen (SD)
01:00:02,02: http-request: wpo.php from 122.114.171.57
http-server: t6nv.php ( 0 Byte uebertragen (SD)
01:00:03,02: http-request: t6nv.php from 122.114.171.57
http-server: muhstik.php ( 0 Byte uebertragen (SD)
01:00:06,02: http-request: muhstik.php from 122.114.171.57
http-server: text.php ( 0 Byte uebertragen (SD)
01:00:08,15: http-request: text.php from 122.114.171.57
http-server: wp-config.php ( 0 Byte uebertragen (SD)
01:00:11,02: http-request: wp-config.php from 122.114.171.57
http-server: muhstik.php ( 0 Byte uebertragen (SD)
01:00:14,02: http-request: muhstik.php from 122.114.171.57
http-server: muhstik2.php ( 0 Byte uebertragen (SD)
01:00:17,02: http-request: muhstik2.php from 122.114.171.57
http-server: muhstiks.php ( 0 Byte uebertragen (SD)
01:00:19,15: http-request: muhstiks.php from 122.114.171.57
http-server: muhstik-dpr.php ( 0 Byte uebertragen (SD)
01:00:21,30: http-request: muhstik-dpr.php from 122.114.171.57
http-server: lol.php ( 0 Byte uebertragen (SD)
01:00:24,01: http-request: lol.php from 122.114.171.57
http-server: uploader.php ( 0 Byte uebertragen (SD)
01:00:26,15: http-request: uploader.php from 122.114.171.57
http-server: cmd.php ( 0 Byte uebertragen (SD)
01:00:29,01: http-request: cmd.php from 122.114.171.57
http-server: cmv.php ( 0 Byte uebertragen (SD)
01:00:31,15: http-request: cmv.php from 122.114.171.57
http-server: cmdd.php ( 0 Byte uebertragen (SD)
01:00:33,28: http-request: cmdd.php from 122.114.171.57
http-server: knal.php ( 0 Byte uebertragen (SD)
01:00:36,02: http-request: knal.php from 122.114.171.57
http-server: cmd.php ( 0 Byte uebertragen (SD)
01:00:39,01: http-request: cmd.php from 122.114.171.57
http-server: appserv.php ( 0 Byte uebertragen (SD)
01:00:43,02: http-request: appserv.php from 122.114.171.57
http-server: scripts/setup.php ( 0 Byte uebertragen (SD)
01:00:46,02: http-request: scripts/setup.php from 122.114.171.57
http-server: phpmyadmin/scripts/setup.php ( 0 Byte uebertragen (SD)
01:00:47,02: http-request: phpmyadmin/scripts/setup.php from 122.114.171.57
http-server: phpMyAdmin/scripts/setup.php ( 0 Byte uebertragen (SD)
01:00:50,02: http-request: phpMyAdmin/scripts/setup.php from 122.114.171.57
http-server: phpMyAdmin/scripts/db___.init.php ( 0 Byte uebertragen (SD)
01:00:54,02: http-request: phpMyAdmin/scripts/db___.init.php from 122.114.171.57
http-server: plugins/weathermap/editor.php ( 0 Byte uebertragen (SD)
01:00:57,02: http-request: plugins/weathermap/editor.php from 122.114.171.57
http-server: index.php ( 0 Byte uebertragen (SD)
01:01:01,03: http-request: index.php from 122.114.171.57
http-server: d7.php ( 0 Byte uebertragen (SD)
01:01:02,01: http-request: d7.php from 122.114.171.57
http-server: rxr.php ( 0 Byte uebertragen (SD)
01:01:03,01: http-request: rxr.php from 122.114.171.57
http-server: 1x.php ( 0 Byte uebertragen (SD)
01:01:04,01: http-request: 1x.php from 122.114.171.57
http-server: home.php ( 0 Byte uebertragen (SD)
01:01:06,16: http-request: home.php from 122.114.171.57
http-server: undx.php ( 0 Byte uebertragen (SD)
01:01:07,01: http-request: undx.php from 122.114.171.57
http-server: spider.php ( 0 Byte uebertragen (SD)
01:01:10,02: http-request: spider.php from 122.114.171.57
http-server: payload.php ( 0 Byte uebertragen (SD)
01:01:12,16: http-request: payload.php from 122.114.171.57
http-server: composers.php ( 0 Byte uebertragen (SD)
01:01:14,29: http-request: composers.php from 122.114.171.57
http-server: izom.php ( 0 Byte uebertragen (SD)
01:01:17,02: http-request: izom.php from 122.114.171.57
http-server: composer.php ( 0 Byte uebertragen (SD)
01:01:19,16: http-request: composer.php from 122.114.171.57
http-server: hue2.php ( 0 Byte uebertragen (SD)
01:01:22,02: http-request: hue2.php from 122.114.171.57
http-server: Drupal.php ( 0 Byte uebertragen (SD)
01:01:24,15: http-request: Drupal.php from 122.114.171.57
http-server: lang.php ( 0 Byte uebertragen (SD)
01:01:26,29: http-request: lang.php from 122.114.171.57
http-server: izom.php ( 0 Byte uebertragen (SD)
01:01:29,02: http-request: izom.php from 122.114.171.57
http-server: payload.php ( 0 Byte uebertragen (SD)
01:01:31,15: http-request: payload.php from 122.114.171.57
http-server: new_license.php ( 0 Byte uebertragen (SD)
01:01:32,02: http-request: new_license.php from 122.114.171.57
http-server: images/!.php ( 0 Byte uebertragen (SD)
01:01:34,15: http-request: images/!.php from 122.114.171.57
http-server: images/vuln.php ( 0 Byte uebertragen (SD)
01:01:36,29: http-request: images/vuln.php from 122.114.171.57
http-server: hd.php ( 0 Byte uebertragen (SD)
01:01:39,02: http-request: hd.php from 122.114.171.57
http-server: images/up.php ( 0 Byte uebertragen (SD)
01:01:42,02: http-request: images/up.php from 122.114.171.57
http-server: images/attari.php ( 0 Byte uebertragen (SD)
01:01:45,02: http-request: images/attari.php from 122.114.171.57
http-server: images/stories/cmd.php ( 0 Byte uebertragen (SD)
01:01:49,02: http-request: images/stories/cmd.php from 122.114.171.57
http-server: images/stories/filemga.php ( 0 Byte uebertragen (SD)
01:01:51,16: http-request: images/stories/filemga.php from 122.114.171.57
http-server: laravel.php ( 0 Byte uebertragen (SD)
01:01:58,02: http-request: laravel.php from 122.114.171.57
http-server: wp-content/plugins/si-captcha-for-wordpress/captcha/ttffonts/theme.php ( 0 Byte uebertragen (SD)
01:02:02,02: http-request: wp-content/plugins/si-captcha-for-wordpress/captcha/ttffonts/theme.php from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:07,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:08,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:09,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:10,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:15,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:16,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:21,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:30,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:33,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:36,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:37,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:42,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:43,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:46,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:48,16: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:51,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:54,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:56,15: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:59,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:03:12,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:03:16,03: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:03:17,04: http-request: from 122.114.171.57
http-server: index.html ( 470 Byte uebertragen (FLASH)
01:03:22,04: http-request: index.html from 122.114.171.57
http-server: index.html ( 470 Byte uebertragen (FLASH)
01:03:24,53: http-request: index.html from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:03:27,03: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:03:30,02: http-request: from 122.114.171.57
http-server: index.php ( 0 Byte uebertragen (SD)
01:03:33,01: http-request: index.php from 122.114.171.57
http-server: phpmyadmin/index.php ( 0 Byte uebertragen (SD)
01:03:36,02: http-request: phpmyadmin/index.php from 122.114.171.57
http-server: pmd/index.php ( 0 Byte uebertragen (SD)
01:03:40,02: http-request: pmd/index.php from 122.114.171.57
http-server: PMA/index.php ( 0 Byte uebertragen (SD)
01:03:44,02: http-request: PMA/index.php from 122.114.171.57


Interessant finde ich das Rumgemache auf der index.html bzw. zwischen 01:02:07,02 und 01:03:16,03 - hat jemand eine Idee was hier versucht wurde?

LG
Carsten
Hauptrufnummer 96899 24/7 Fw 837
96899 cg d (T1200SD) online
*** Linestatus iTelex ***
Nach oben
Benutzeravatar

Minifranz
Rank 4
Rank 4
Beiträge: 238
Registriert: Mo 19. Mär 2018, 21:18
Wohnort: Lund, Schweden
Hauptanschluß: 22604 franz s

Re: Besuch aus China :-)

#2

Beitrag: # 13329Beitrag Minifranz »

Da hat irgendwer eine Liste mit typischen Schwachstellen, Botnetzen usw abgearbeitet.
Grüße, Franz 
| 22604 franz s   | Lorenz 15        | normalerweise nicht erreichbar
| 952513 plant d  | Siemens T68      | normalerweise nicht erreichbar
Nach oben
Benutzeravatar

JKde
Rank 4
Rank 4
Beiträge: 310
Registriert: Sa 6. Okt 2018, 22:59
Wohnort: Würzburg
Hauptanschluß: 234280 jochen d

Re: Besuch aus China :-)

#3

Beitrag: # 13331Beitrag JKde »

Das ist ein typischen Crawler - also ein Automat, der systematisch alle Webadressen auf bekannte Schwachstellen durchsucht um dann dadurch einzudringen.
Jochen (Würzburg)

234280 jochen d (T100 75Bd)
234281 jk200 d (FS200Z 200Bd)
234200 fablabwue d (Lo15, T37, T36Si, T68, T100S, Lo133) [nur zeitweise online, wenn FabLab geöffnet]
Nach oben
Benutzeravatar

tw137125
Rank 3
Rank 3
Beiträge: 210
Registriert: So 19. Mai 2019, 11:57
Wohnort: Bielefeld
Hauptanschluß:
Kontaktdaten:
Kontaktdaten von tw137125

Re: Besuch aus China :-)

#4

Beitrag: # 13341Beitrag tw137125 »

Jepp,

das beobachte ich auch täglich auf den Systemen, die ich betreue.
Ist leider mittlerweile die Pest geworden.

Viele Grüße
Thomas
---------------------------------------------------------
e-mail: tweidner@mac.com
web: https://think.dvs8818.de

Zwei Dinge sind unendlich, das Universum und
die menschliche Dummheit, aber bei dem
Universum bin ich mir noch nicht ganz sicher.

Albert Einstein
Nach oben
Benutzeravatar

DF3OE
Founder
Founder
Beiträge: 3540
Registriert: Di 7. Jun 2016, 09:45
Wohnort: Edemissen - Blumenhagen
Hauptanschluß: 925302 treu d
Kontaktdaten:
Kontaktdaten von DF3OE

Re: Besuch aus China :-)

#5

Beitrag: # 13342Beitrag DF3OE »

Ich warte ja immernoch darauf, dass irgendwann mein T100S anspringt und dann chinesischer 4er-Code ausgedruckt wird... :crack:

https://en.wikipedia.org/wiki/Chinese_telegraph_code

Dann wissen wir, dass wir i-Telex wirklich "dicht" machen müssen. :lol:
mfg
henning +++

925302 treu d - T1000Z (Hauptanschluss)
55571 fvler a - T100S
210911za hmb d - T150 (Werkstatt)
218308 test d - T1000S/LS (Werkstatt)
925333 =treu d (Minitelex Sanyo SF100) defekt
Fax G2/G3: 05176-9754481 (Sanyo SF100 Thermofax) defekt
Nach oben
Benutzeravatar

FredSonnenrein
Founder
Founder
Beiträge: 2320
Registriert: Fr 3. Jun 2016, 13:49
Wohnort: Braunschweig
Hauptanschluß: 8579924 hawe d

Re: Besuch aus China :-)

#6

Beitrag: # 13343Beitrag FredSonnenrein »

Muss man eigentlich bei RasPi mit offenem Port 80 was spezielles beachten?
Immerhin scheint der Port ölf-acht-ölf unserer Server noch nicht terrorisiert zu werden...
Grüße,
Fred Sonnenrein, Braunschweig
i-Telex 952741 (Lo133), 8579924 (T100s), 781272 (T100), 792911 (T68d) oder 531072 (T.typ.72)
Bei besetzt oder gestört bitte 531002 versuchen.
Nach oben

wellenkino
Rank 2
Rank 2
Beiträge: 73
Registriert: Sa 11. Mai 2019, 07:59
Hauptanschluß:

Re: Besuch aus China :-)

#7

Beitrag: # 13351Beitrag wellenkino »

diese Dinger sind darauf aus ein Forum zu entdecken, sich da automatisch als User anzumelden und dann Beiträge zu posten in denen sie die üblichen Pillen verhökern wollen per Link.
Eine extreme Plage ist das geworden. Bei mir im Wellenkino hat es dazu geführt daß man sich nun freischalten lassen muß nach der Registrierung, an dieser Hürde bleibt der Müll hängen.
Was mich am Forensystem noch ärgert ist daß die automatische Antwort verschickt wird bevor die Freischaltung erteilt ist, das ist ein Fehler der phpbb Macher. Sie geht sogut wie immer an nichtexistente Mailadressen und kommt dann zurück (an mich..)
lG Martin
Nach oben
Antworten

Zurück zu „Talk-Café“