Telexforum.de

Telex over Internet
https://telexforum.de/

Besuch aus China :-)

https://telexforum.de/viewtopic.php?t=1884

Seite 1 von 1

Besuch aus China :-)

Verfasst: So 16. Jun 2019, 15:47
von cguenther
Hallo,

ich hatte gestern mal an die Ethernetkarte als auch TW39-Spezial einen RS232-to-LAN Interface gahengen, um in einer Konsole die Ausgaben mitlaufen zu lassen.

Interessanterweise gab es dann kurz darauf heute nacht Besuch aus China (122.114.171.57 / https://ipinfo.io/AS4837/122.114.0.0/16 ... 4.170.0/23).
Da wurde mal jeweils ein Request auf alles losgelassen, was anscheinend eine Möglichkeit für eine Backdoor bzw. Hack bieten könnte:

00:59:00,38: http-request: index.html from 122.114.171.57
http-server: robots.txt ( 68 Byte uebertragen (FLASH)
00:59:03,02: http-request: robots.txt from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
00:59:05,49: http-request: from 122.114.171.57
http-server: webdav/ ( 0 Byte uebertragen (SD)
00:59:07,62: http-request: webdav/ from 122.114.171.57
http-server: help.php ( 0 Byte uebertragen (SD)
00:59:10,01: http-request: help.php from 122.114.171.57
http-server: java.php ( 0 Byte uebertragen (SD)
00:59:13,02: http-request: java.php from 122.114.171.57
http-server: _query.php ( 0 Byte uebertragen (SD)
00:59:16,02: http-request: _query.php from 122.114.171.57
http-server: test.php ( 0 Byte uebertragen (SD)
00:59:19,01: http-request: test.php from 122.114.171.57
http-server: db_cts.php ( 0 Byte uebertragen (SD)
00:59:21,15: http-request: db_cts.php from 122.114.171.57
http-server: db_pma.php ( 0 Byte uebertragen (SD)
00:59:24,02: http-request: db_pma.php from 122.114.171.57
http-server: logon.php ( 0 Byte uebertragen (SD)
00:59:27,02: http-request: logon.php from 122.114.171.57
http-server: help-e.php ( 0 Byte uebertragen (SD)
00:59:28,02: http-request: help-e.php from 122.114.171.57
http-server: license.php ( 0 Byte uebertragen (SD)
00:59:30,15: http-request: license.php from 122.114.171.57
http-server: log.php ( 0 Byte uebertragen (SD)
00:59:33,02: http-request: log.php from 122.114.171.57
http-server: hell.php ( 0 Byte uebertragen (SD)
00:59:34,02: http-request: hell.php from 122.114.171.57
http-server: pmd_online.php ( 0 Byte uebertragen (SD)
00:59:35,02: http-request: pmd_online.php from 122.114.171.57
http-server: x.php ( 0 Byte uebertragen (SD)
00:59:37,15: http-request: x.php from 122.114.171.57
http-server: shell.php ( 0 Byte uebertragen (SD)
00:59:40,02: http-request: shell.php from 122.114.171.57
http-server: htdocs.php ( 0 Byte uebertragen (SD)
00:59:43,02: http-request: htdocs.php from 122.114.171.57
http-server: sane.php ( 0 Byte uebertragen (SD)
00:59:47,02: http-request: sane.php from 122.114.171.57
http-server: desktop.ini.php ( 0 Byte uebertragen (SD)
00:59:50,02: http-request: desktop.ini.php from 122.114.171.57
http-server: z.php ( 0 Byte uebertragen (SD)
00:59:53,01: http-request: z.php from 122.114.171.57
http-server: lala.php ( 0 Byte uebertragen (SD)
00:59:55,15: http-request: lala.php from 122.114.171.57
http-server: lala-dpr.php ( 0 Byte uebertragen (SD)
00:59:58,02: http-request: lala-dpr.php from 122.114.171.57
http-server: wpc.php ( 0 Byte uebertragen (SD)
00:59:59,02: http-request: wpc.php from 122.114.171.57
http-server: wpo.php ( 0 Byte uebertragen (SD)
01:00:02,02: http-request: wpo.php from 122.114.171.57
http-server: t6nv.php ( 0 Byte uebertragen (SD)
01:00:03,02: http-request: t6nv.php from 122.114.171.57
http-server: muhstik.php ( 0 Byte uebertragen (SD)
01:00:06,02: http-request: muhstik.php from 122.114.171.57
http-server: text.php ( 0 Byte uebertragen (SD)
01:00:08,15: http-request: text.php from 122.114.171.57
http-server: wp-config.php ( 0 Byte uebertragen (SD)
01:00:11,02: http-request: wp-config.php from 122.114.171.57
http-server: muhstik.php ( 0 Byte uebertragen (SD)
01:00:14,02: http-request: muhstik.php from 122.114.171.57
http-server: muhstik2.php ( 0 Byte uebertragen (SD)
01:00:17,02: http-request: muhstik2.php from 122.114.171.57
http-server: muhstiks.php ( 0 Byte uebertragen (SD)
01:00:19,15: http-request: muhstiks.php from 122.114.171.57
http-server: muhstik-dpr.php ( 0 Byte uebertragen (SD)
01:00:21,30: http-request: muhstik-dpr.php from 122.114.171.57
http-server: lol.php ( 0 Byte uebertragen (SD)
01:00:24,01: http-request: lol.php from 122.114.171.57
http-server: uploader.php ( 0 Byte uebertragen (SD)
01:00:26,15: http-request: uploader.php from 122.114.171.57
http-server: cmd.php ( 0 Byte uebertragen (SD)
01:00:29,01: http-request: cmd.php from 122.114.171.57
http-server: cmv.php ( 0 Byte uebertragen (SD)
01:00:31,15: http-request: cmv.php from 122.114.171.57
http-server: cmdd.php ( 0 Byte uebertragen (SD)
01:00:33,28: http-request: cmdd.php from 122.114.171.57
http-server: knal.php ( 0 Byte uebertragen (SD)
01:00:36,02: http-request: knal.php from 122.114.171.57
http-server: cmd.php ( 0 Byte uebertragen (SD)
01:00:39,01: http-request: cmd.php from 122.114.171.57
http-server: appserv.php ( 0 Byte uebertragen (SD)
01:00:43,02: http-request: appserv.php from 122.114.171.57
http-server: scripts/setup.php ( 0 Byte uebertragen (SD)
01:00:46,02: http-request: scripts/setup.php from 122.114.171.57
http-server: phpmyadmin/scripts/setup.php ( 0 Byte uebertragen (SD)
01:00:47,02: http-request: phpmyadmin/scripts/setup.php from 122.114.171.57
http-server: phpMyAdmin/scripts/setup.php ( 0 Byte uebertragen (SD)
01:00:50,02: http-request: phpMyAdmin/scripts/setup.php from 122.114.171.57
http-server: phpMyAdmin/scripts/db___.init.php ( 0 Byte uebertragen (SD)
01:00:54,02: http-request: phpMyAdmin/scripts/db___.init.php from 122.114.171.57
http-server: plugins/weathermap/editor.php ( 0 Byte uebertragen (SD)
01:00:57,02: http-request: plugins/weathermap/editor.php from 122.114.171.57
http-server: index.php ( 0 Byte uebertragen (SD)
01:01:01,03: http-request: index.php from 122.114.171.57
http-server: d7.php ( 0 Byte uebertragen (SD)
01:01:02,01: http-request: d7.php from 122.114.171.57
http-server: rxr.php ( 0 Byte uebertragen (SD)
01:01:03,01: http-request: rxr.php from 122.114.171.57
http-server: 1x.php ( 0 Byte uebertragen (SD)
01:01:04,01: http-request: 1x.php from 122.114.171.57
http-server: home.php ( 0 Byte uebertragen (SD)
01:01:06,16: http-request: home.php from 122.114.171.57
http-server: undx.php ( 0 Byte uebertragen (SD)
01:01:07,01: http-request: undx.php from 122.114.171.57
http-server: spider.php ( 0 Byte uebertragen (SD)
01:01:10,02: http-request: spider.php from 122.114.171.57
http-server: payload.php ( 0 Byte uebertragen (SD)
01:01:12,16: http-request: payload.php from 122.114.171.57
http-server: composers.php ( 0 Byte uebertragen (SD)
01:01:14,29: http-request: composers.php from 122.114.171.57
http-server: izom.php ( 0 Byte uebertragen (SD)
01:01:17,02: http-request: izom.php from 122.114.171.57
http-server: composer.php ( 0 Byte uebertragen (SD)
01:01:19,16: http-request: composer.php from 122.114.171.57
http-server: hue2.php ( 0 Byte uebertragen (SD)
01:01:22,02: http-request: hue2.php from 122.114.171.57
http-server: Drupal.php ( 0 Byte uebertragen (SD)
01:01:24,15: http-request: Drupal.php from 122.114.171.57
http-server: lang.php ( 0 Byte uebertragen (SD)
01:01:26,29: http-request: lang.php from 122.114.171.57
http-server: izom.php ( 0 Byte uebertragen (SD)
01:01:29,02: http-request: izom.php from 122.114.171.57
http-server: payload.php ( 0 Byte uebertragen (SD)
01:01:31,15: http-request: payload.php from 122.114.171.57
http-server: new_license.php ( 0 Byte uebertragen (SD)
01:01:32,02: http-request: new_license.php from 122.114.171.57
http-server: images/!.php ( 0 Byte uebertragen (SD)
01:01:34,15: http-request: images/!.php from 122.114.171.57
http-server: images/vuln.php ( 0 Byte uebertragen (SD)
01:01:36,29: http-request: images/vuln.php from 122.114.171.57
http-server: hd.php ( 0 Byte uebertragen (SD)
01:01:39,02: http-request: hd.php from 122.114.171.57
http-server: images/up.php ( 0 Byte uebertragen (SD)
01:01:42,02: http-request: images/up.php from 122.114.171.57
http-server: images/attari.php ( 0 Byte uebertragen (SD)
01:01:45,02: http-request: images/attari.php from 122.114.171.57
http-server: images/stories/cmd.php ( 0 Byte uebertragen (SD)
01:01:49,02: http-request: images/stories/cmd.php from 122.114.171.57
http-server: images/stories/filemga.php ( 0 Byte uebertragen (SD)
01:01:51,16: http-request: images/stories/filemga.php from 122.114.171.57
http-server: laravel.php ( 0 Byte uebertragen (SD)
01:01:58,02: http-request: laravel.php from 122.114.171.57
http-server: wp-content/plugins/si-captcha-for-wordpress/captcha/ttffonts/theme.php ( 0 Byte uebertragen (SD)
01:02:02,02: http-request: wp-content/plugins/si-captcha-for-wordpress/captcha/ttffonts/theme.php from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:07,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:08,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:09,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:10,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:15,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:16,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:21,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:30,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:33,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:36,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:37,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:42,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:43,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:46,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:48,16: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:51,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:54,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:56,15: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:02:59,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:03:12,02: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:03:16,03: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:03:17,04: http-request: from 122.114.171.57
http-server: index.html ( 470 Byte uebertragen (FLASH)
01:03:22,04: http-request: index.html from 122.114.171.57
http-server: index.html ( 470 Byte uebertragen (FLASH)
01:03:24,53: http-request: index.html from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:03:27,03: http-request: from 122.114.171.57
http-server: ( 0 Byte uebertragen (SD)
01:03:30,02: http-request: from 122.114.171.57
http-server: index.php ( 0 Byte uebertragen (SD)
01:03:33,01: http-request: index.php from 122.114.171.57
http-server: phpmyadmin/index.php ( 0 Byte uebertragen (SD)
01:03:36,02: http-request: phpmyadmin/index.php from 122.114.171.57
http-server: pmd/index.php ( 0 Byte uebertragen (SD)
01:03:40,02: http-request: pmd/index.php from 122.114.171.57
http-server: PMA/index.php ( 0 Byte uebertragen (SD)
01:03:44,02: http-request: PMA/index.php from 122.114.171.57


Interessant finde ich das Rumgemache auf der index.html bzw. zwischen 01:02:07,02 und 01:03:16,03 - hat jemand eine Idee was hier versucht wurde?

LG
Carsten

Re: Besuch aus China :-)

Verfasst: So 16. Jun 2019, 20:14
von Minifranz
Da hat irgendwer eine Liste mit typischen Schwachstellen, Botnetzen usw abgearbeitet.

Re: Besuch aus China :-)

Verfasst: So 16. Jun 2019, 20:59
von JKde
Das ist ein typischen Crawler - also ein Automat, der systematisch alle Webadressen auf bekannte Schwachstellen durchsucht um dann dadurch einzudringen.

Re: Besuch aus China :-)

Verfasst: Mo 17. Jun 2019, 12:18
von tw137125
Jepp,

das beobachte ich auch täglich auf den Systemen, die ich betreue.
Ist leider mittlerweile die Pest geworden.

Viele Grüße
Thomas

Re: Besuch aus China :-)

Verfasst: Mo 17. Jun 2019, 12:31
von DF3OE
Ich warte ja immernoch darauf, dass irgendwann mein T100S anspringt und dann chinesischer 4er-Code ausgedruckt wird... :crack:

https://en.wikipedia.org/wiki/Chinese_telegraph_code

Dann wissen wir, dass wir i-Telex wirklich "dicht" machen müssen. :lol:

Re: Besuch aus China :-)

Verfasst: Mo 17. Jun 2019, 12:38
von FredSonnenrein
Muss man eigentlich bei RasPi mit offenem Port 80 was spezielles beachten?
Immerhin scheint der Port ölf-acht-ölf unserer Server noch nicht terrorisiert zu werden...

Re: Besuch aus China :-)

Verfasst: Di 18. Jun 2019, 07:56
von wellenkino
diese Dinger sind darauf aus ein Forum zu entdecken, sich da automatisch als User anzumelden und dann Beiträge zu posten in denen sie die üblichen Pillen verhökern wollen per Link.
Eine extreme Plage ist das geworden. Bei mir im Wellenkino hat es dazu geführt daß man sich nun freischalten lassen muß nach der Registrierung, an dieser Hürde bleibt der Müll hängen.
Was mich am Forensystem noch ärgert ist daß die automatische Antwort verschickt wird bevor die Freischaltung erteilt ist, das ist ein Fehler der phpbb Macher. Sie geht sogut wie immer an nichtexistente Mailadressen und kommt dann zurück (an mich..)
lG Martin
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de