| Autor |
who is where infusion - dauergast |
1 # 14
 |
| Gelöschter User |
 Eingetragen am 27.10.2009 11:45 |
|
|
hi,
ich hab mal ne frage zu der who is where infusion.
da ist seit ein paar tagen ein dauergast in der leitung.
immer dieselbe ip....führt nach usa
hat jemand von euch vergleichbare erfahrungen?
sollte man den zuletzt noch sperren?
im voraus schon mal danke für eure antworten.
peterle |
|
|
| Autor |
RE: who is where infusion - dauergast |
2 # 14
|
gozoc
Co-Admin u. Cheftester
Beiträge: 1047
Ort: Bayern
Eingetreten: 22.09.06
Status: Offline
|
| Eingetragen am 27.10.2009 12:18 |
|
|
Nun ... entweder die Infusion ist alt und hat ne Macke (löscht nicht regelmässig), oder da ist nen Bot dran. Die IP wäre zur Ermittlung mal interessant.
Erste Infos dazu, könnte man dann über http://whois.domaintools.com/ bekommen.
Cheftester und Co-Admin. |
 |
| Autor |
RE: who is where infusion - dauergast |
3 # 14
|
| Gelöschter User |
| Eingetragen am 27.10.2009 15:18 |
|
|
Man google 64.22.74.104 bot
wird auch bei laughingmansociety.net als bot geführt |
|
|
| Autor |
RE: who is where infusion - dauergast |
4 # 14
|
| Gelöschter User |
| Eingetragen am 28.10.2009 11:41 |
|
|
Die o.a. ip habe ich im security system in user agents eingetragen.
Der hängt aber trotzdem wie eine Zecke dran!
??? |
|
|
| Autor |
RE: who is where infusion - dauergast |
5 # 14
|
| Gelöschter User |
| Eingetragen am 28.10.2009 14:08 |
|
|
Der ist vermutlich garnicht mehr anwesend sondern ist nur irgendwie in der Datenbank hängengeblieben...
Lösch die IP doch mal aus derTabelle PREFIX_online.
 Bearbeitet von am 28.10.2009 14:08 |
|
|
| Autor |
RE: who is where infusion - dauergast |
6 # 14
|
| Gelöschter User |
| Eingetragen am 28.10.2009 15:29 |
|
|
| Zitat | Der ist vermutlich garnicht mehr anwesend sondern ist nur irgendwie in der Datenbank hängengeblieben... |
Nun wohl eher nicht. wäre zu einfach.
Ich hatte probehalber das bot-trap installiert und dann war der Kamerad weg.
Zu finden war er dann in page.restrictor.log
Iprange - 64.22.64.0/64.22.95.255
Nach der de-infuse von bot-trap war er unmittelbar danach wieder anwesend.
Ist da zuletzt noch n gravierender bug im sicherheits-system?
Hat noch jemand ne andere Idee?? |
|
|
| Autor |
RE: who is where infusion - dauergast |
7 # 14
|
| Gelöschter User |
| Eingetragen am 28.10.2009 15:48 |
|
|
|
Hast du seinen kompletten IP-Bereich eingegeben? Der ist ja gewaltig groß, 2 Oktette... |
|
|
| Autor |
RE: who is where infusion - dauergast |
8 # 14
|
gozoc
Co-Admin u. Cheftester
Beiträge: 1047
Ort: Bayern
Eingetreten: 22.09.06
Status: Offline
|
| Eingetragen am 28.10.2009 15:55 |
|
|
Hey peterle .... danke für die Analysen ... natürlich wäre es schön, wenn man es auch mit dem SecSys wegbekäme ...
Aber nichts desdotrotz, würde ich den BotTrap mit einbinden. Der läuft auf meinen Hauptportalen schon ewig und verrichtet einen guten Dienst. 
Cheftester und Co-Admin. |
|
|
| Autor |
RE: who is where infusion - dauergast |
9 # 14
|
| Gelöschter User |
| Eingetragen am 28.10.2009 16:03 |
|
|
| Zitat von MarcusG | Hast du seinen kompletten IP-Bereich eingegeben? Der ist ja gewaltig groß, 2 Oktette... |
Hm, dieser stand so in meiner page.restrictor.log
Ich habe den IP-Bereich mittlerweile in die Blacklist eingetragen und werde das weiter beobachten.
Anbei noch ein paar interessante Links:
http://ipindex.homelinux.net
http://ipindex.homelinux.net/index.php?action=class_b&s1=64&s2=22&s3=64&s4=0&e1=64&e2=22&e3=95&e4=255
Und noch Suchergebnisse von Google
http://www.google.de/search?q=64.22.64.0/64.22.95.255&hl=de&client=firefox-a&rls=org.mozilla:de:official&hs=4vT&filter=0
Interessant zu diesem Thema sind auch die Aussagen von dieser Seite
http://toplist.tdw-clan.com/
In dessen Liste ist er bereits aufgeführt
http://toplist.tdw-clan.com/htaccess.txt |
|
|
| Autor |
RE: who is where infusion - dauergast |
10 # 14
|
| Gelöschter User |
| Eingetragen am 05.11.2009 21:45 |
|
|
hierzu noch n paar infos...
der besagte ip-bereich gehört zu einem provider in den staaten (US)
die domains die der kamerad benutzt heissen:
icarpart.info
u.
icarbrand.info
die sind in der Ukraine gehostet und haben eigentlich ganz ne andere ip
man google mal nach den o.g. domains und man findet sie meistens als referer auf php-fusion seiten!
sicher ist aber auch dass er die ip des providers aus den us ge hi-jacked hat.
er hat z.t. einmal die minute die news.php aufgerufen...........und das seit tagen.
wahrscheinlich steht in den errorlogs des servers noch mehr info. muss mich aber erst mal dort reinarbeiten.
ach ja.... ich hab die jungs in den staaten per email angeschrieben, aber ausser ner empfangsbestätigung kam bisher nix.
stellt sich jetzt für mich nur die frage, sind die isp denn alle gleich ignorant?? 
Bearbeitet von am 05.11.2009 22:12 |
|
|
Startseite
