Hackversuch, Robot - oder was?

[Niteworker]

Beim morgendlichen Check meines Errorlogs ist mir etwas höchst seltsames aufgefallen: Ein einziger User (IP) hat seit heute früh um ca. 1 h nonstop versucht, Userprofile zu bearbeiten. Dabei wurde jedesmal seine Ip mit der Fehlermeldung "Dieser User ist nicht vorhanden. Das Userprofil kann nicht editiert werden." protokolliert.

Weil ich dahinter einen Hackversuch vermute, habe ich seine IP auf die Bannliste gesetzt. Allerdings mit zweifelhaftem Erfolg: Seit zehn Minuten protokolliert das Errorlog seine Versuche, die Druckansicht verschiedener Threads zu öffnen ("Sorry, Du bist aus DeejayForum.de verbannt worden.!") Er arbeitet dabei eine Thread-ID nach der anderen ab.

Da das Banning offenbar ja funktioniert, frage ich mich, wer da sitzt, dass er trotzdem seit 9 Stunden im Forum rumpfriemelt?

[andrea]

Vermutlich kein Hacker sondern ein Robot.

[Niteworker]

Und wie könnte ich den Plagegeist loswerden?

[chris]

Und wie könnte ich den Plagegeist loswerden?

WhoIs-Abfrage auf die IP machen und checken wem sie gehört. Dann eine Mail an die entsprechende Abuse-Adresse (falls es kein Robot ist) sonst ne Mail an eine entsprechende Info-Adresse.

Geht z.B. hier: http://www.mydomreg.com/cgi-bin/ndomreg/whois

Du bekommst dann sowas hier zurück:

Code Select Expand

Request: 212.227.176.156
using netblock server whois.arin.net
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum:      212.227.128.0 - 212.227.239.255
netname:      SCHLUND-CUSTOMERS
descr:        Schlund + Partner AG
descr:        NCC#1999110113
country:      DE
admin-c:      JH1220-RIPE
tech-c:       SPAG-RIPE
rev-srv:      nsa.schlund.de
rev-srv:      ns.schlund.de
rev-srv:      ns2.schlund.de
status:       ASSIGNED PA
mnt-by:       SCHLUND-MNT
mnt-by:       SCHLUND-P
changed:      [email protected] 20010222
changed:      [email protected] 20020716
source:       RIPE

route:        212.227.0.0/16
descr:        SCHLUND-PA-2
origin:       AS8560
notify:       [email protected]
mnt-by:       SCHLUND-MNT
changed:      [email protected] 19980910
source:       RIPE

role:         Hostmaster SCHLUND
address:      Schlund + Partner AG
address:      Erbprinzenstr. 1
address:      D-76133 Karlsruhe
address:      Germany
phone:        +49 721 91374 50
fax-no:       +49 721 91374 20
e-mail:       [email protected]
remarks:      For abuse issues, please use only [email protected]
trouble:      Information: http://www.schlund.de
trouble:      Questions:   mailto:[email protected]
trouble:      For fastest response, please use only [email protected]
admin-c:      ES-RIPE
tech-c:       ES-RIPE
nic-hdl:      SPAG-RIPE
remarks:      Role Account for the "Hostmaster of the Day"
remarks:      for Domains managed by Schlund + Partner AG, Germany
notify:       [email protected]
mnt-by:       SCHLUND-P
changed:      [email protected] 19990412
changed:      [email protected] 20000120
changed:      [email protected] 20021125
source:       RIPE

person:       Joerg Hennig
address:      Schlund + Partner AG
address:      Erbprinzenstr. 4-12
address:      D-76133 Karlsruhe
address:      Germany
remarks:      For abuse issues, please use only [email protected]
phone:        +49 721 91374 0
fax-no:       +49 721 91374 20
e-mail:       [email protected]
nic-hdl:      JH1220-RIPE
notify:       [email protected]
mnt-by:       SCHLUND-P
changed:      [email protected] 19971021
changed:      [email protected] 19980907
changed:      [email protected] 20021125
source:       RIPE
(Das is die WhoIs-Info für die IP auf der meine Domain läuft )

Und da gibts meist einen Hinweis auf die abuse-Adresse.

[multikon]

Hi

Ich habe gelegentlich auch die kurzen Meldungen im Error-Log wie oben, manchmal aber eine längere, wie folgenden Eintrag :

--------------------------------------------------------------------

MrX : 217.83.108.115 : 11. Januar 2003 @ 20:06
/MK-SE//index.php?action=viewprofile;user=%3Ca+href%3D%22http%3A%2F%2Fwww.multimedia-konsolen.de%2FMK-SE%2F%2Findex.php%3Faction%3Dviewprofile%3Buser%3Dadmin%22%3Emultikon%3C%2Fa%3E
Dieser User ist nicht vorhanden. Das Userprofil kann nicht editiert werden. -- Admin">multikon</a>

--------------------------------------------------------------------

Was ist da los ?!..

Manche User melden auch, das Sie irgendwo im Forum klicken und sich anschliessend im Login des Forums wieder befinden, meistens dann mit falschen Usernamen ... können sich dann gelegentlich nicht neu einloggen.


Bin für Antworten wie immer Dankbar ...


cya

[mediman]

also in der regel reicht es im template folgendes reinzupinseln...

 <meta name="Robots" content="NOINDEX,NOFOLLOW">

dann passt des!

mediman

[multikon]

also in der regel reicht es im template folgendes reinzupinseln...

 <meta name="Robots" content="NOINDEX,NOFOLLOW">

dann passt des!

mediman

Hi, mit den Robots hab ich ja verstanden ... kommen daher auch solche Sachen wie das logoff eines Users auf einen fremden Userwillkommen ?!?


cya