Merkwürdige Zugriffe

In Web

Ich habe heute mal zufällig in meine Logs gesehen, und dabei ist mir etwas sehr merkwürdiges aufgefallen. In einem Zeitraum von 126 Sekunden haben zwei Hosts über 400 Zugriffe gemacht. Nun gut, nichts schlimmes, denkt man sich, ein schlecht programmierter Bot, der unhöflich ist und Last erzeugt. Allerdings sollte dann doch eigentlich der User-Agent diesen als Bot identifizieren. Als ich jedoch in das Logfile geschaut habe, war fast kein User-Agent von diesem Host gleich zu den anderen. Daher habe ich mir mal mit Hilfe der kleinen Scripte, die Isotopp neulich mal gebaut hatte, um rauszufinden, wer ihn per RSS liest, angesehen, welche und vor allem wie viele verschiedene User-Agents da nun genutzt wurden. Dabei sind dann lustige Sachen rausgekommen. So verwenden die dahinter steckenden Personen (oder Person, wer weiß) 127 verschiedene User-Agents. Die Top-10 davon sind folgende:

8 Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7) Gecko
7 Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;
7 Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; 1&1 Internet)
7 Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) Opera 7.21
7 Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
7 Mozilla/4.0 (compatible; MSIE 6.0; AOL 9.0; Windows NT 5.1)
6 psbot/0.1 (+http://www.picsearch.com/bot.html)
6 Mozilla/5.0 (X11; U; Linux i686; de-DE; rv:1.7) Gecko/2004101
6 Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90)
6 Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)

Die Hosts, von denen die Anfragen kamen, sind »ip110.ffm.traffic4all.com« und »217-20-114-85.internetserviceteam.com«, die zu »217.20.113.110« und »217.20.114.85« auflösen. Beide IP-Adressen gehören zu einem Netz, das einer Firma aus Frankfurt namens netdirekt e.K. gehört. Diese Firma muss allerdings nichts damit zu tun haben, denn sowohl unter http://www.traffic4all.com als auch http://www.internetserviceteam.com sind auch Webserver zu finden, auch wenn auf zweiterem eher nichts enthalten ist.

Rausgefunden habe ich also nichts. Jemand hat nen Teil meiner Site geleecht, und dazu einen Bot verwendet, der den User-Agent fälscht. Warum und wozu das nun gemacht wird, ist mir vollkommen unklar. Es hat mich auch nicht wirklich gestört, auch die ca. 4,5 MB zusätzlicher Traffic nicht, ich wüsste nur gerne, was das sollte. Wenn jemand anders sowas schon gesehen hat, nehm ich gerne Informationen entgegen.

Meinungen

Wird gerne von Spambots benutzt. Also denen die nach Trackback-Zielen oder Kommentarformularen suchen. Möglicherweise kommt demnächst ein Berg von Spam-Versuchen auf dich zu. hugo
#1 hugo 11.02.2005 20:57
Hm, sehr fein. Naja, mal die Moderation für die Trackbacks einschalten, das wollte ich eh machen. Und Referer-Spam wird eh ziemlich massiv geblockt. Danke jedenfalls für die Info. Bin ich ja mal gespannt, wann was passiert. Dirk
#2 Dirk 11.02.2005 21:27
Es ist schon irre, womit sich der Weblogger alles beschäftigen muss. dee
#3 dee 12.02.2005 14:27

gut zu wissen – die waren heute auf meinen seiten und alle mit dem gleichen gefälschten referer konnte dadurch meine htaccessliste mit gesperten ip(bereichen) mal wieder erweitern …

deny from 84.16.227. #DE
deny from 69.64.32.0/19 #US
deny from 72.36.128.0/17 #US
deny from 89.149.192.0/18 #DE

sind mittlerweile schon etliche denen der zugriff versagt wird
wer mag dem kann ich diese gerne zukommen lassen (kontakt über meine homepage)

Webdesigner
#4 Webdesigner 06.04.2008 16:11

Hallo und einen schönen Sonntag.
Ich bin Betreiber eines Forums, das sich mit SCAM befaßt. Auch ich bemerke in letzter Zeit, dass Harvester versuchen, die Mail-Adressen meiner Mitglieder auszulesen. In 90% der Fälle kommen sie über das Internetserviceteam. Dann versuchen einige Spammer ihren Müll im Forum loszuwerden. Am Anfang ist ihnen das 2x gelungen, allerdings war bei mir der Weg schon zu Ende, Mitglieder wurden nicht belästigt. Zwischenzeitlich habe ich das alles dicht gemacht, nun ist Ruhe. Wir haben hier also nicht nur Referer-Spam, sondern auch Forum-Spam und zu 90% über das Internetserviceteam.
Soviel zum Thema SPAM.

Was mir in meine Forum aufgefallen ist, dass bei SCAMMER, die das Mailprogi TheBat! benutzen, diese Mail häufig über das Internetserviceteam eingeliefert wurden. Bei normalen Webmailern war das bisher nie der Fall. Ich weiß darauf keine Antwort.
Nun meine Frage: Hat jemand Erfahrung mit TheBat! und weiß, ob man sich mit dem Programm irgendwie über Proxies oder open Relays direkt verbinden kann um die wahre Herkunft der Mai zu verschleiern?

Anti-Scam
#5 Anti-Scam 27.04.2008 04:13

Hallo. Ich verstehe kein Wort Eures Fach-Chinesisch, aber es zeigt mir, dass es Leute gibt, die eine unheimliche kriminelle Energie entwickeln, um ihre Spam und anderen Brunz auf die Menschheit loszulassen!Wenn es denn schon so viel Sachwissen braucht, um Ihre Meinungen zu verstehen, dann sind doch virtuelle Einbrecher einfach krank: Die könnten ihre Energie auf etwas verwenden, was ihnen wirklich was einbringt – statt den Erdball zu ärgern.

PS1: Ich kam auf Ihre site, weil ich nach den vielen Absendern internetteam.com suchte (jeweils mit einer Nummer davor), was meine Statistik aufführt. Grüsse
PS2: WIR sollten UNSERE Energie darauf verwenden, solchen Kriminellen ebenfalls Ärger zu bereiten!

jpl
#6 jpl 01.05.2008 16:50

Guten Tag, wir möchten darauf hinweisen, dass von unseren Servern kein SPAM kommt. Und falls doch einmal, unternehmen wir ALLES um den Störer (was zu 100% keiner unserer serösen Kunden, sondern ein eingedrungener Hacker ist) sofort zu eliminieren u. ggf. Anzeige zu erstatten.

[edit: Werbespruch entfernt.] Traffic(4)All
#7 Traffic(4)All 15.05.2008 11:37

Liebe Traffic4All, nirgendwo in dem Text ist die Rede davon, dass von ihren Servern Spam ausgesendet wurde. Das einzige, was in dem Text steht, ist, dass wohl ein Harvester die Site geleecht hat. Möglicherweise, um Daten zu sammeln, um später Blog-Spam zu verschicken – was dann wohl eher über ein Bot-Netz gemacht werden wird als über einen Server von irgendeiner Firma.

Dirk
#8 Dirk 15.05.2008 18:57

.internetserviceteam.com)

Hallo
Auch ich bin nun betroffen von dem spammüll und es wird langsam lästig alles per hand zu löscen wer kann mir seine Hilfe anbieten damit ich das irgendwie in den Griff bekomme und ich meien site endlich wieder mit freude bearbeiten kann
Gruß

Freddy.a
#9 Freddy.a 31.05.2008 15:57

hi

ich hab jetzt auch das selbe Problem. Diese ********
belästigen mich jetzt auch. Jedes mal, wenn ich den Computer starte und “netstat” aufrufe sseh ich etwa 70 Einträge von denen. Das komische ist, dass ich die nicht in meinen Logs von meinem Webserver seh.

Hab ich jetzt irgend nen Trojaner drauf, der denen meine Daten schickt?

daddel
#10 daddel 23.06.2008 09:58

Glaub ich nicht, Du musst eben regelmäßig den Cache leeren.

Honiguht
#11 Honiguht 08.07.2008 15:26

217.20.113.110

ist ein MIETSERVER gewesen von STAR-HOSTING

die haben mittlerweile andere IPs

sollte so was mal wiedr passieren so können an

info@netdirekt.de ABUSE (Beschwerden) Meldungen geschrieben werden

Joerg
#12 Joerg 04.10.2008 16:46

www.internetserviceteam.com hat meine wiki Zugespammt (sah nach Suchmaschienoptimierung und oder der Verbreitung illegaler links aus) habe das wiki mittlerweile stillgelegt und habe mir die links nicht genauer angesehen!

Georg S.
#13 Georg S. 18.01.2010 22:26

www.internetserviceteam.com ist der host einer VPN Verbindung von einem Tunnel Anbieter strongvpn.com, ,also irgend einer treibt darüber sein unwessen ;-)

Die chancen wie wahre Idendität rausfinden liegen bei 0,1 %

Hostname der VPN: vpn-nd1.reliablehosting.com

Hostname 95-168-xxx-xxx.internetserviceteam.com Internetdienstanbieter NETDIRECT Frankfurt, DE Land Deutschland Ländercode DE (DEU) Stadt Frankfurt Am Main Region Hessen IP-Adresse 95.168.xxx.xxx Postleitzahl Unbekannt Nationalflagge DE Breitengrad 50.1167 Lokale Zeit* 28 Feb 2010 10:56 Längengrad 8.6833 Helper
#14 Helper 28.02.2010 11:04

Ich hatte vergessen zu erwähnen das ich nicht der Hacker bin, ich nutze auch den VPN Dienst und bin zufällig auf die Seite hier gekommen und dachte ich bring mal etwas Licht ins dunkle.

Also NETDIREKT abuse zu schreiben bringt rein gar nix, die haben ausser das die den (VPN) Server da zur Verfügung stellen nichts mit zu tun. Ihr könnt wenn ihr die IP habt euch an strongvpn.com wenden und fragen ob die euch die reale IP die dahinter steckt rausrücken, aber macht euch keine Hoffung, da die nicht Logen weil die Niederlassung in einem Land ist, wo das logen nicht gesetzlich vorgeschrieben ist, werdet ihr leider Pech haben. Aber versuchen könnte man es.

Helper
#15 Helper 28.02.2010 11:45