Scoutnet vzw

We connect scouts!
Het is momenteel 14 Nov 2024 18:21

Alle tijden zijn UTC + 1 uur




Plaats een nieuw onderwerp Reageren op dit onderwerp  [ 10 berichten ] 
Auteur Bericht
BerichtGeplaatst: 30 Dec 2005 19:59 
Offline
Site Admin
Site Admin
Gebruikers-avatar

Geregistreerd: 31 Aug 2002 23:00
Berichten: 473
Woonplaats: Tongerlo
Een oproep aan alle webmasters die graag experimenteren met hun website;

We monitoren op dit moment alle traffiek die gegenereerd wordt door webserver processen, om op deze manier misbruik (zoals hacks) sneller vast te kunnen stellen. We merken echter dat er ook veel RSS, MYSQL, ... verkeer veroorzaakt wordt, onder andere naar;

70.84.110.164:3306
81.245.171.180:3306
193.109.190.151:80
193.111.95.112:80 (vvksm rss feed)
200.46.204.130:80
205.138.192.23:80

Indien je een applicatie gebruikt die via een webserver proces data ophaalt van externe bronnen (RSS, MYSQL server, ...) kan je ons helpen door deze URL, hostname en/of IP adres door te sturen naar info@scoutnet.be of hier te posten, liefst met een klein woordje uitleg.

We gaan dan deze ip adressen opnemen in de firewall zodat ze nooit geblokkeerd zullen worden in volgende fasen.

Alvast bedankt voor je medewerking


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 30 Dec 2005 22:15 
Offline
 
 
Gebruikers-avatar

Geregistreerd: 22 Jan 2004 0:00
Berichten: 773
Is het nodig om te vermelden dat wij het VVKSM nieuws afhalen ? :)


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 30 Dec 2005 23:38 
Offline
Site Admin
Site Admin
Gebruikers-avatar

Geregistreerd: 31 Aug 2002 23:00
Berichten: 473
Woonplaats: Tongerlo
hopla schreef:
Is het nodig om te vermelden dat wij het VVKSM nieuws afhalen ? :)

Uiteraard niet :wink:

Dit is trouwens de laatste update zoals het nu in de firewall gedefinieerd staat. Indien je een ip adres herkent, laat het ons weten!

69.20.50.218:80
81.27.76.130:80
193.109.190.151:80
193.111.95.112:80 (vvksm rss feed)
193.190.253.234:80
200.46.204.130:80
205.138.192.23:80
205.234.192.205:80
212.69.210.196:80
216.200.21.187:80
213.193.214.100:80

70.84.110.164:3306
81.245.171.180:3306
82.192.67.11:3306
141.252.8.12:3306


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 31 Dec 2005 11:17 
Offline
 
 
Gebruikers-avatar

Geregistreerd: 12 Jan 2004 0:00
Berichten: 94
Woonplaats: Berchem (Antwerpen)
Eens geprobeerd in welke richting deze IP-adressen gaan via een browser.
Meeste blijken mij RSS-feeds te zijn.

69.20.50.218:80 -> Family Guy Quotes
81.27.76.130:80 -> Scouts.org.uk rss feed
193.109.190.151:80 -> FOS news
193.111.95.112:80 -> VVKSM rss feed
193.190.253.234:80 -> Ulysses (KUL studentenclub)
200.46.204.130:80 -> 404 :wink:
205.138.192.23:80 -> e107 (CMS) news
205.234.192.205:80 -> Phpbb news
212.69.210.196:80 -> Scoutbase UK
216.200.21.187:80 -> CareerJive (Online profiles??)
213.193.214.100:80 -> Plesk 404

70.84.110.164:3306 -> cPanel 404
81.245.171.180:3306 -> Not found
82.192.67.11:3306 ->Not found
141.252.8.12:3306 -> Hogeschool Leeuwarden


ThDC

_________________
- O Lord, raise me to Thy right hand -
- and count me among Thy Saints! -


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 31 Dec 2005 12:21 
Offline
 
 
Gebruikers-avatar

Geregistreerd: 04 Jul 2002 23:00
Berichten: 501
Woonplaats: Reet
Van enkele eens nslookup gedaan:

213.193.214.100 : Canonical name: mail.ksjnet.be
70.84.110.164 : Canonical name: NS1.MECHHOSTING.com
200.46.204.130 : Canonical name: pgfoundry.org
81.245.171.180 : Canonical name: 180-171.245.81.adsl.skynet.be
82.192.67.11 :
nslookup 82.192.67.11
No reverse DNS (WSANO_DATA)

Code:
12/31/05 12:16:35 Fast traceroute 82.192.67.11
Trace 82.192.67.11 ...
 1 192.168.1.1       1ms    1ms    1ms  TTL:  0  (No rDNS)
 2 213.119.164.1    13ms   17ms   54ms  TTL:  0  (dD577A401.access.telenet.be ok)
 3   No Response      *      *      *                 
 4 213.224.247.69   24ms   11ms   19ms  TTL:  0  (dD5E0F745.access.telenet.be ok)
 5 213.224.126.78   15ms   46ms   17ms  TTL:  0  (No rDNS)
 6 213.248.72.201   16ms    7ms   62ms  TTL:  0  (brx-b2-geth2-1.telia.net ok)
 7 213.248.72.121   16ms   39ms   20ms  TTL:  0  (brx-b3-pos14-0.telia.net ok)
 8 213.248.65.197   21ms   27ms   77ms  TTL:  0  (adm-bb2-pos1-1-0.telia.net ok)
 9 213.248.72.142   27ms   56ms   11ms  TTL:  0  (adm-b1-pos4-0.telia.net ok)
10 213.248.72.93    20ms    *     23ms  TTL:  0  (leaseweb4-01768-adm-b1.c.telia.net ok)
11   No Response      *      *      *                 
12   No Response      *      *      *                 
13   No Response      *      *      *                 
14   No Response      *      *      *                 
15   No Response      *      *      *                 
16   No Response      *      *      *                 
17   No Response      *      *      *                 
18   No Response      *      *      *                 
19   No Response      *      *      *                 
20   No Response      *      *      *                 
21   No Response      *      *      *                 
22   No Response      *      *      *                 
23   No Response      *      *      *                 
24   No Response      *      *      *                 
25   No Response      *      *      *                 
26   No Response      *      *      *                 
27   No Response      *      *      *                 
28   No Response      *      *      *                 
29   No Response      *      *      *                 


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 31 Dec 2005 13:33 
Offline
 
 
Gebruikers-avatar

Geregistreerd: 22 Jan 2004 0:00
Berichten: 773
Als ik het goed begrijp is dit niet om externe ip adressen te blocken die scoutnet binnen willen, maar omgekeerd? Ik zal dan dus niet meer kunnen wget "phpbb_package_of_ander_install_pack" ?


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 31 Dec 2005 13:37 
Offline
Site Admin
Site Admin
Gebruikers-avatar

Geregistreerd: 31 Aug 2002 23:00
Berichten: 473
Woonplaats: Tongerlo
Je begrijpt het goed, hoewel het onze bedoeling is om enkel traffiek te blokkeren die veroorzaakt wordt door de gebruiker 'apache'. Als je een wget doet met je eigen 'snXXXX' gebruiker, zal dit geen probleem geven.


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 31 Dec 2005 16:56 
Offline
Site Admin
Site Admin
Gebruikers-avatar

Geregistreerd: 31 Aug 2002 23:00
Berichten: 473
Woonplaats: Tongerlo
Nog een lijstje (jullie waren toch zo goed bezig eh);

64.224.97.93:80
65.182.102.101:80
69.61.29.132:80
81.11.231.56:80
134.58.126.198:80
141.252.8.21:80
170.224.8.51:80
192.67.198.53:80
195.130.132.86:80
213.197.168.227:80
213.247.45.222:80
216.239.37.104:80


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 31 Dec 2005 17:36 
Offline
 
 
Gebruikers-avatar

Geregistreerd: 22 Jan 2004 0:00
Berichten: 773
jant schreef:
Je begrijpt het goed, hoewel het onze bedoeling is om enkel traffiek te blokkeren die veroorzaakt wordt door de gebruiker 'apache'. Als je een wget doet met je eigen 'snXXXX' gebruiker, zal dit geen probleem geven.

Ah, nice, very nice :)


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 01 Jan 2006 11:39 
Offline
 
 
Gebruikers-avatar

Geregistreerd: 20 Sep 2002 23:00
Berichten: 166
jant schreef:
Nog een lijstje (jullie waren toch zo goed bezig eh);

64.224.97.93
65.182.102.101
69.61.29.132
81.11.231.56
134.58.126.198
141.252.8.21
170.224.8.51
192.67.198.53
195.130.132.86
213.197.168.227
213.247.45.222:
216.239.37.104


Voila even snel een scriptje gemaakt:
Code:
#!/bin/bash

while read lin
do
IFS=:
q=($lin)
echo "$lin"
echo "*****************"
dig -x ${q[0]} +short 
grep -e [[:space:]]${q[1]}/ /etc/services
done


Geef dit een naam vb ipconvert.sh
chmod + x zoekip.sh
zet daarna al je gegevens die je wil zoeken in een textfile vb ip.txt

en doe
Code:
./ipconvert.sh < ip.txt


resultaat voor dit voorbeeld:
Citaat:
64.224.97.93:80
*****************
extremespin.com.
http 80/tcp www www-http # World Wide Web HTTP
http 80/udp www www-http
65.182.102.101:80
*****************
www10.brinkster.com.
www11.brinkster.com.
www12.brinkster.com.
www13.brinkster.com.
www14.brinkster.com.
www15.brinkster.com.
www16.brinkster.com.
www17.brinkster.com.
www30.brinkster.com.
gen1.brinkster.com.
www3.brinkster.com.
www4.brinkster.com.
www5.brinkster.com.
www6.brinkster.com.
www7.brinkster.com.
www8.brinkster.com.
www9.brinkster.com.
http 80/tcp www www-http # World Wide Web HTTP
http 80/udp www www-http
69.61.29.132:80
*****************
http 80/tcp www www-http # World Wide Web HTTP
http 80/udp www www-http
81.11.231.56:80
*****************
ip-81-11-231-56.dsl.scarlet.be.
http 80/tcp www www-http # World Wide Web HTTP
http 80/udp www www-http
134.58.126.198:80
*****************
sslurc11.kuleuven.be.
http 80/tcp www www-http # World Wide Web HTTP
http 80/udp www www-http
141.252.8.21:80
*****************
webserv.nhl.nl.
http 80/tcp www www-http # World Wide Web HTTP
http 80/udp www www-http
170.224.8.51:80
*****************
51.0-127.8.224.170.in-addr.arpa.
p.moreover.com.
http 80/tcp www www-http # World Wide Web HTTP
http 80/udp www www-http
192.67.198.53:80
*****************
IIweb3.webmailer.de.
http 80/tcp www www-http # World Wide Web HTTP
http 80/udp www www-http
195.130.132.86:80
*****************
webcluster2b.telenet-ops.be.
http 80/tcp www www-http # World Wide Web HTTP
http 80/udp www www-http
213.197.168.227:80
*****************
post.ziniur.lt.
http 80/tcp www www-http # World Wide Web HTTP
ttp 80/udp www www-http
h69.61.29.132:80
*****************
http 80/tcp www www-http # World Wide Web HTTP
http 80/udp www www-http
81.11.231.56:80
*****************
ip-81-11-231-56.dsl.scarlet.be.
http 80/tcp www www-http # World Wide Web HTTP
http 80/udp www www-http
134.58.126.198:80
*****************
sslurc11.kuleuven.be.
http 80/tcp www www-http # World Wide Web HTTP
http 80/udp www www-http
141.252.8.21:80
*****************
webserv.nhl.nl.
http 80/tcp www www-http # World Wide Web HTTP
http 80/udp www www-http
170.224.8.51:80
*****************
51.0-127.8.224.170.in-addr.arpa.
p.moreover.com.
http 80/tcp www www-http # World Wide Web HTTP
http 80/udp www www-http
192.67.198.53:80
*****************
IIweb3.webmailer.de.
http 80/tcp www www-http # World Wide Web HTTP
http 80/udp www www-http
195.130.132.86:80
*****************
webcluster2b.telenet-ops.be.
http 80/tcp www www-http # World Wide Web HTTP
http 80/udp www www-http
213.197.168.227:80
*****************
post.ziniur.lt.
http 80/tcp www www-http # World Wide Web HTTP
http 80/udp www www-http
213.247.45.222:80
*****************
http://www.scouting.nl.
http 80/tcp www www-http # World Wide Web HTTP
http 80/udp www www-http
216.239.37.104:80
*****************
http 80/tcp www www-http # World Wide Web HTTP
http 80/udp www www-http
213.247.45.222:80
*****************
http://www.scouting.nl.
http 80/tcp www www-http # World Wide Web HTTP
http 80/udp www www-http
216.239.37.104:80
*****************
http 80/tcp www www-http # World Wide Web HTTP
http 80/udp www www-http



Ik heb beide files in /tmp/ip gezet. uitvoeren vanuit /tmp gaat niet maar copieer ze naar je homedirectory en dan zou het moeten werken.


Omhoog
 Profiel  
 
Berichten weergeven van de afgelopen:  Sorteer op  
Plaats een nieuw onderwerp Reageren op dit onderwerp  [ 10 berichten ] 

Alle tijden zijn UTC + 1 uur


Wie is er online?

Gebruikers in dit forum: Geen geregistreerde gebruikers en 2 gasten


U mag geen nieuwe onderwerpen plaatsen in dit forum
U mag geen reacties plaatsen op onderwerpen in dit forum
U mag uw berichten niet wijzigen in dit forum
U mag uw berichten niet verwijderen in dit forum
U mag geen bijlagen plaatsen in dit forum

Zoeken naar:
Ga naar:  
Powered by phpBB® Forum Software © phpBB Group
Vertaald door phpBBservice.nl.