iSeries Apache Log

[SE]

Hallo zusammen,

Gibt es hier einen WebServer-Experten, der mir etwas mehr zu der Bedeuteung folgender Log-Einträge erzählen kann ? Was soll dort die Aussage abgewiesen (ok, das kann ich mir noch denken) und aktzeptiert (???). Und was soll das für eine Angabe der IP sein ? Ok, die Nummer ist unterschiedlich von Client zu Client, aber die MAC-Adresse (00-30-05-0D-C6-9D) kann es doch wohl auch nicht sein ?

...
[10/Dec/2002:14:07:56 +0000] [OK-GATEWAY] [host: 172.21.234.240] Denial of Service: unerlaubter Zugriff der neuen Verbindung auf IP -1407849744 abgewiesen
...

...
[10/Dec/2002:14:11:38 +0000] [OK-GATEWAY] [host: 172.21.234.240] Denial of Service: unerlaubter Zugriff der neuen Verbindung auf IP -1407849744 akzeptiert
...



[Dieser Beitrag wurde von SE am 10. Dezember 2002 editiert.]

Ups - wie peinlich ... jetzt hab ich mich aber gründlich in den Instanzen verguckt. Das betrifft nicht die Apache-Version sondern die Original-IBM-Version ...


[Dieser Beitrag wurde von SE am 12. Dezember 2002 editiert.]

[Fuerchau]

Die IP-Adresse ist umzurechnen (z.B. über den Windows-Calculator von Dec in Hex).
Dann bekommst du folgenden Wert:
53EA1510
und das ist: 83.234.21.16 !

Ist das Netz vielleicht übers Internet erreichbar ?

[SE]

Hallo,

Vielen Dank für den Tip(p) - das bringt mich jetzt wenigstens erstmal einen Schritt weiter. Nachdem ich mir nochmal die Logs der letzten Tage angesehen und die Zahlen so zurückgerechnet habe, komme ich auf eine Liste mit (momentan) über 20 verschiedenen 83.xxx.xxx.xxx-IP's. Da unser Netz nur aus 10er und 172er IP's besteht und mehrfach vom Internet abgeschottet ist, bin ich mal der festen Überzeugung das die 83er IP's die Zieladressen darstellen sollen (der betroffene WebServer fungiert hier als Proxy in einer Proxy-Kettung und gewährt für nicht freigeschaltete User nur eingeschränkten Zugang zum Internet).

Wie ich schon vor einigen wochen herausbekommen konnte, ist der eigentliche "Verursacher" dieser Attacken ein kleines Flash-Spiel welches momentan in unserem Intranet die Runde macht und scheinbar irgendwelche Highscores o.ä. ins Internet verschicken will. Nur leider scheint es (bei den nicht freigeschalteten Usern) mit dem Rückkehrcode 403 nicht einverstanden zu sein, so daß unser Proxy weiterhin damit regelrecht "bombadiert" wird - den bei voller Internetfreischaltung über den Proxy gibt es keine Probleme.

Jetzt muß ich wohl nur noch einen Weg finden, wie ich die Angriffe abwehren kann. Vielleicht mit 83er Host-Table-Einträgen die ins Leere zeigen ... - oder gibt es da noch eine bessere Möglichkeit ?