---

Jeg har et lille familiesite - http://rath-møller.dk
Var lige inde og kigge på statistik forleden og kan se at siden normalt har
2-300 hits om måneden.
Men fra starten af marts har der været 3800 hits og over 1000 hits fra 1
april.
Stort set alle hits kommer fra 3 IP'adresser som jeg har fundet ud af er fra
Letland.

Er det nogen jeg skal være nervøs over ?

Mvh. Allan

---

Allan Rath Møller <am at allan m dot dk> crashed Echelon writing
news:4bbce3ec$0$277$14726298@news.sunsite.dk:

> Men fra starten af marts har der været 3800 hits og over 1000 hits fra
> 1 april.
> Stort set alle hits kommer fra 3 IP'adresser som jeg har fundet ud af
> er fra Letland.
>
> Er det nogen jeg skal være nervøs over ?

Det kommer an på hvad de foretager sig, hvad siger loggen?

--
Bjarke Andersen

---

Bjarke Andersen wrote:

> Allan Rath Møller <am at allan m dot dk> crashed Echelon writing
>>
>> Er det nogen jeg skal være nervøs over ?
>
> Det kommer an på hvad de foretager sig, hvad siger loggen?

Samt om han har usikre applikationer på sin side.
(Kan desværre ikke se 'danske domæner' i min foretrukne browser).

Men for at uddybe dit svar, så er det interessant at se på:
* Querystring - denne benyttes til både remote code execution samt SQL
injection.
* GET/POST - viser om det er blog/commentspam
* Accept-encoding - hvis der ikke understøttes gzip, er det med 99,9999%
sikkerhed en bot.

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen wrote:

>> Allan Rath Møller <am at allan m dot dk> crashed Echelon writing
>>>
>>> Er det nogen jeg skal være nervøs over ?

Glemte båndbreddeforbrug, med mindre du har fri båndbredde.
Afhængig af hvordan du takler disse 'hits' kan det være til ulejlighed -
specielt for 'the good guys', som må imødese en øget svartid.

--
Med venlig hilsen
Stig Johansen

---

> Men for at uddybe dit svar, så er det interessant at se på:
> * Querystring - denne benyttes til både remote code execution samt SQL
> injection.
> * GET/POST - viser om det er blog/commentspam
> * Accept-encoding - hvis der ikke understøttes gzip, er det med 99,9999%
> sikkerhed en bot.


Undskyld mig men det er kulsort snak det du skriver for mig.

Domænet ligger hos Gigahost og umiddelbart har jeg ikke adgang til nogen log
men det prøver jeg lige at undersøge.
Det er et Joomla CMS hvis det kunne være til nogen nytte at vide.


Mvh. Allan

---

"Allan Rath Møller" <am at allan m dot dk> wrote:

> Undskyld mig men det er kulsort snak det du skriver for mig.
Der er ikke noget at undskylde.

> Domænet ligger hos Gigahost og umiddelbart har jeg ikke adgang til nogen
> log men det prøver jeg lige at undersøge.

Hvis du ikke har adgang til 'grannuleringen' af logfiler, er det umuligt at
vurdere hvad 'de' er ude efter.

> Det er et Joomla CMS hvis det kunne være til nogen nytte at vide.

Hvis der ikke er (kendte) sårbarheder, og du ikke har sårbare appllikationer
ved siden af, er der ikke noget at være nervøs over (bortset fra en evt
ekstraregning for båndbreddeforbrug).

--
Med venlig hilsen
Stig Johansen

---

Den 09-04-2010 19:30, Allan Rath Møller skrev:
>> Men for at uddybe dit svar, så er det interessant at se på:
>> * Querystring - denne benyttes til både remote code execution samt SQL
>> injection.
>> * GET/POST - viser om det er blog/commentspam
>> * Accept-encoding - hvis der ikke understøttes gzip, er det med 99,9999%
>> sikkerhed en bot.
>
>
> Undskyld mig men det er kulsort snak det du skriver for mig.
>
> Domænet ligger hos Gigahost og umiddelbart har jeg ikke adgang til nogen log
> men det prøver jeg lige at undersøge.
> Det er et Joomla CMS hvis det kunne være til nogen nytte at vide.

Som en anden skriver, så bør du tjekke og evt. opdatere CMSet og
plugins, hvis der er nyere versioner.

De tre IPer, som "invaderer" din side, kan du tjekke op imod

http://projecthoneypot.org/search_ip.php

samt

http://stopforumspam.com/

De vil kunne give dig et fingerpeg om, om det er ondsindede botter og
hvilken slags.

Du kan - i visse tilfælde - også bare søge på selve IPen på google. Hvis
de er meget ondsindede, vil mange have skrevet om dem udfra diverse
black-lists/forums.

Er det så nogle ondsindede IPer *), kan du evt. blocke dem via
..htaccess, eller måske der er en plugin til Jommla, som kan gøre dette -
jeg er hverken inde i PHP eller Joomla. Skal også sige, at IP-blocking
ikke altid er en fantastisk løsning, men at en bedre løsning kræver
noget serverside kodning.

Man kan sige meget udfra IP alene, men har man serverLOGgen, som Stig
siger, kan man nærmest nagle 100% hvad formålet med "besøgende" er.


MVH
Rune Jensen

*) NOTE: Som der står på projecthoneypot, er brugerne bag disse IPer i
mange tilfælde uskyldige, men de huser ondsindede botter (programmer)
uden at vide det, og det er disse botter man ser i LOGgen. Det kan være
både alm. computerbrugere og servere, som er inficerede.

---

Den 07-04-2010 21:58, Allan Rath Møller skrev:
> Jeg har et lille familiesite - http://rath-møller.dk
> Var lige inde og kigge på statistik forleden og kan se at siden normalt har
> 2-300 hits om måneden.
> Men fra starten af marts har der været 3800 hits og over 1000 hits fra 1
> april.
> Stort set alle hits kommer fra 3 IP'adresser som jeg har fundet ud af er fra
> Letland.
>
> Er det nogen jeg skal være nervøs over ?
>
> Mvh. Allan
>
Jeg kan se du bruger Joomla. Det kan være her hunden ligge begravet.
Hvis joomla ikke er den side nye kan det måske være et forsøg på
at komme den vej ind.

--
Venlig Hilsen
Lars Raaby
http://lars.raaby.dk
- nå og hvad så!