Er hat sich darauf phpBB eingerichtet und natürlich den Sicherheits Patch nicht rechtzeitig aufgespielt - Mit offensichtlichen Folgen.
Aber nach den Abdichten (ein komplett frisches Debian) ist mir ein enormer Traffic-Mehrverkehr aufgefallen. Statt der üblicherweise 1 Giga pro Tag, schnellte es auf 8Giga.
Nach der Analyse der Logfiles entdeckte ich ein immenses Aufkommen an Abfragen der Seite statistics.php
Code: Alles auswählen
69.50.182.242 - - 22/Jul/2005:18:48:49 +0200 "GET /phpBB2/chCounter/statistics.php?extensive=referers HTTP/1.1" 200 8582912 "h t t p : / /isnovaya.dynup.net/messages/e x- ories-incest.html" "-" 31 w w w.....ch
69.50.182.242 - - 22/Jul/2005:18:48:50 +0200 "GET /phpBB2/chCounter/statistics.php?extensive=referers HTTP/1.1" 200 8582912 "h t t p : / /isnovaya.dynup.net/messages/f ree-inc est.html" "-" 29 w w w....ch
69.50.182.242 - 22/Jul/2005:18:49:46 +0200 "GET /phpBB2/chCounter/statistics.php?extensive=referers HTTP/1.1" 200 8582912 "h t t p : / /nafik.dyndsl.com/le bian-incest.html" "-" 32 w w w.....ch
69.50.182.242 - - 22/Jul/2005:18:49:50 +0200"GET /phpBB2/chCounter/statistics.php?extensive=referers HTTP/1.1" 200 8582912 "h t t p : / /isnovaya.dynup.net/messages/lo a-in est.html" "-" 35 w w w......ch
69.50.182.242 - - 22/Jul/2005:18:49:52 +0200"GET /phpBB2/chCounter/statistics.php?extensive=referers HTTP/1.1" 200 8582912 "h t t p : / /isnovaya.dynup.net/messages/stories-in st.html" "-" 37 w w w......ch
[/code ]
(ich habe der Filter wegen die obszönen Begriffe rausgenommen
auf diese Weise landen diese im Absender gefälschten Webseiten zuoberst auf der Statistikseite und bekommen einen Link.
Ich vermute mal, um ein besseres Ranking im Goggle etc. zu bekommen.
Nach Analyse der alten Logbücher sind mir mehrere solche 'Fake-Bursts' (ich nenn die mal so) aufgefallen. Für einige Stunden einen enormen Traffic und dann wieder Ruhe.
Ich habe nirgends Hinweise für eine Abwendung dieser @#&%* Seite gefunden.
Weiss jemand Rat (ausser phpBB abzuschalten oder statistics wegzumenen)