Onmogelijk ip bezoekt mn webserver.

Status
Niet open voor verdere reacties.
I

Imre

Gebruiker
Lid geworden
22 apr 2004
Berichten
20
Deze vraag gaat over de integriteit van een webserver.
We hebben een gewone webhosting, nadat er wat problemen waren schreef ik een registratie script in php die het ip adres met datum en tijd vastlegt.

Sinds enige tijd verschijnen daar ca 2 x per dag adressen uit het privébereik 192.168.x.x

Omdat ik vind dat dit niet juist kan zijn, redirect ik deze adressen naar een pagina die duidelijk maakt dat we dat niet willen zien. (lol)

De vraag: Hoe kan dit? En kan ik er van uit gaan dat het een aanval op de webserver betreft. (door een server adres na te bootsen toegang krijgen)

Imre
 
In principe mogen dat soort adressen niet eens iets kunnen bereiken.
Maar, als je hem doorstuurt naar die andere pagina, roept ie die dan ook op? Want als het namelijk inderdaad zo'n private-adres is, dan krijgt ie namelijk helemaal geen berichten terug, en weet ie dus nooit dat ie naar die pagina moet gaan, even heel simpel uitgelegd ;).

Want als ie daar netjes verschijnt, dan ben ik bang dat er in je script een foutje zit. En dat je blijkbaar niet alle ip-adressen registreerd, er zijn namelijk meerdere variabelen die je kan aanroepen om een ip-adres uit te lezen. En die kunnen allemaal verschillen.
Ik heb het zelf ook gehad in bijvoorbeeld de helpmij.nl-chat, die zei ook dat ik ip-adres 192.168.1.50 gebruikte, en niet m'n externe ip-adres, na aanpassing van het script kreeg ik opeens wel het juiste ip-adres te zien.
Maar ik denk dat dat meer voor de php-forumgebruikers is. Moet je daar maar even de vraag voorleggen :)
 
Vind dan wel een computer...

Op dat adres, dat is het gestoorde. Iemand moet het presteren om een DNS server zo te vergiftigen dat het naar een bestaande pc verwijst.

Of de aanroep in kwestie juist is ontvangen kan ik niet kontroleren, wel dat het script op die pagina is aangeroepen, maar dat is zo geschreven dat dit altijd gebeurd. Het (php) script zelf stuurt weliswaar een leuke pagina met een tekst terug.

Wat nog veel gekker is:
Zit in het CWI kantoor te wachten en roep mn eigen pagina aan met de pc die er staat, ik krijg mijn redirect te zien. Eenmaal thuis blijkt het een adres te zijn uit de range 10.10.x.x EN DAT KAN OOK NIET!

Je mag van het CWI toch geen vreemde praktijken verwachten.

Enige idee?

Imre
 
Die computers hebben dat allemaal als intern ip-adres, dat klopt allemaal ... alleen lees jij dus met jouw script het verkeerde ip-adres uit.
Dus het heeft niks met verkeerd geconfigeerde pc's ofzo te maken, want dat soort aanvallen waar jij aan zit te denken, die komen in principe niet eens tot de php-laag ;)
Dus de oplossing voor dit probleem is dus echt te zoeken in het php-forum
 
Je hebt gelijk

Je MOET gelijk hebben, de grote webservers van lycos webcenter zullen zo een aanvraag nooit op het netwerk toelaten en routen naar een webserver.

Ik lees de gebruikelijke server variabele (HTTP_URL) uit, om enige informatie te kunnen krijgen over een lokaal adres zou het een slecht beveiligd systeem moeten zijn waarvan de netBios poort naar buiten toe open is.

Nooit geweten dat de server veriabele dat oppikt.

Ik ga nu te rade bij een PHP gerelateerd forum.

Bedankt voor je antwoord

imre
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan