Uni-Leipzig mit offenem Proxy?

Es gibt IMHO genau zwei Möglichkeiten, wie sich der bei mir versuchte virtuelle Trackback-Spam-Haufen erklären lässt: entweder ein Student/Mitarbeiter der Uni-Leipzig ist einer der sehr gehassten Trackback-Spammer, oder der Proxy der Uni-Leipzig mit Namen "proxy1.uni-leipzig.de" ist so offen wie ein Scheunentor und wird von den elendlichen Spammern mißbraucht.

Wie auch immer:

hey, ihr Admins der Uni in Leipzig,
könntet Ihr das bitte ASAP beheben???

    01.06.2005 · spät nachts · Dosenfleisch

8 Kommentare

1.    SteBu schrieb am 01.06.2005 um 06:46 Uhr:
   
   Du kannst ja mal schauen ob im Header ein X-Forwarded-For gesetzt ist. Wenn ja ist es sehr wahrscheinlich manueller Spam, dann hast die interne IP des Rechners und kannst Druck machen.
   
   
   
2.    Pepino schrieb am 01.06.2005 um 11:04 Uhr:
   
   Kein manueller Spam... innerhalb 1h ca. 200 vergebliche Trackback-Versuche... teilweise über diesen Proxy der Uni-Leipzig...
   Das riecht sehr verdächtig nach offenem unsicheren Proxy da drüben im Osten...
   
   
   
3.    SteBu schrieb am 01.06.2005 um 12:56 Uhr:
   
   Ich habe mal mit nmap ein Scan gemacht. Ist soweit alles zu, bis auf SSH
   
   
   
4.    Pepino schrieb am 01.06.2005 um 13:20 Uhr:
   
   Beispiel:
   

   
    [HTTP_ACCEPT] => image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
    [HTTP_ACCEPT_LANGUAGE] => en-us
    [HTTP_CACHE_CONTROL] => max-age=259200
    [HTTP_HOST] => www.pepilog.de
    [HTTP_PRAGMA] => no-cache
    [HTTP_USER_AGENT] => Mozilla/4.0 (compatible; MSIE 5.0; Mac_PowerPC; AtHome021)
    [HTTP_VIA] => 1.1 proxy.uni-leipzig.de:3128 (Squid/2.4.STABLE7)
    [HTTP_X_AAAAAAAAAAAA] => 1
    [HTTP_X_FORWARDED_FOR] => 139.18.72.28
    [REMOTE_ADDR] => 139.18.1.5
    [REMOTE_HOST] => proxy1.uni-leipzig.de
    [REMOTE_PORT] => 55503

   
   Es dürfte also eindeutig kein manueller Spammer sein, der zudem noch vermutlich aus Spanien (Santa Cruz de Tenerife) kommt.
   Irgendwo muß der Proxy also offen sein, oder nicht?

   
   
   
5.    SteBu schrieb am 01.06.2005 um 13:36 Uhr:
   
   Interessant ist ja die [HTTP_X_FORWARDED_FOR] => 139.18.72.28 Zeile. Ein Lookup löst die IP zu www.vetmed.uni-leipzig.de auf. Also wird die Anfrage von Squid(Proxy1 ist ein Squid) an diese IP durchgereicht.
   
   
   
6.    SteBu schrieb am 01.06.2005 um 13:38 Uhr:
   
   Nachtrag. Also wird nicht der Proxy undicht sein, eher schon die Büchse wo vetmed.uni.... drauf liegt.
   
   
   
7.    Pepino schrieb am 01.06.2005 um 13:42 Uhr:
   
   Was ja die Admins des Instituts oder von wo auch immer mal überprüfen und abdichten könnten...
   
   
   
8.    schlind schrieb am 01.06.2005 um 20:32 Uhr:
   
   Is ja schon arg was die da sonst noch so für Sachen machen, in Leipzig *g
   www.vetmed.uni-leipzig.de
   
   
   

Kommentar hinzufügen

Alle Angaben sind freiwillig! Aber falls etwas eingetragen wird, dann bitte sinnvolle (!) Werte. Name:
eMail (wird nicht angezeigt):
Website:
SpamProtector (was?): Drücke den ersten Wert: A:    B:
Kommentar: HTML ist nicht erlaubt. URLs werden automatisch umgewandelt.

Thematisch dazu passend:

1. Erfahrungen von Spammern? (5 Kommentare)
2. Spammer-Onanie (1 Kommentar)
3. Honigtöpfchen für Spammer (11 Kommentare)
4. Pseudo-Kommentierer mit Werbeabsicht (5 Kommentare)
5. Wir kriegen Euch... (5 Kommentare)