Es ist schon ein paar Wochen her. Ich wachte auf und musste direkt aufs Klo. Muss wohl so ein Altersdings sein, denn meine Frau kam mir auf gerade auf dem Rückweg vom selbigen entgegen und war leicht genervt wegen des Geräusch das aus meinem Büro kommt. Das geht schon die ganze Nach so, sagt sie mir.
Ich lauschte ins Büro und hörte das klopfende Geräusch das den Eingang einer neuen E-Mail signalisiert. Nach dem ich im Bad fertig war, stelle ich fest das dort aber wirklich viele Mails eingingen und setzte mich eben kurz an den Rechner. In dem Postfach auf dem ich über neue Anmeldungen auf erwm.de informiert werden, lagen viele tausend ungelesene Nachrichten. Mir war klar das jemand versucht dort einzuloggen und benannte die login.php kurzerhand um. Jetzt war erst mal Ruhe. Über das wie und warum und was dagegen tun wollte ich mich später kümmern. Musste erst mal wachwerden und vll arbeiten.
Am Nachmittag schaute ich also in die Logs und stellte fest das, wie erwartet, die login.php über Stunden hinweg aufgerufen wurde. Selbst als die Seite nicht mehr existierte und der Aufruf mit einem 404 not found quitiert wurde, ging es fleissig weiter.
Ich kann mir überhaupt nicht erklären wo darin der Sinn liegt. Was will der „Hacker“ damit bezwecken? Ich prüfte weiter, und stellte fest das auch in der Nacht nichts anderes passierte. Immer wieder nur der selbe Aufruf der selben Seite und damit das auslösen einer Standardmail. Immer … und immer … und immer wieder.
Ein anderer Bot mit einer anderen IP macht was ähnliches. Was soll das?
Was ich hier allerdings nicht verstehe warum die Aufrufe mit 301 und 303 quittiert werden. Auch diese Dateien gibt es einfach gar nicht.
Ich weiß ja aus Quellen das es echt clevere Typen im Netz gibt die auch tolle Dinge machen. Dieser beiden gehören definitiv nicht dazu.