Den 16-12-2010 11:59, Leif Neland skrev:
> Jeg så i logfilen, at admin-siderne til en af vores websites er forsøgt
> tilgået fra fremmede ip-adresser.
> Ved nærmere eftersyn ser jeg at ip-adresserne tilhører trendmicro.com.
>
> Administratoren for det site har trendmicro virusscanner på sin maskine.
>
> URL'en er lang og unik, erstat URL i loggen med dette:
> URL="/admin/content_section.php?do=edit_topic&page_id=f494c.......................f517&page=help"
</SNIP>
Det ligner et hackder-angreb, og Trend Micro har et blandet rygte
iblandt webmastere.
De to nævnte IPer giver dette på projecthoneypot.org:
http://projecthoneypot.org/ip_216.104.15.134
og
http://projecthoneypot.org/ip_150.70.75.35
Den første er defineret som spammer og rule breaker (rule breaker er
vidst bl.a. noget med ikke at følge robots.txt - en meget skidt ting for
et proft firma).
stopforumspam siger:
http://www.stopforumspam.com/ipcheck/216.104.15.134
Hverken Trend Micro eller andre må automatisk lave penetration tests på
den måde, du beskriver. Der søges efter et admin-directory - hvis ikke
der linkes direkte til dette fra siden ville det alene være nok til, jeg
blockede hele IP-rangen for Trend Micro eller på anden måde sørgede for,
de ikke fik noget ud af min side (jeg har automatiske scripts til test
for hacking og de blockes automatisk, så for mig er ejeren af IPen
normalt ikke så vigtig - men at det er et velrennomeret firma, er
direkte pinligt).
Det *kunne* for så vidt være en PC i selve firmaet, som var inficeret,
eller på anden måde en ekstern service (som også en kommentar foreslår)
og ikke Trend Micro, som sådan, der står for det. Men either way - jeg
har ingen tiltro til dem, når de ikke ordner problemet.
MVH
Rune Jensen