Schutz vor dem phpBB-Wurm mittels .htaccess

Hier die Newsecke (Kein Support!)
Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Mo 03.Jan, 2005 00:38

??? Das wäre mir neu.
Also wenn Dein Hoster keine .htaccess im Root des Webspaces zulässt, dann ist das schon nicht okay.
Aber meinst Du auch das korrekte Verzeichnis? Also httdocs unterhalb des Apache-Ordners? Nicht das Root-Verzeichnis des Servers ;)
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
adjustMan
User
User
Beiträge: 207
Registriert: Fr 17.Sep, 2004 23:03

Beitrag von adjustMan » Mo 03.Jan, 2005 01:54

[quote="oxpus - Mo 03.Jan, 2005 00:38";p="19742"]Aber meinst Du auch das korrekte Verzeichnis? Also httdocs unterhalb des Apache-Ordners?[/quote]
das wäre bei mir

Code: Alles auswählen

var/www/web12/html/
da liegt das Board
cu aM

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Di 04.Jan, 2005 00:04

Ja, und da klappen .htaccess-Files nicht?
Seltsam...
Mal die Rechte geprüft?
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
adjustMan
User
User
Beiträge: 207
Registriert: Fr 17.Sep, 2004 23:03

Beitrag von adjustMan » Di 04.Jan, 2005 01:25

[quote="oxpus - Di 04.Jan, 2005 00:04";p="19776"]Ja, und da klappen .htaccess-Files nicht?
[/quote]
Doch, generell schon. Nur nicht diese
Mal die Rechte geprüft?
Ja, die gehören dem User, in dem Fall web12
cu aM

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Di 04.Jan, 2005 20:27

Öhm, also kannst Du nun .htaccess-Files im Root ablegen oder nicht oder eben diese mit dem hier genannten Code nicht? Dann könnte auch Dein Apache was dagegen haben...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
adjustMan
User
User
Beiträge: 207
Registriert: Fr 17.Sep, 2004 23:03

Beitrag von adjustMan » Di 04.Jan, 2005 21:11

[quote="oxpus - Di 04.Jan, 2005 20:27";p="19827"]Öhm, also kannst Du nun .htaccess-Files im Root ablegen oder nicht
[/quote]
ja, kann ich
oder eben diese mit dem hier genannten Code nicht?
genau
cu aM

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Mi 05.Jan, 2005 01:17

Ah ja. Jetzt hab auch ich das verstanden :eek:
Okay. Wenn diese Codes nicht angenommen werden, dann ist entweder der Apache nicht dazu in der Lage (und braucht etwas andere Befehle, deren Syntax sich meinem Wissen entziehen :( ) oder die Möglichkeiten sind bewusst abgeschaltet worden.
Bei letzterem mal den Provider fragen, zur ersten Möglichkeit prüfen, ob Apache als Webserver und wenn ja in welcher Version vorhanden ist.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
adjustMan
User
User
Beiträge: 207
Registriert: Fr 17.Sep, 2004 23:03

Beitrag von adjustMan » Mi 05.Jan, 2005 02:02

[quote="oxpus - Mi 05.Jan, 2005 01:17";p="19855"]ob Apache als Webserver und wenn ja in welcher Version vorhanden ist.[/quote]
Apache/1.3.27 - Und in der httpd.conf funktionieren die Anweisungen ohne Meckern
cu aM

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Mi 05.Jan, 2005 18:50

Okay, dann lass es in Deinem Fall so. Wurde dann eben so konfiguriert.
Hauptsache, es funktioniert.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

modbo
User
User
Beiträge: 1422
Registriert: Mo 13.Dez, 2004 11:18
Kontaktdaten:

Beitrag von modbo » Do 06.Jan, 2005 00:06

[quote="Bootenks - Do 30.Dez, 2004 01:30";p="19490"]also in root von Webspace sonst ist das ja sinnlos ;) sonst sperrste dich ja von deinem eigenem Foum :-P[/quote]
Also, ich hab jetzt nicht alle Kommentare danach gelesen aber:
phpbb.de hat geschrieben:Diese Datei funktioniert nur mit einem Apache-Server und ist als .htaccess (siehe auch diesen Artikel) in das Foren-Stamm-Verzeichnis zu stellen (also in das Verzeichnis, in dem sich auch die config.php befindet).

Benutzeravatar
adjustMan
User
User
Beiträge: 207
Registriert: Fr 17.Sep, 2004 23:03

Beitrag von adjustMan » Do 06.Jan, 2005 01:46

[quote="modbo - Do 06.Jan, 2005 00:06";p="19898"]
Also, ich hab jetzt nicht alle Kommentare danach gelesen aber:
phpbb.de hat geschrieben:Diese Datei funktioniert nur mit einem Apache-Server und ist als .htaccess (siehe auch diesen Artikel) in das Foren-Stamm-Verzeichnis zu stellen (also in das Verzeichnis, in dem sich auch die config.php befindet).
[/quote]
und auch da krieg ich nen 403er
cu aM

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Do 06.Jan, 2005 01:49

Öhm, normalerweise nur in das Root-Verzeichnis.

Aber man kann natürlich auch alle Verzeichnisse des Forums mit diesem .htaccess-Anto-Wurm-Code versorgen (und nur mit diesem!), damit jeder Link auf das Forum, egal wohin, abgefangen wird.
Hängt aber wieder von den Einstellungen des Webservers ab.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 14:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback » Sa 09.Jul, 2005 16:34

Ma ein kleines Frägelchen meinerseits:

Code: Alles auswählen

# prevent Perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
^ So siehts ja in der .htaccess immer aus. Als RewriteRule wird immer http://127.0.0.1 angegeben. Jetzt frag ich mich aber was genau er damit Rewritet, nämlich doch das Datenpaket welches schon über die Leitungen drübergegangen ist oder?


Folgendes Szenario:

Angreifer PC > Router 1 > Router 2 > Router 3 > ... > Router n > Euer Server


so läuft das Datenpaket ja durchs Netz. Wenn der Server das Datenpaket an der Stelle der .htaccess auf 127.0.0.1 Rewritet müsste doch eigentlich der Server selbst damit erreicht werden, denn der Angreifer PC kann zu diesem Zeitpunkt damit gar nicht mehr ausfindig gemacht werden.



Also die Frage:
Schreibt er die Antwort des HTTP Paketes damit um oder schreibt er den Weg des Datenpaketes um? Wenn er nämlich das eingehende Datenpaket umschreibt, dann würde man die Angriffe alle nur auf ein anderes Ziel auf dem Server leiten und damit Traffic verursachen.

Ich weiß es nämlich nicht mehr genau ob er beim Rewriting das Antwortpaket umschreibt oder das eingehende Paket. Kann da einer meine Verwirrung auflösen oder bestätigen das ich grad einen Traffic-Erzeuger gefunden hab? ^d

Titus
User
User
Beiträge: 235
Registriert: Fr 18.Mär, 2005 22:23

Beitrag von Titus » Sa 09.Jul, 2005 17:00

http://httpd.apache.org/docs-2.0/mod/mod_rewrite.html

naja ich denke er wird immer eine antwort senden müssen woher soll der browser sonst was bekommen

hier
http://www.phpbb.de/viewtopic.php?t=54059

gibt er mit [F,L] ne 403 seite

kannst ja mal hier mit dem paketsniffer zugreifen ;-)
http://e3.xv12.com/?rush=cd :D

EDIT
hab dir mit
http://e3.xv12.com/?rush=403
statt 127.0.0.1 [R,L] noch das oben erwähnte [F,L] zum testen eingerichted, kannst ja mal sehen was du zurück gesandt bekommst an daten
Zuletzt geändert von Titus am Sa 09.Jul, 2005 17:07, insgesamt 3-mal geändert.

Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 14:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback » Sa 09.Jul, 2005 17:16

Ach ja dann wars doch im Antwortpaket. Ich verwechsel das immer ^b ^1

Danke ;)

Twins

Beitrag von Twins » Mo 11.Jul, 2005 14:47

Muss man oxpus Code in der Datei am Ende (mit Leerzeile oder ohne?) oder irgentwo in der Mitte einfügen?

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Mo 11.Jul, 2005 15:46

Am Anfang oder am Ende. Das ist egal.
Nur nicht mitten drinnen, das könnte bestehende Definitionen zerstören.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Twins

Beitrag von Twins » Mo 11.Jul, 2005 16:01

Ist es normal, das das Forun dann eine Fehlermeldung ausgibt, das alle Server dateien zerstört wurden? Ich habe einfach die erste Zeile (das mit den ON) weggelassen und es ging.

Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 14:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback » Mo 11.Jul, 2005 16:26

Glückwunsch, dann ist die Datei unbrauchbar wenn Rewrite nich eingeschaltet wird. :)
Wenns mit nich geht gehts wegen dem Server net.

Twins

Beitrag von Twins » Mo 11.Jul, 2005 16:33

Ich zeihe am Donnerstag ja auf einen neuen Server um, da geht das vielleicht.wenn nicht, muss der Schutz sein? Der CracherTracker müsste das doch eigentlich dann erledigen oder?

Benutzeravatar
AmigaLink
Moderator
Moderator
Beiträge: 6211
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink » Mo 11.Jul, 2005 17:05

Der CracherTracker müsste das doch eigentlich dann erledigen oder?
Ja, müsste er.
Dieser htaccess eintrag Blockt halt nur einige angriffe noch bevor der CTracker es könnte. :)
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]

Twins

Beitrag von Twins » Sa 13.Aug, 2005 20:10

Ich würde gerne wissen, wie es hiermit aussieht: ;)

Code: Alles auswählen

RewriteEngine On 

# prevent access from santy webworm a-e
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*).system(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20 [OR]
RewriteCond %{QUERY_STRING} ^(.*)union(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)UNION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)alert\(document(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SQL_INJECTION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)cmd
RewriteCond %{QUERY_STRING} ^(.*)cmd=
RewriteRule ^.*$ http://127.0.0.1/ [L,R=301] 
    
# prevent pre php 4.3.10 bug 
RewriteCond %{HTTP_COOKIE}% s:(.*):%22test1%22%3b 
RewriteRule ^.*$ http://127.0.0.1/ [R,L] 
   
# prevent Perl user agent (most often used by santy) 
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC] 
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
So sieht meine neue .htaccess aus, ich habe da einiges geändert...Sinnvolles?

Titus
User
User
Beiträge: 235
Registriert: Fr 18.Mär, 2005 22:23

Beitrag von Titus » Sa 13.Aug, 2005 23:26

was hast du geändert?
nur dass die vermutlich nicht geht weil du das letzte [OR] vergessen hast, außerdem wenn du cmd & cmd= filterst kommts auf gleiche raus, das mit dem = ist eben sicherer für den fall dass dieses cmd mal in nem suchstring enthalten währe da ein = dort eigentlich nichts zu suchen hat
nur wüsste ich nicht was du jetzt sinnvoll/sinnlos gemacht hast :confused:

Twins

Beitrag von Twins » So 14.Aug, 2005 08:28

Wo kommt das [OR] hin? Hinter RewriteRule ^.*$ http://127.0.0.1/ [R,L] oder RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]?
neue Änderungen (habe ich auf einer anderen Seite gefunden):
Find

Code: Alles auswählen

RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
Afer, Add

Code: Alles auswählen

RewriteCond %{QUERY_STRING} ^(.*)wget\%20 [OR]
Find

Code: Alles auswählen

RewriteCond %{QUERY_STRING} ^(.*)cmd
After, Add

Code: Alles auswählen

RewriteCond %{QUERY_STRING} ^(.*)cmd=
Find

Code: Alles auswählen

# prevent access from santy webworm
Replace with

Code: Alles auswählen

# prevent access from santy webworm a-e

Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 14:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback » So 14.Aug, 2005 12:37

Auuuuuuuuu das schon am frühen morgen. Wir brauchen hier einen Sanitäter für mich. *wuuuuuuuuuurrrrrrrp* *zu boden geh*



Lass Die .htaccess besser so wie sie ist das ist besser für Dich und Deinen Webserver.

Antworten