Weiterhin massive Attacken gegen OXPUS.de

Hier die Newsecke (Kein Support!)
Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Weiterhin massive Attacken gegen OXPUS.de

Beitrag von oxpus » Fr 08.Apr, 2005 09:44

Wer oder was es auch immer ist, es wird weiterhin geblockt.
In den letzten Tagen wurden wieder weitere massive Angriffe gegen OXPUS.de gefahren, mit dem Versuch, das Passwort des Admins (also meins) zu erspähen, ja sogar zu ersetzen!
Der Admin Error Log Mod fing diese Versuche komplett ab und quittierte den Dienst mit einem Eintrag in die Fehler-Tabelle.

Der entscheidene Hinweis liegt hier auf "UNION". Die Abwehr hierzu ist mit dem CrackerTracker angepasst, um auch mögliche Quellen dieser Angriffe auszumachen.

Ebenso hatte ein User versucht, einen Angriff gegen den Kalender zu fahren!
Erfolglos.
Der User ist entsprechend gebannt worden! Der Eintrag dieses Logs bleibt unter Verschluß.

Dazu ein dringender Sicherheitshinweis an alle CalPro-Benutzer:
Martin von http://www.snailsource.com erstellt gerade ein Update des Kalenders, der diese Angriffe protokolliert und eine Email an den Admin und Websnail schickt, damit der Urheber dingfest gemacht werden kann.
Es ist dringend jedem anzuraten, schnellstmöglich den Kalender zu aktualisieren, sobald das Update vorhanden ist, da hier massive Angriffe gefahren werden!

Nötige Änderungen an den betreffenden Dateien des CBack CrackerTracker 1.0.3!:

Code: Alles auswählen

#
#-----[ OPEN ]-----
#
Die gewünschte Datei

#
#-----[ FIND ]-----
#
  $checkworm4 = str_replace("rush=", "*", "$checkworm3");

if ($cbackcracktrack == $checkworm4)
  {

#
#-----[ REPLACE WITH ]-----
#
  $checkworm4 = str_replace("rush=", "*", "$checkworm3");
  $checkworm5 = str_replace("UNION", "*", "$checkworm4");

if ($cbackcracktrack == $checkworm5)
  {


#
#-----[ SAVE/CLOSE ALL FILES ]-----
#
# EoM
Es wird dringend empfohlen, den neuesten ctrack xtreme zu installieren. Download hier in der Kategorie Security Updates im Download-Bereich verfügbar.

Und der Schutz per .htaccess:

Code: Alles auswählen

# prevent access from santy webworm a-e
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
ersetzen mit

Code: Alles auswählen

# prevent access from santy webworm a-e
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)union(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)UNION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
Wichtig dabei die Unterscheidung zwischen Groß- und Kleinschreibung!
Manche Server-Konfiguration unterscheidet hier.
Zuletzt geändert von oxpus am Mo 11.Apr, 2005 12:18, insgesamt 8-mal geändert.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Stoebi
User
User
Beiträge: 468
Registriert: Do 24.Feb, 2005 16:35
Wohnort: Berlin
Kontaktdaten:

Beitrag von Stoebi » Fr 08.Apr, 2005 12:03

Hi,

ich hab in diversen Ordnern von phpbb2 Plus 1.52 .htaccess Dateien.
Müssen die alle angepasst werden, oder reicht die .htaccess Datei im Forum root Ordner?

Wie stelle ich denn fest, ob die Einträge in der .htaccess Datei auch wirken?


Gruß Stöbi

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Fr 08.Apr, 2005 12:11

Wenn die Attacken laufen und ein "UNION UPDATE phpbb_users" im Log auftaucht, Dein Passwort aber noch das Alte ist, schützt der .htaccess-Eintrag wirkungsvoll.

Und Du musst auch nur die Datei im Forum-Root anpassen.
Zuletzt geändert von oxpus am Fr 08.Apr, 2005 12:11, insgesamt 1-mal geändert.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
AmigaLink
Moderator
Moderator
Beiträge: 6211
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink » Fr 08.Apr, 2005 12:15

Na da hab ich ja jetzt wieder was zu tun. :mad:
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]

schmidtedv
User
User
Beiträge: 607
Registriert: So 13.Feb, 2005 10:46
Wohnort: St. Blasien (seit 01.06)
Kontaktdaten:

Beitrag von schmidtedv » Fr 08.Apr, 2005 18:04

Wenn ich ne .htaccess mit diesem Inhalt ins root einschiebe krieg ich ne Sperrung durch Apache, also komm nimmer drauf...normal?

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Fr 08.Apr, 2005 18:43

Nein, daß ist nicht normal.
Du darfst die .htaccess nur in Deinen Forum-Root einstellen.
Wenn das zu Fehlern führt, lässt Dein Hoster .htaccess-Controls nicht zu.

BTW: Ich habe gerade 2 Einträge aus dem Log-File des Cracker Trackers entfernt. O.g. Änderungen funktionieren also tadellos!
Zuletzt geändert von oxpus am Fr 08.Apr, 2005 18:45, insgesamt 1-mal geändert.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Stoebi
User
User
Beiträge: 468
Registriert: Do 24.Feb, 2005 16:35
Wohnort: Berlin
Kontaktdaten:

Beitrag von Stoebi » Fr 08.Apr, 2005 19:09

[quote="oxpus - Fr 08.Apr, 2005 19:43";p="28008"]Nein, daß ist nicht normal.
Du darfst die .htaccess nur in Deinen Forum-Root einstellen.
Wenn das zu Fehlern führt, lässt Dein Hoster .htaccess-Controls nicht zu.

BTW: Ich habe gerade 2 Einträge aus dem Log-File des Cracker Trackers entfernt. O.g. Änderungen funktionieren also tadellos![/quote]


Bei mir wird soweit die .htaccess akzeptiert.

Nur wenn ich "RewriteEngine On" zu stehen habe, habe ich keinen Zugriff mehr, ansonsten soweit okay.

Der Eintrag "DirectoryIndex index.html index.htm portal.php index.php" und deine oben aufgeführte Einträge machen dagegen keine Probs.

Ist "RewriteEngine On" wichtig?

Gruß Stöbi

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Fr 08.Apr, 2005 19:11

Welchen Webserver hast Du denn?
Apache 2 muss noch diesen Eintrag schlucken:

Code: Alles auswählen

<files archive>
  ForceType application/x-httpd-php
  AcceptPathInfo On
</files>
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Stoebi
User
User
Beiträge: 468
Registriert: Do 24.Feb, 2005 16:35
Wohnort: Berlin
Kontaktdaten:

Beitrag von Stoebi » Fr 08.Apr, 2005 19:27

[quote="oxpus - Fr 08.Apr, 2005 20:11";p="28012"]Welchen Webserver hast Du denn?
Apache 2 muss noch diesen Eintrag schlucken:

Code: Alles auswählen

<files archive>
  ForceType application/x-httpd-php
  AcceptPathInfo On
</files>
[/quote]

Wird gehostet bei www.shellplanet.de in Berlin: Apache/1.3.31 (Debian GNU/Linux) mod_python/2.7.10 Python/2.3.4 PHP/4.3.9-1 mod_perl/1.29


Edit:
Ich hab den Provider mal angehauen. Lokal hier braucht ich nur LoadModule rewrite_module modules/mod_rewrite.so auskommentieren.
Zuletzt geändert von Stoebi am Fr 08.Apr, 2005 19:40, insgesamt 1-mal geändert.

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Fr 08.Apr, 2005 19:50

Ja, frag ihn mal, was da schief läuft.
Ansonsten arbeitet der CrackerTracker von Cback ja bereits ebenfalls hervorragend.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Stoebi
User
User
Beiträge: 468
Registriert: Do 24.Feb, 2005 16:35
Wohnort: Berlin
Kontaktdaten:

Beitrag von Stoebi » Fr 08.Apr, 2005 19:59

[quote="oxpus - Fr 08.Apr, 2005 20:50";p="28016"]Ja, frag ihn mal, was da schief läuft.
Ansonsten arbeitet der CrackerTracker von Cback ja bereits ebenfalls hervorragend.[/quote]

Noch hab ich nichts in der Richtung erlebt, aber man will ja auf Nummer Sicher gehen.

Was ich nicht verstehe laut phpinfo()
Loaded Modules mod_python, mod_php4, mod_perl, mod_setenvif, mod_expires, mod_auth, mod_access, mod_rewrite, mod_alias, mod_userdir, mod_cgi, mod_dir, mod_autoindex, mod_status, mod_negotiation, mod_mime, mod_mime_magic, mod_log_config, mod_macro, mod_so, http_core

mod_rewrite ist geladen.... *grummel


Gruß Stöbi

Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 14:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback » Sa 09.Apr, 2005 09:08

Ist das Problem nur Calender Pro oder auch Calendar Lite? Weil oben in Deinem Log werden ja nur die Kalenderdateien angegriffen. Und auch hier muss ich an dieser stelle dann noch eine Warnmeldung rausgeben:

VORSICHT: CrackerTracker ist standardmäßig nicht in die Dateien des Kalenders integriert. Es wird dringend empfohlen dann noch die fast_mod_install.php durchzuführen oder noch besser den Code des Cracker Trackers (is ja easy, immer vor und nach der php Datei) auch in die Dateien des Kalenders einzubauen oder noch besser in alle Dateien des Forum roots!

Ich hab gestern den ganzen Tag mein PC räumchen geputzt aber ich werd dann heute ne CTrackerXtremeEdition rausbringen. Neuer Wurm ich erkläre Dir damit den Krieg. :p :D
Zuletzt geändert von cback am Sa 09.Apr, 2005 09:09, insgesamt 1-mal geändert.

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Sa 09.Apr, 2005 09:10

Bislang nur der Kalendar pro.
Aber so kenne ich Dich: Immer in Action ;)
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
Susan
User
User
Beiträge: 547
Registriert: Mo 03.Jan, 2005 22:55
Wohnort: Hamburg

Beitrag von Susan » Sa 09.Apr, 2005 09:19

hi,

Welche MODS sollte man installieren wenn man das Forum vor Angriffen schützen möchten. Reicht dieser Cracker Tracker?

Warum müßen Leute immer solche Sachen machen *nieverstehenwerd*

Danke für die Info
gruß Susan

Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 14:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback » Sa 09.Apr, 2005 09:35

Welche MODS sollte man installieren wenn man das Forum vor Angriffen schützen möchten. Reicht dieser Cracker Tracker?
Der reicht ja, allerdings solltest Du auch Deine phpBB Version auf dem Stand der Version 2.0.13 haben! Aber mit dem CrackerTracker einbauen warte noch bis heute Nachmittag oder so dann kommt grad die neue Version und dann musst Du nicht nochmal updaten ;)


EDIT:
ich hab schon das Linux Administrationshandbuch in der Hand (alle Bash Befehle rausfinden die noch eine attack ausführen könnten :D) :P Jetzt isses aus ;)
Zuletzt geändert von cback am Sa 09.Apr, 2005 09:49, insgesamt 2-mal geändert.

Benutzeravatar
Bootenks
Developer
Developer
Beiträge: 2034
Registriert: Sa 29.Mai, 2004 22:36
Wohnort: G?rlitz (?stlichste Stadt Deutschlands)
Kontaktdaten:

Beitrag von Bootenks » Sa 09.Apr, 2005 10:05

echt der Kram wird nur über die Bash geführt?? was ist mit ssh oder ksh?? O.o

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Sa 09.Apr, 2005 10:23

@Bootenks
Die Bash als Synonym für die Eingabekonsole ;)

@CBack
Ja, mach sie fertig ;)

Und wenn Du schon dabei bist, wäre eine Verwaltung der möglichen Abgriffsziele per ACP schon super. Also die Verwaltung der Prüfkriterien gespeichert in einer externen Datei, nicht in der Datenbank! Diese kan man ja (bei geschicktem Aufbau) einfach per include() einbinden. Als Beispiel dient hier der Cache für den Last Visit Mod...
Somit müsste man bei potenziellen neuen Kriterien nur einen Eintrag hinzunehmen und voilà: Schutz wieder perfekt.
Auch, wenn das Board nicht benutzbar wäre, könnte man die Datei per FTP-Client editieren und so Kriterien hinzufügen.
Das wollte ich auch schon immer mal machen. Jetzt ist für Dich die beste Gelegenheit dazu, wenn Du den Mod schon grundlegend überarbeitest ;)
Dann natürlich die Prüfung in jeder Root-Datei eingebunden und der Wurm kann kommen *hrrhrr*
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
Susan
User
User
Beiträge: 547
Registriert: Mo 03.Jan, 2005 22:55
Wohnort: Hamburg

Beitrag von Susan » Sa 09.Apr, 2005 10:27

ok, hab das mal aufm Testboard installiert, update muß nun sein ;). Wie kann man verhindern das die ctrack.txt aufgerufen und angezeigt wird, da ja sonst jeder das Logfile einsehen kann?

Benutzeravatar
Bootenks
Developer
Developer
Beiträge: 2034
Registriert: Sa 29.Mai, 2004 22:36
Wohnort: G?rlitz (?stlichste Stadt Deutschlands)
Kontaktdaten:

Beitrag von Bootenks » Sa 09.Apr, 2005 10:31

Lol aso als Synonym... *rot werd* Lol das kannte ich noch nicht... ;_;

Dachte Bash war nur ne andere Shell neben ksh, ssh und csh. ^^"

Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 14:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback » Sa 09.Apr, 2005 10:47

@Oxpus:

Ich habe nun ein Array verwendet und damit erzielt, dass auch bei einfachem Einbauen in dei common.php die ja überall eingebunden wird ebenfalls absoluter Schutz erzielt werden kann. Dort kann man dann auch die Begriffe überarbeiten aber der Filter ist mittlerweile extrem geworden :D

Außerdem versuche ich mich gerade an einem "Injection Detection" System welches erkennen soll, ob z.B durch eine Attacke per FTP (wenn z.B Dein Server ein Leck hat) Dateien im Hauptforum verändert wurden, das sollte er dann (wenn alles klappt) anzeigen und warnen so "Hallo Oxpus, in {Dateiname} wurde etwas verändert. Schau da mal nach da is was faul" :D


EDIT:

Die Analyse des neuen Schutzsystems:

'chr(', 'wget', 'cmd=', 'rush=', 'union', 'UNION(', 'echr(', 'esystem(', 'cp%20', 'mdir%20', 'mcd%20', 'mrd%20', 'rm%20', 'mv%20', 'rmdir%20', 'chmod(', 'chmod%20', 'chown%20', 'chgrp%20', 'locate%20', 'grep%20', 'diff%20', 'kill%20', 'kill(', 'killall', 'passwd%20', 'telnet%20', 'vi(', 'vi%20', 'INSERT%20INTO', 'SELECT%20'


das nenn ich Pentagon :D
Zuletzt geändert von cback am Sa 09.Apr, 2005 10:56, insgesamt 2-mal geändert.

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Sa 09.Apr, 2005 11:03

"UNION" auch ohne Klammer sowie

'%20UNION'
'UNION%20'
'%20UNION%20'

Kommt alles vor.
Aber "union" und "UNION" alleine würde reichen ;)
Also nur die Klammer weg :cool:

Hm und nur in der common.php...
Reicht das wirklich :confused:
Ich wage das zu bezweifeln...
Aber Du machst das schon :D
Zuletzt geändert von oxpus am Sa 09.Apr, 2005 11:05, insgesamt 2-mal geändert.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Stoebi
User
User
Beiträge: 468
Registriert: Do 24.Feb, 2005 16:35
Wohnort: Berlin
Kontaktdaten:

Beitrag von Stoebi » Sa 09.Apr, 2005 11:28

[quote="cback - Sa 09.Apr, 2005 10:08";p="28048"]VORSICHT: CrackerTracker ist standardmäßig nicht in die Dateien des Kalenders integriert. Es wird dringend empfohlen dann noch die fast_mod_install.php durchzuführen oder noch besser den Code des Cracker Trackers (is ja easy, immer vor und nach der php Datei) auch in die Dateien des Kalenders einzubauen oder noch besser in alle Dateien des Forum roots![/quote]


Hab ich gemacht:

Ich habe zuerst diesen Code nach Anweisung fast_mod_install.php in die Datei common.php
eingefügt:

Code: Alles auswählen

f ( !defined('IN_PHPBB') )
{
	die("Hacking attempt");
}
//
// CBACK CrackerTracker
// Worm Protection System
//
  $cbackcracktrack = $_SERVER['QUERY_STRING'];
  // Checking for already known Worm Attacks
  $checkworm1 = str_replace("chr(", "*", "$cbackcracktrack");
  $checkworm2 = str_replace("wget", "*", "$checkworm1");
  $checkworm3 = str_replace("cmd=", "*", "$checkworm2");
  $checkworm4 = str_replace("rush=", "*", "$checkworm3");

if ($cbackcracktrack != $checkworm4)
  {
    $cremotead = $_SERVER['REMOTE_ADDR'];
    $cuseragent = $_SERVER['HTTP_USER_AGENT'];
    $cstampdate = date(dmy);
    $cstamptime = time();
    $ctrackerlog = "$cstamptime,$cstampdate,$cremotead,$cbackcracktrack,$cuseragent";
    $clog = fopen($phpbb_root_path . 'ctrack.txt', 'a');
    fwrite($clog,$ctrackerlog."\n");
    fclose($clog);
    
    die( "Du Wurm! <br /><br /><b>Dieser Angriff wurde geloggt:</b><br />$ctrackerlog" );
  }
//
// Worms armageddon ;)
//

Hab mit Browser lokale Kopie von phpbb2 1.52 und auf dem Server gecheckt. Läuft alles einwandfrei.

Dann habe ich die Zeilen:

Code: Alles auswählen

$checkworm4 = str_replace("rush=", "*", "$checkworm3");
if ($cbackcracktrack != $checkworm4)
durch

Code: Alles auswählen

$checkworm4 = str_replace("rush=", "*", "$checkworm3");
$checkworm5 = str_replace("UNION", "*", "$checkworm4"); 
if ($cbackcracktrack == $checkworm5)
ersetzt

So siehts im Ganzen aus (überschaubarer):

Code: Alles auswählen

if ( !defined('IN_PHPBB') )
{
	die("Hacking attempt");
}
//
// CBACK CrackerTracker
// Worm Protection System
//
  $cbackcracktrack = $_SERVER['QUERY_STRING'];
  // Checking for already known Worm Attacks
  $checkworm1 = str_replace("chr(", "*", "$cbackcracktrack");
  $checkworm2 = str_replace("wget", "*", "$checkworm1");
  $checkworm3 = str_replace("cmd=", "*", "$checkworm2");
  $checkworm4 = str_replace("rush=", "*", "$checkworm3");
  $checkworm5 = str_replace("UNION", "*", "$checkworm4"); 

 if ($cbackcracktrack == $checkworm5)
  {
    $cremotead = $_SERVER['REMOTE_ADDR'];
    $cuseragent = $_SERVER['HTTP_USER_AGENT'];
    $cstampdate = date(dmy);
    $cstamptime = time();
    $ctrackerlog = "$cstamptime,$cstampdate,$cremotead,$cbackcracktrack,$cuseragent";
    $clog = fopen($phpbb_root_path . 'ctrack.txt', 'a');
    fwrite($clog,$ctrackerlog."\n");
    fclose($clog);
    
    die( "Du Wurm! <br /><br /><b>Dieser Angriff wurde geloggt:</b><br />$ctrackerlog" );
  }
//
// Worms armageddon ;)
//

Seitdem werde ich als Wurm erkannt, wenn ich nur die URL eingebe und bestätige.

Ich habe nun die Zeilen wieder aus common.php komplett entfernt.


seltsam


Gruß Stoebi



phpbb2 1.52 ( 2.0.13 )
Zuletzt geändert von Stoebi am Sa 09.Apr, 2005 11:29, insgesamt 1-mal geändert.

Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 14:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback » Sa 09.Apr, 2005 18:09

So aber jetzt musste wieder ändern, ich hab nämlich wieder gebastelt:


CrackerTracker XTreme Edition


http://www.community.cback.de/viewtopic ... 2544#32544


NEUE VERSION


Inclusive InjectionDetection: Ein zusätzlicher Teil im ACP, mit extrapasswort geschützt welcher die wichtigsten Boarddateien auf Integrität prüft: Sobald jemand (z.B weil er über FTP eingedrungen ist) ein Zeichen darin verändert sieht man dort eine Warnung :)

modbo
User
User
Beiträge: 1422
Registriert: Mo 13.Dez, 2004 11:18
Kontaktdaten:

Beitrag von modbo » Sa 09.Apr, 2005 20:13

Momentan bekomme ich bei oxpus.de sporadisch nur eine weisse Seite :eek:

Ich hoffe, dass liegt in deinem eigenen Einflussbereich oxpus und nicht an weiteren Attacken ^5

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Sa 09.Apr, 2005 20:20

[quote="modbo - Sa 09.Apr, 2005 21:13";p="28126"]Momentan bekomme ich bei oxpus.de sporadisch nur eine weisse Seite :eek:

Ich hoffe, dass liegt in deinem eigenen Einflussbereich oxpus und nicht an weiteren Attacken ^5[/quote]

Zum Glück war ich daran schuld ;)
Jetzt ist wieder alles in Butter.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Antworten