Weiterhin massive Attacken gegen OXPUS.de

Hier die Newsecke (Kein Support!)
Benutzeravatar
tom10
User
User
Beiträge: 1112
Registriert: Sa 29.Jan, 2005 14:58
Kontaktdaten:

Beitrag von tom10 » So 10.Apr, 2005 11:27

So, ich hab mir den CrackerTracker XTreme Edition eben auch mal eingebaut und der funktioniert so weit ich das beurteilen kann auch !

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » So 10.Apr, 2005 13:46

Ist ja auch nicht anders zu erwarten.
Ein Mod, der in dieser Funktionsweise auch in jedes phpBB gehören sollte.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Gichtus
User
User
Beiträge: 191
Registriert: Mi 21.Jan, 2004 23:13
Wohnort: Arnstadt

Beitrag von Gichtus » So 10.Apr, 2005 23:41

'tschuldigung, wenn OT:
Was cback da geschaffen hat, ist wirklich ein Segen für jedes Board.
Meine Hochachtung dafür.

Vielen Dank für Deine Mühen und Hingabe, cback!

Hoffentlich schafft es der CrackerTracker ins offizielle Release *daumendrück*
Bild

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Mo 11.Apr, 2005 07:02

Hoffentlich schafft es der CrackerTracker ins offizielle Release *daumendrück*
Wohl nicht mehr, denn es wird ja nichts mehr angenommen.
Abe ich denke, da sind bereits schon einige Sicherheitsmaßnahmen getroffen worden.
Ob die allerdings so gut sind...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
SethDeBlade
User
User
Beiträge: 750
Registriert: Mo 31.Mai, 2004 01:31
Kontaktdaten:

Beitrag von SethDeBlade » Mo 11.Apr, 2005 08:23

werde heute auch mal die neue version vom tracker installieren. schon mal danke für deine mühe


@oxpus was meinste mit "er wird nichts mehr angenommen"?

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Mo 11.Apr, 2005 09:16

Die phpBB Group erstellt das phpBB 3.x mit den nun festgelegten Funktionen.
Es kommt kein weiterer Mod mehr in die Basis-Version rein.
Das meinste ich damit.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

easygo
User
User
Beiträge: 160
Registriert: Fr 22.Okt, 2004 12:20
Kontaktdaten:

Re: Weiterhin massive Attacken gegen OXPUS.de

Beitrag von easygo » Mi 13.Apr, 2005 15:44

[quote="oxpus - Fr 08.Apr, 2005 10:44";p="27983"]
ersetzen mit

Code: Alles auswählen

# prevent access from santy webworm a-e
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)union(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)UNION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
Wichtig dabei die Unterscheidung zwischen Groß- und Kleinschreibung!
Manche Server-Konfiguration unterscheidet hier.[/quote]

Erstmal Danke für den Hinweis, aber müsste das dann net so geschrieben werden...

Code: Alles auswählen

RewriteCond %{QUERY_STRING} ^(.*)Echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)Esystem(.*) [OR]
Diskutiere nie mit einem Idioten: Erst zieht er dich auf sein
Niveau runter und dort schl?gt er dich mit Erfahrung.

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Mi 13.Apr, 2005 16:32

Nein, da diese Befehle zum Standardrepertoire eines Webservers, bzw. einer Linux-Shell gehören...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

easygo
User
User
Beiträge: 160
Registriert: Fr 22.Okt, 2004 12:20
Kontaktdaten:

Beitrag von easygo » Mi 13.Apr, 2005 17:27

Ging mir weniger um die Befehle als um die korrekte Schreibweise...

Hier der Auszug aus nem Log:
&highlight=%2527%252Esystem(chr(112)%252Echr(101)
Diskutiere nie mit einem Idioten: Erst zieht er dich auf sein
Niveau runter und dort schl?gt er dich mit Erfahrung.

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Do 14.Apr, 2005 05:46

Och bei mir kommen die auch kleingeschrieben an.
Bunt gemischt...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

easygo
User
User
Beiträge: 160
Registriert: Fr 22.Okt, 2004 12:20
Kontaktdaten:

Beitrag von easygo » Do 14.Apr, 2005 10:36

[quote="oxpus - Do 14.Apr, 2005 06:46";p="28597"]Och bei mir kommen die auch kleingeschrieben an.
Bunt gemischt...[/quote]

Ahja, gut zu wissen, aber irgendwie total überflüssig...

Oder findest du in deinen Logs nen Eintrag mit Esystem + Echr

ohne "highlight=%2527" davor? ^2
Diskutiere nie mit einem Idioten: Erst zieht er dich auf sein
Niveau runter und dort schl?gt er dich mit Erfahrung.

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Do 14.Apr, 2005 11:43

Wie gesagt: Bunt gemischt.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

easygo
User
User
Beiträge: 160
Registriert: Fr 22.Okt, 2004 12:20
Kontaktdaten:

Beitrag von easygo » Do 14.Apr, 2005 16:26

[quote="oxpus - Do 14.Apr, 2005 12:43";p="28628"]Wie gesagt: Bunt gemischt.[/quote]

Falls das ein "Ja" war auf meine Frage, dann zeig doch bitte mal
so ein Log-Beispiel mit ohne "highlight=%2527"

Möcht halt gern auf Nummer sicher gehn,
aber überflüssige Filter vermeiden.
Diskutiere nie mit einem Idioten: Erst zieht er dich auf sein
Niveau runter und dort schl?gt er dich mit Erfahrung.

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Do 14.Apr, 2005 16:35

Wenn ich eins auf die Schnelle ohne finde, gerne.
Wie logs sind nämlich immer so verdammt groß...

EDIT
Bislang negativ. Werde aber auch nicht extra danach suchen.
Wenn mir ein Eintrag unterkommt, poste ich den gerne.
Zuletzt geändert von oxpus am Do 14.Apr, 2005 18:44, insgesamt 1-mal geändert.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 14:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback » So 24.Apr, 2005 17:41

UPDATE

Das Komplettpaket wurde ebenfalls auf Version 2.0.1 aktualisiert in meiner Downloadsektion. Alle die den ExtremeEdition 2.0.0 installiert haben können sich mit einem kleinen Update gegen den "Nigga" Worm schützen der ein Loch in der phpBB Styleverwaltung im ACP ausnutzt. Das ACP wird auch vor angriffen geschützt.

Hier das UPdate von 2.0.0 auf 2.0.1:

Code: Alles auswählen

##############################################################
## MOD Title: Update CrackerTracker v2.0.0 to v2.0.1
## MOD Author: CBACK < sonny@cback.de > (Christian Knerr) http://www.community.cback.de
## MOD Description: This updates CrackerTracker Version (2.0.0) to 
##                  the newest V2.0.1 Version (CrackerTracker XTreme 
##                  Edition 2nd Release)
##############################################################
## For Security Purposes, Please Check: http://www.phpbb.com/mods/downloads/ for the
## latest version of this MOD. Downloading this MOD from other sites could cause malicious code
## to enter into your phpBB Forum. As such, phpBB will not offer support for MODs not offered
## in our MOD-Database, located at: http://www.phpbb.com/mods/downloads/
##############################################################
## Before Adding This MOD To Your Forum, You Should Back Up All Files Related To This MOD
##############################################################
#
#-----[ OPEN ]------------------------------------------
#

  common.php


#
#-----[ FIND ]------------------------------------------
#

$wormprotector = array('chr(', 'wget', 'cmd=', 'rush=', 'union', 'UNION', 'echr(', 'esystem(', 'cp%20', 'mdir%20', 'mcd%20', 'mrd%20', 'rm%20', 'mv%20', 'rmdir%20', 'chmod(', 'chmod%20', 'chown%20', 'chgrp%20', 'locate%20', 'grep%20', 'diff%20', 'kill%20', 'kill(', 'killall', 'passwd%20', 'telnet%20', 'vi(', 'vi%20', 'INSERT%20INTO', 'SELECT%20');


#
#-----[ REPLACE WITH ]------------------------------------------
#

$wormprotector = array('chr(', 'wget', 'cmd=', 'rush=', 'union', 'UNION', 'echr(', 'esystem(', 'cp%20', 'mdir%20', 'mcd%20', 'mrd%20', 'rm%20', 'mv%20', 'rmdir%20', 'chmod(', 'chmod%20', 'chown%20', 'chgrp%20', 'locate%20', 'grep%20', 'diff%20', 'kill%20', 'kill(', 'killall', 'passwd%20', 'telnet%20', 'vi(', 'vi%20', 'INSERT%20INTO', 'SELECT%20', 'nigga', 'fopen', 'fwrite', '$_REQUEST', '$_GET');



#
#-----[ FIND ]------------------------------------------
#

$cfilesize = count(file("ctrack.txt"));


#
#-----[ REPLACE WITH ]------------------------------------------
#

$cfilesize = count(file($phpbb_root_path . "ctrack.txt"));



#
#-----[ FIND ]------------------------------------------
#

      if ($cfilesize > 200)  // Maximum entry Number into the Log File
      {
        $clog = fopen("ctrack.txt", "a");


#
#-----[ REPLACE WITH ]------------------------------------------
#

      if ($cfilesize > 200)  // Maximum entry Number into the Log File
      {
        $clog = fopen($phpbb_root_path . "ctrack.txt", "a");


#
#-----[ FIND ]------------------------------------------
#

      else
      {
        $clog = fopen('ctrack.txt', 'a');


#
#-----[ REPLACE WITH ]------------------------------------------
#

      else
      {
        $clog = fopen($phpbb_root_path . 'ctrack.txt', 'a');


#
#-----[ SAVE/CLOSE ALL FILES ]------------------------------------------
#
# EoM
#
# This MOD was created with: CBACK MIRO ModEditor (http://www.community.cback.de)

Stoebi
User
User
Beiträge: 468
Registriert: Do 24.Feb, 2005 16:35
Wohnort: Berlin
Kontaktdaten:

Beitrag von Stoebi » So 24.Apr, 2005 18:03

Hi,

angepasst, vielen Dank :)


Gruß Stöbi

Benutzeravatar
blondi
User
User
Beiträge: 1091
Registriert: Do 30.Sep, 2004 13:36

Beitrag von blondi » So 24.Apr, 2005 18:10

dankeschön :-)) ... schon verbaut :p

Benutzeravatar
tom10
User
User
Beiträge: 1112
Registriert: Sa 29.Jan, 2005 14:58
Kontaktdaten:

Beitrag von tom10 » Do 28.Apr, 2005 16:48

Na toll, und bei mir kommt nun:
Du Wurm!

Dieser Angriff wurde geloggt:
1114703224,280405,84.185.200.199,sid=d0ed73d1d2ceb2e5aedd31d2466d1d39,Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; rv:1.7.7) Gecko/20050414 Firefox/1.0.3
Was ist denn da los ? Bin ich jetzt der Wurm ?

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Do 28.Apr, 2005 17:31

Dann schau mal ins Log, was dort geblockt wurde...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
tom10
User
User
Beiträge: 1112
Registriert: Sa 29.Jan, 2005 14:58
Kontaktdaten:

Beitrag von tom10 » Fr 29.Apr, 2005 17:02

Also da steht :
28.04.2005, 17:49 84.185.200.199 Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 sid=d0ed73d1d2ceb2e5aedd31d2466d1d39
28.04.2005, 17:49 84.185.200.199 Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 pic_id=12
28.04.2005, 17:49 84.185.200.199 Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 pic_id=44
28.04.2005, 17:47 84.185.200.199 Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 sid=d0ed73d1d2ceb2e5aedd31d2466d1d39
28.04.2005, 17:46 84.185.200.199 Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 sid=d0ed73d1d2ceb2e5aedd31d2466d1d39&module=36b7fd0d84583df7d921d07a1b1069aa
28.04.2005, 17:46 84.185.200.199 Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 sid=d0ed73d1d2ceb2e5aedd31d2466d1d39&module=46594bdb006edc1efe55695a989be2cc
28.04.2005, 17:46 207.46.98.44 msnbot/1.0 (+http://search.msn.com/msnbot.htm) f=8&sid=ece377dfac3e18f001a3c67d3ad041ad
Zuletzt geändert von tom10 am Fr 29.Apr, 2005 17:03, insgesamt 1-mal geändert.

Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 14:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback » Fr 29.Apr, 2005 17:46

Logg' Dich mal aus und wieder ein, vermutlich kennt er Dich noch nicht ;)

Benutzeravatar
tom10
User
User
Beiträge: 1112
Registriert: Sa 29.Jan, 2005 14:58
Kontaktdaten:

Beitrag von tom10 » Sa 30.Apr, 2005 05:29

Ich kann mich ja nicht mal ausloggen, da kommt gleich ich sei ein Wurm ?!?!?
Nee, so kann da doch was nicht stimmen ?!? ^1

Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 14:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback » Sa 30.Apr, 2005 08:22

cookies löschen und dann nochmals probieren. Und schau mal ob an Deinem Lesezeichen eine veraltete Session ID hängt, wenn dem so ist und du ja mittlerweile sicher ne neue hast wird das dann als SID Fälschung gewertet.

Wenn dann das Problem weiterhin besteht prüfe nochmal den einbau, speziell in der common.php, ob Du da eventuell ein { übersehen hast oder ein } ;)
Zuletzt geändert von cback am Sa 30.Apr, 2005 08:23, insgesamt 1-mal geändert.

Benutzeravatar
tom10
User
User
Beiträge: 1112
Registriert: Sa 29.Jan, 2005 14:58
Kontaktdaten:

Beitrag von tom10 » So 01.Mai, 2005 08:15

Ich habe die Cookies gelöscht., den Einbau nochmal überprüft. Das Problem bleibt weiterhin bestehen.

Ich hänge mal die Common.php an, womöglich erkennst Du einen Fehler....

Antworten