OXPUS.de wird bombadiert

Hier die Newsecke (Kein Support!)
Antworten
Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

OXPUS.de wird bombadiert

Beitrag von oxpus » Di 08.Nov, 2005 10:05

Innerhalb der letzten 20 Stunden erfasste der hier installierte Cracker Tracker ca. 6.000 Angriffe gegen das Forum!
Es scheint also wieder eine grössere Welle an Würmern und Crackern unterwegs zu sein, die überall einzudringen versuchen.

Ein (vielfach schon ausgesprochener) Dank an dieser Stelle an CBack, dessen MOD hier ganze Arbeitet leistet und bislang eine unüberwindliche Hürde darstellt.

Dazu auch gleich ein Hinweis:
Sollte aufgrund der Vielzahl an Angriffen OXPUS.de nur schwer oder sehr schleppend erreichbar sein, liegt da lediglich an der Anzahl gleichzeitiger Angriffe, die den Webserver und PHP eine Weile beschäftigen. In der Regel ist der Server selber jedoch stark genug, diese Angriffe auszuhalten, also bitte dann ein paar Minuten warten und erneut versuchen, das Forum aufzurufen.

Dies zur Information.
OXPUS
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
Scotty
User
User
Beiträge: 200
Registriert: Di 12.Jul, 2005 19:19
Wohnort: Neuruppin
Kontaktdaten:

Re: OXPUS.de wird bombadiert

Beitrag von Scotty » Di 08.Nov, 2005 10:44

[quote="oxpus - Di 08.Nov, 2005 10:05";p="47775"]Es scheint also wieder eine grössere Welle an Würmern und Crackern unterwegs zu sein, die überall einzudringen versuchen.[/quote]
Verständnisfrage:

Die suchen doch nur nach vorhandenen und bekanten Lücken? Was soll da dann durch so einen MOD abgewehrt werden wenn diese eh nicht mehr vorhanden sind?
Scotty's Stubentiger-Forum - Miau
Scotty's .NET Projekte: StarTrek Infos 10.01, e-hahn Updater 3.01, Easy Desktop Note 1.04

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Di 08.Nov, 2005 12:21

Es werden noch lange nicht alle Lücken durch das phpBB selber geschlossen, bzw. es existieren ja auch noch MODs, die unsicher sind, aber keinem als solche auffallen.
Der Cracker Tracker fängt aber alle Befehle ab, die einen möglichen Angriff auf eine Sicherheitslücke bedeuten könnten.
Daher: Mit ist dicht, ohne zu vage!
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Titus
User
User
Beiträge: 235
Registriert: Fr 18.Mär, 2005 22:23

Beitrag von Titus » Di 08.Nov, 2005 14:13

[quote="oxpus - Di 08.Nov, 2005 12:21";p="47795"]
Daher: Mit ist dicht, ohne zu vage![/quote]
"daher" verstehe ich, der recht scheint mir holländisch?! :confused: :rolleyes:

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Di 08.Nov, 2005 14:29

Holländisch?
Wenn dann rede ich suaheli rückwärts ;)
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 14:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback » Di 08.Nov, 2005 17:37

Es geht auch, wenn das Board selber sicher ist um den Traffic und die Performance des Servers @Scotty. Alle Attacken die CrackerTracker Blockt hätten eine Datenbankverbindung ungehindert aufgebaut mit "normalem" phpBB Board. Das führt vor allem bei VServern und Webspaces 100% zu einem Absturz und bei RootServern zu hohem Traffic und Problemen mit der Verbindung.

Suche mal nach DoS Attacke bei Wikipedia ;)

Und schau mal, wogegen CTracker noch schützt. Selbst phpBB 2.0.18 ist Such & Register Floodern noch nicht gewachsen. Foren mit CTracker schon.


Und japp:
Es wurden anscheinend soweit ich das auf so ner Russischen Seite mitbekam 2 neue Wurmarten rausgekloppt welche sich anscheinend relativ schnell verbreitet haben (das letzte Update von 2.0.18 zeigte, was in den vorgängerversionen harkte und konnte ausgenutzt werden). Diese Würmer verwenden allerdings (bzw. alle Würmer machen das) wiederum SQL oder UNIX Befehle die sie einschleusen versuchen. Eine weitere Angriffsmethode ist ein in allen Versionen unter PHP 4.4.0 gefundender Bug. Ergo: Viele Server angegriffen, viel Verkehr auf anderen Seiten.

Da ich CrackerTracker mit dynamischen Filtern ausgestattet habe ist allerdings auch diese neue Wurmvariante kein Thema, die definitionsdatei erkentn auch diese und andere Varianten (Heuristik) egal wie die Befehle gekoppelt werden sie sind definitiv als Attacke ausgewertet. :)


.htaccess ist da nicht so flexibel :)
Zuletzt geändert von cback am Di 08.Nov, 2005 17:38, insgesamt 1-mal geändert.

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Di 08.Nov, 2005 18:23

Yepp, und genau deshalb habe ich auch einen ruhigen Schlaf :D
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
Scotty
User
User
Beiträge: 200
Registriert: Di 12.Jul, 2005 19:19
Wohnort: Neuruppin
Kontaktdaten:

Beitrag von Scotty » Di 08.Nov, 2005 18:51

[quote="cback - Di 08.Nov, 2005 17:37";p="47859"]Suche mal nach DoS Attacke bei Wikipedia ;)[/quote]
Ich weiß was das ist, darum ging es mir ja nicht. Ich frag mich halt nur ob sich das lohnt, da jetzt ne stunde lang den MOD einzubauen, ok vielleicht nicht ne stunde, dennoch ist das ja auch nen ziemlich heftiger mod.

Für andere Systeme ist noch keiner auf so eine Idee gekommen, daher auch die grundsätzliche frage nach dem sinn und ob das nicht eher nur ne trügerische Sicherheit ist, in der man sich da wiegt.

Kenn mich mit all dem ja auch nicht wirklich aus. Sorry will deine arbeit ja wirklich nicht schmälern, ich frag ja nur…

Hat der Hoster nicht auch etwas für Sicherheit zu sorgen…?
Scotty's Stubentiger-Forum - Miau
Scotty's .NET Projekte: StarTrek Infos 10.01, e-hahn Updater 3.01, Easy Desktop Note 1.04

Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 14:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback » Di 08.Nov, 2005 19:11

Du ich hab immer auf meinem Root Server die neueste Software drauf. Sicher is dat aber der Traffic. Nichts mit falscher Sicherheit ;)

Wenn ich den CTracker weglasse, hätte ich am Tag circa 1 GB mehr an Datenverkehr wenn ne neue Wurmwelle kommt.

Und heavy Mod ist es nicht, 10 Minuten brauchste um den Einzubauen.

Benutzeravatar
Scotty
User
User
Beiträge: 200
Registriert: Di 12.Jul, 2005 19:19
Wohnort: Neuruppin
Kontaktdaten:

Beitrag von Scotty » Di 08.Nov, 2005 19:24

[quote="cback - Di 08.Nov, 2005 19:11";p="47867"]Wenn ich den CTracker weglasse, hätte ich am Tag circa 1 GB mehr an Datenverkehr wenn ne neue Wurmwelle kommt.[/quote]
Hmm da kann ich nichts zu sagen, da ist bei mir alles im grünen bereich, wenn dann verursacht da bei mir was anderes Traffic.

[quote="cback - Di 08.Nov, 2005 19:11";p="47867"]Und heavy Mod ist es nicht, 10 Minuten brauchste um den Einzubauen.[/quote]
Ich schon, ich überprüfe da immer alles doppelt und dreifach und kommentiere meist noch was extra aus, um denn MOD dann auch sauber entfernen und wieder finden zu können (man weiß ja nie).
Scotty's Stubentiger-Forum - Miau
Scotty's .NET Projekte: StarTrek Infos 10.01, e-hahn Updater 3.01, Easy Desktop Note 1.04

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Di 08.Nov, 2005 19:59

Lass mich raten: Deine Scripts sind 5mal so groß, wie die Original-Files?
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
Scotty
User
User
Beiträge: 200
Registriert: Di 12.Jul, 2005 19:19
Wohnort: Neuruppin
Kontaktdaten:

Beitrag von Scotty » Di 08.Nov, 2005 20:10

[quote="oxpus - Di 08.Nov, 2005 19:59";p="47872"]Lass mich raten: Deine Scripts sind 5mal so groß, wie die Original-Files?[/quote]
Hä? Auf was bezogen, auf das phpBB und die eingebauten MODs?

Ich hab da nicht viel:
http://www.stubentiger-forum.de/ftopic181.html

Das Forum verbraucht im Moment fast gar nichts, das ist ja nur "ein" Projekt, ich mein das hier: http://www.e-hahn.de, das ist meine eigentliche HP…
Zuletzt geändert von Scotty am Di 08.Nov, 2005 20:11, insgesamt 1-mal geändert.
Scotty's Stubentiger-Forum - Miau
Scotty's .NET Projekte: StarTrek Infos 10.01, e-hahn Updater 3.01, Easy Desktop Note 1.04

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Di 08.Nov, 2005 20:26

Ich meinte das ironsich auf Deinen Kommentar:
ch schon, ich überprüfe da immer alles doppelt und dreifach und kommentiere meist noch was extra aus, um denn MOD dann auch sauber entfernen und wieder finden zu können (man weiß ja nie).
;) :D
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Benutzeravatar
Scotty
User
User
Beiträge: 200
Registriert: Di 12.Jul, 2005 19:19
Wohnort: Neuruppin
Kontaktdaten:

Beitrag von Scotty » Di 08.Nov, 2005 22:12

Aha ;)

Ich meinte das mit dem auskommentieren eher bezogen auf die Codeblöcke der MODs:

Code: Alles auswählen

// Start add - WasAuchImmer MOD
Code
// End add - WasAuchImmer MOD
Mehr auch nicht ;)...
Zuletzt geändert von Scotty am Di 08.Nov, 2005 22:13, insgesamt 1-mal geändert.
Scotty's Stubentiger-Forum - Miau
Scotty's .NET Projekte: StarTrek Infos 10.01, e-hahn Updater 3.01, Easy Desktop Note 1.04

Darezettl
User
User
Beiträge: 589
Registriert: So 31.Jul, 2005 22:43

Beitrag von Darezettl » Mi 30.Nov, 2005 10:50

Ich bin genau das Gegenteil.
Ich lasse immer alle Kommentare bei mods weg.

Ich hasse Kommentare.
Die Album.php (Album mit SP1 + Album CH Mod) ist bei mir mit dem ganzen Kommentar Zeugs ca. 35 MB groß, ohne jeglichen Kommentar, mit reinem Code gerade mal 7 kb... ^5

Benutzeravatar
Scotty
User
User
Beiträge: 200
Registriert: Di 12.Jul, 2005 19:19
Wohnort: Neuruppin
Kontaktdaten:

Beitrag von Scotty » Mi 30.Nov, 2005 11:24

Das erschwert aber ganz schön die Fehlersuche. Mir ist das so lieber, es ist ja nicht alles auskommentiert, aber eben bei den einzelnen Blöcken sollte das schon sein.
Scotty's Stubentiger-Forum - Miau
Scotty's .NET Projekte: StarTrek Infos 10.01, e-hahn Updater 3.01, Easy Desktop Note 1.04

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29111
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Mi 30.Nov, 2005 11:41

Die Album.php (Album mit SP1 + Album CH Mod) ist bei mir mit dem ganzen Kommentar Zeugs ca. 35 MB groß, ohne jeglichen Kommentar, mit reinem Code gerade mal 7 kb...
Die album.php will ich sehen!
Ich habe ein Full Modded Album und meine album.php ist inkl. aller Kommentare nur ca. 32 KB groß.
Nicht MB!
Und PHP ist das egal: Schneller wird die Datei nicht, lediglich nachträgliches Suchen wird ohne die Kommentare erschwert.
Im Gegenteil:
Ohne diese Kommentare wären auch einige MODs viel schwerer zu erstellen gewesen ;)
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Antworten