Weiterhin massive Attacken gegen OXPUS.de

Hier die Newsecke (Kein Support!)
Benutzeravatar
tom10
Beiträge: 1106
Registriert: Sa 29.Jan, 2005 14:58
Kontaktdaten:

Beitrag von tom10 »

So, ich hab mir den CrackerTracker XTreme Edition eben auch mal eingebaut und der funktioniert so weit ich das beurteilen kann auch !
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Ist ja auch nicht anders zu erwarten.
Ein Mod, der in dieser Funktionsweise auch in jedes phpBB gehören sollte.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Gichtus
Beiträge: 107
Registriert: Mi 21.Jan, 2004 23:13
Wohnort: Arnstadt

Beitrag von Gichtus »

'tschuldigung, wenn OT:
Was cback da geschaffen hat, ist wirklich ein Segen für jedes Board.
Meine Hochachtung dafür.

Vielen Dank für Deine Mühen und Hingabe, cback!

Hoffentlich schafft es der CrackerTracker ins offizielle Release *daumendrück*
Bild
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Hoffentlich schafft es der CrackerTracker ins offizielle Release *daumendrück*
Wohl nicht mehr, denn es wird ja nichts mehr angenommen.
Abe ich denke, da sind bereits schon einige Sicherheitsmaßnahmen getroffen worden.
Ob die allerdings so gut sind...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
SethDeBlade
Beiträge: 708
Registriert: Mo 31.Mai, 2004 02:31
Kontaktdaten:

Beitrag von SethDeBlade »

werde heute auch mal die neue version vom tracker installieren. schon mal danke für deine mühe


@oxpus was meinste mit "er wird nichts mehr angenommen"?
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Die phpBB Group erstellt das phpBB 3.x mit den nun festgelegten Funktionen.
Es kommt kein weiterer Mod mehr in die Basis-Version rein.
Das meinste ich damit.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
easygo
Beiträge: 155
Registriert: Fr 22.Okt, 2004 13:20
Kontaktdaten:

Re: Weiterhin massive Attacken gegen OXPUS.de

Beitrag von easygo »

[quote="oxpus - Fr 08.Apr, 2005 10:44";p="27983"]
ersetzen mit

Code: Alles auswählen

# prevent access from santy webworm a-e
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)union(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)UNION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
Wichtig dabei die Unterscheidung zwischen Groß- und Kleinschreibung!
Manche Server-Konfiguration unterscheidet hier.[/quote]

Erstmal Danke für den Hinweis, aber müsste das dann net so geschrieben werden...

Code: Alles auswählen

RewriteCond %{QUERY_STRING} ^(.*)Echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)Esystem(.*) [OR]
Diskutiere nie mit einem Idioten: Erst zieht er dich auf sein
Niveau runter und dort schl?gt er dich mit Erfahrung.
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Nein, da diese Befehle zum Standardrepertoire eines Webservers, bzw. einer Linux-Shell gehören...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
easygo
Beiträge: 155
Registriert: Fr 22.Okt, 2004 13:20
Kontaktdaten:

Beitrag von easygo »

Ging mir weniger um die Befehle als um die korrekte Schreibweise...

Hier der Auszug aus nem Log:
&highlight=%2527%252Esystem(chr(112)%252Echr(101)
Diskutiere nie mit einem Idioten: Erst zieht er dich auf sein
Niveau runter und dort schl?gt er dich mit Erfahrung.
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Och bei mir kommen die auch kleingeschrieben an.
Bunt gemischt...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
easygo
Beiträge: 155
Registriert: Fr 22.Okt, 2004 13:20
Kontaktdaten:

Beitrag von easygo »

[quote="oxpus - Do 14.Apr, 2005 06:46";p="28597"]Och bei mir kommen die auch kleingeschrieben an.
Bunt gemischt...[/quote]

Ahja, gut zu wissen, aber irgendwie total überflüssig...

Oder findest du in deinen Logs nen Eintrag mit Esystem + Echr

ohne "highlight=%2527" davor? ^2
Diskutiere nie mit einem Idioten: Erst zieht er dich auf sein
Niveau runter und dort schl?gt er dich mit Erfahrung.
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Wie gesagt: Bunt gemischt.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
easygo
Beiträge: 155
Registriert: Fr 22.Okt, 2004 13:20
Kontaktdaten:

Beitrag von easygo »

[quote="oxpus - Do 14.Apr, 2005 12:43";p="28628"]Wie gesagt: Bunt gemischt.[/quote]

Falls das ein "Ja" war auf meine Frage, dann zeig doch bitte mal
so ein Log-Beispiel mit ohne "highlight=%2527"

Möcht halt gern auf Nummer sicher gehn,
aber überflüssige Filter vermeiden.
Diskutiere nie mit einem Idioten: Erst zieht er dich auf sein
Niveau runter und dort schl?gt er dich mit Erfahrung.
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Wenn ich eins auf die Schnelle ohne finde, gerne.
Wie logs sind nämlich immer so verdammt groß...

EDIT
Bislang negativ. Werde aber auch nicht extra danach suchen.
Wenn mir ein Eintrag unterkommt, poste ich den gerne.
Zuletzt geändert von oxpus am Do 14.Apr, 2005 19:44, insgesamt 1-mal geändert.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
cback
Beiträge: 1391
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

UPDATE

Das Komplettpaket wurde ebenfalls auf Version 2.0.1 aktualisiert in meiner Downloadsektion. Alle die den ExtremeEdition 2.0.0 installiert haben können sich mit einem kleinen Update gegen den "Nigga" Worm schützen der ein Loch in der phpBB Styleverwaltung im ACP ausnutzt. Das ACP wird auch vor angriffen geschützt.

Hier das UPdate von 2.0.0 auf 2.0.1:

Code: Alles auswählen

##############################################################
## MOD Title: Update CrackerTracker v2.0.0 to v2.0.1
## MOD Author: CBACK < sonny@cback.de > (Christian Knerr) http://www.community.cback.de
## MOD Description: This updates CrackerTracker Version (2.0.0) to 
##                  the newest V2.0.1 Version (CrackerTracker XTreme 
##                  Edition 2nd Release)
##############################################################
## For Security Purposes, Please Check: http://www.phpbb.com/mods/downloads/ for the
## latest version of this MOD. Downloading this MOD from other sites could cause malicious code
## to enter into your phpBB Forum. As such, phpBB will not offer support for MODs not offered
## in our MOD-Database, located at: http://www.phpbb.com/mods/downloads/
##############################################################
## Before Adding This MOD To Your Forum, You Should Back Up All Files Related To This MOD
##############################################################
#
#-----[ OPEN ]------------------------------------------
#

  common.php


#
#-----[ FIND ]------------------------------------------
#

$wormprotector = array('chr(', 'wget', 'cmd=', 'rush=', 'union', 'UNION', 'echr(', 'esystem(', 'cp%20', 'mdir%20', 'mcd%20', 'mrd%20', 'rm%20', 'mv%20', 'rmdir%20', 'chmod(', 'chmod%20', 'chown%20', 'chgrp%20', 'locate%20', 'grep%20', 'diff%20', 'kill%20', 'kill(', 'killall', 'passwd%20', 'telnet%20', 'vi(', 'vi%20', 'INSERT%20INTO', 'SELECT%20');


#
#-----[ REPLACE WITH ]------------------------------------------
#

$wormprotector = array('chr(', 'wget', 'cmd=', 'rush=', 'union', 'UNION', 'echr(', 'esystem(', 'cp%20', 'mdir%20', 'mcd%20', 'mrd%20', 'rm%20', 'mv%20', 'rmdir%20', 'chmod(', 'chmod%20', 'chown%20', 'chgrp%20', 'locate%20', 'grep%20', 'diff%20', 'kill%20', 'kill(', 'killall', 'passwd%20', 'telnet%20', 'vi(', 'vi%20', 'INSERT%20INTO', 'SELECT%20', 'nigga', 'fopen', 'fwrite', '$_REQUEST', '$_GET');



#
#-----[ FIND ]------------------------------------------
#

$cfilesize = count(file("ctrack.txt"));


#
#-----[ REPLACE WITH ]------------------------------------------
#

$cfilesize = count(file($phpbb_root_path . "ctrack.txt"));



#
#-----[ FIND ]------------------------------------------
#

      if ($cfilesize > 200)  // Maximum entry Number into the Log File
      {
        $clog = fopen("ctrack.txt", "a");


#
#-----[ REPLACE WITH ]------------------------------------------
#

      if ($cfilesize > 200)  // Maximum entry Number into the Log File
      {
        $clog = fopen($phpbb_root_path . "ctrack.txt", "a");


#
#-----[ FIND ]------------------------------------------
#

      else
      {
        $clog = fopen('ctrack.txt', 'a');


#
#-----[ REPLACE WITH ]------------------------------------------
#

      else
      {
        $clog = fopen($phpbb_root_path . 'ctrack.txt', 'a');


#
#-----[ SAVE/CLOSE ALL FILES ]------------------------------------------
#
# EoM
#
# This MOD was created with: CBACK MIRO ModEditor (http://www.community.cback.de)
Stoebi
Beiträge: 447
Registriert: Do 24.Feb, 2005 16:35
Wohnort: Berlin
Kontaktdaten:

Beitrag von Stoebi »

Hi,

angepasst, vielen Dank :)


Gruß Stöbi
Benutzeravatar
blondi
Beiträge: 1091
Registriert: Do 30.Sep, 2004 14:36

Beitrag von blondi »

dankeschön :-)) ... schon verbaut :p
Benutzeravatar
tom10
Beiträge: 1106
Registriert: Sa 29.Jan, 2005 14:58
Kontaktdaten:

Beitrag von tom10 »

Na toll, und bei mir kommt nun:
Du Wurm!

Dieser Angriff wurde geloggt:
1114703224,280405,84.185.200.199,sid=d0ed73d1d2ceb2e5aedd31d2466d1d39,Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; rv:1.7.7) Gecko/20050414 Firefox/1.0.3
Was ist denn da los ? Bin ich jetzt der Wurm ?
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Dann schau mal ins Log, was dort geblockt wurde...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
tom10
Beiträge: 1106
Registriert: Sa 29.Jan, 2005 14:58
Kontaktdaten:

Beitrag von tom10 »

Also da steht :
28.04.2005, 17:49 84.185.200.199 Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 sid=d0ed73d1d2ceb2e5aedd31d2466d1d39
28.04.2005, 17:49 84.185.200.199 Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 pic_id=12
28.04.2005, 17:49 84.185.200.199 Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 pic_id=44
28.04.2005, 17:47 84.185.200.199 Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 sid=d0ed73d1d2ceb2e5aedd31d2466d1d39
28.04.2005, 17:46 84.185.200.199 Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 sid=d0ed73d1d2ceb2e5aedd31d2466d1d39&module=36b7fd0d84583df7d921d07a1b1069aa
28.04.2005, 17:46 84.185.200.199 Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 sid=d0ed73d1d2ceb2e5aedd31d2466d1d39&module=46594bdb006edc1efe55695a989be2cc
28.04.2005, 17:46 207.46.98.44 msnbot/1.0 (+http://search.msn.com/msnbot.htm) f=8&sid=ece377dfac3e18f001a3c67d3ad041ad
Zuletzt geändert von tom10 am Fr 29.Apr, 2005 18:03, insgesamt 1-mal geändert.
Benutzeravatar
cback
Beiträge: 1391
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

Logg' Dich mal aus und wieder ein, vermutlich kennt er Dich noch nicht ;)
Benutzeravatar
tom10
Beiträge: 1106
Registriert: Sa 29.Jan, 2005 14:58
Kontaktdaten:

Beitrag von tom10 »

Ich kann mich ja nicht mal ausloggen, da kommt gleich ich sei ein Wurm ?!?!?
Nee, so kann da doch was nicht stimmen ?!? ^1
Benutzeravatar
cback
Beiträge: 1391
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

cookies löschen und dann nochmals probieren. Und schau mal ob an Deinem Lesezeichen eine veraltete Session ID hängt, wenn dem so ist und du ja mittlerweile sicher ne neue hast wird das dann als SID Fälschung gewertet.

Wenn dann das Problem weiterhin besteht prüfe nochmal den einbau, speziell in der common.php, ob Du da eventuell ein { übersehen hast oder ein } ;)
Zuletzt geändert von cback am Sa 30.Apr, 2005 09:23, insgesamt 1-mal geändert.
Benutzeravatar
tom10
Beiträge: 1106
Registriert: Sa 29.Jan, 2005 14:58
Kontaktdaten:

Beitrag von tom10 »

Ich habe die Cookies gelöscht., den Einbau nochmal überprüft. Das Problem bleibt weiterhin bestehen.

Ich hänge mal die Common.php an, womöglich erkennst Du einen Fehler....
Antworten