Logfile des CrackerTracker

[diegoriv]

mein crackertracker spuckt in fast regelmäßigen abständen (jetzt mal abgesehen von dem cback test - danke cback!!) untenstehende meldungen aus. was bedeutet das jetzt konkret?

Code: Alles auswählen

13.05.2005, 12:54	207.46.98.140	348.html	topic=Testtag%20am%20Eisturm%20der%20Oberst%20Klinke%20Hütte&link=http://alpinum.at/topic
07.05.2005, 08:38	207.46.98.141	348.html	topic=Testtag%20am%20Eisturm%20der%20Oberst%20Klinke%20Hütte&link=http://www.alpinum.at/topic
29.04.2005, 16:13	207.46.98.141	348.html	topic=Testtag%20am%20Eisturm%20der%20Oberst%20Klinke%20Hütte&link=http://alpinum.at/topic
23.04.2005, 02:06	207.46.98.140	348.html	topic=Testtag%20am%20Eisturm%20der%20Oberst%20Klinke%20Hütte&link=http://www.alpinum.at/topic
13.04.2005, 16:22	207.46.98.141	348.html	topic=Testtag%20am%20Eisturm%20der%20Oberst%20Klinke%20Hütte&link=http://alpinum.at/topic
13.04.2005, 15:11	195.84.66.6	Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) Opera 7.54 [de] 	/index.php?chr(just_the_cback_test

[oxpus]

Das bedeutet

1. Dein Board wird angegriffen
2. Der Mod funktioniert bei Dir einwandfrei
3. Du brauchst Dir vorerst keine Sorgen machen.

[diegoriv]

ja, bin auch total froh, dass der aufwand sich jetzt lohnt und die bude dicht ist,
aber was mach ich mit der info und warum kommt das alle 6-7 tage einmal?

kann man anhand dieser daten irgendwelche aussagen machen über den angreifer.

[oxpus]

Eher weniger. Meistens werden die IP's auch noch getürkt, so daß die Rückverfolgung schwer fällt.
Du kannst nur den Daten entnehmen, daß der Mod geblockt hat. Erfolgreich.
Diese Daten solltest Du dann auch verwenden, um sie mit den Logfiles des Webservers zu vergleichen.
Also alle dort aufgeführten auffälligen Aufrufe sollten im ctrack xTreme Log auch auftauchen. Wenn nicht, sind die anderweitig abgefangen (.htaccess oder phpBB selber) oder CBack muss seinen Mod wieder anpassen.
Hier gilt aber immer: Im Zweifel nachfragen ist besser, als sein Board in Trümmern leigen zu sehen.

[tom10]

Da häng ich mich gleich mal dran.... was hat die zu bedeuten ?

30.04.2005, 06:28 84.185.218.44 Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 pic_id=90
30.04.2005, 06:28 84.185.218.44 Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 pic_id=50
30.04.2005, 06:28 84.185.218.44 Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 logout=true&sid=b1a5dc1f5c623ea3bcb5fbef801064de
30.04.2005, 06:28 84.185.218.44 Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 pic_id=90
30.04.2005, 06:28 84.185.218.44 Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 pic_id=50
30.04.2005, 06:28 84.185.218.44 Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 logout=true&sid=b1a5dc1f5c623ea3bcb5fbef801064de
30.04.2005, 06:28 84.185.218.44 Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 logout=true&sid=b1a5dc1f5c623ea3bcb5fbef801064de
30.04.2005, 06:27 84.185.218.44 Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 f=16
30.04.2005, 06:27 84.185.218.44 Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; rv:1.7.7) Gecko/20050414 Firefox/1.0.3 pic_id=12

[oxpus]

Das sind normale Aufrufe Deines Boards.
Wenn Du Windows verwendest, dann öffne mal die Eingabeconsole (Start > Ausführen > cmd.exe) und gib dort ipconfig ein.
Die IP-Adresse, die dort aufgeführt ist, ist Deine. Wenn die auch im Log steht, dann hast Du zugegriffen.
Daran kannst Du "legale" Einträge besser finden und somit von den falschen auseinanderhalten.
Dazu sind die "illegalen" Zugriffe meist mit mehreren "Befehlen" hintereinander und Steuerzeichen (also mit "%" beginnend) enthalten. Diese werden in der Regel ja nicht verwendet.

[tom10]

Danke für die Info, das werde ich mir mal anschauen.

[Zaubi]

Lieber Oxpus,

nachdem ich erst dachte, dass es bei mir gar nicht funzeln wird,
weil: Logfile = 0 Einträge, gabs heute eine richtig satte Anzahl.

Ich vermute aber, dass es eigentlich keine Angriffe sind,
denn immer zeitgleich war ein befreundetet User online.
Reagiert der CrackTracker möglicherweise auf irgendwas
im Browser Mozilla 4.0?
Die Einträge sind alle ungefähr identisch, ausser die IP usw.

Hier mal 3 Beispiele von mittlerweile 41:

Code: Alles auswählen

18.06.2005, 12:38 218.214.57.179 Mozilla/4.0  t=135&highlight=%2527%252Esystem(chr(112)%252Echr(101)%252Echr(114)%252Echr(108)%252Echr(32)%252Echr(45)%252Echr(101)%252Echr(32)%252Echr(34)%252Echr(112)%252Echr(114)%252Echr(105)%252Echr(110)%252Echr(116)%252Echr(32)%252Echr(113)%252Echr(40)%252Echr(106)%252Echr(83)%252Echr(86)%252Echr(111)%252Echr(119)%252Echr(77)%252Echr(115)%252Echr(100)%252Echr(41)%252Echr(34))%252E%2527 
18.06.2005, 12:27 168.215.105.62 Mozilla/4.0  t=129&highlight=%2527%252Esystem(chr(112)%252Echr(101)%252Echr(114)%252Echr(108)%252Echr(32)%252Echr(45)%252Echr(101)%252Echr(32)%252Echr(34)%252Echr(112)%252Echr(114)%252Echr(105)%252Echr(110)%252Echr(116)%252Echr(32)%252Echr(113)%252Echr(40)%252Echr(106)%252Echr(83)%252Echr(86)%252Echr(111)%252Echr(119)%252Echr(77)%252Echr(115)%252Echr(100)%252Echr(41)%252Echr(34))%252E%2527 
18.06.2005, 12:23 69.36.4.41 Mozilla/4.0  t=132&highlight=%2527%252Esystem(chr(112)%252Echr(101)%252Echr(114)%252Echr(108)%252Echr(32)%252Echr(45)%252Echr(101)%252Echr(32)%252Echr(34)%252Echr(112)%252Echr(114)%252Echr(105)%252Echr(110)%252Echr(116)%252Echr(32)%252Echr(113)%252Echr(40)%252Echr(106)%252Echr(83)%252Echr(86)%252Echr(111)%252Echr(119)%252Echr(77)%252Echr(115)%252Echr(100)%252Echr(41)%252Echr(34))%252E%2527

winkeee Zaubi

[Twins]

Ist das bei mir noch normal? Nach der Installation des CracherTrackerXtreme, hatte ich jeden Tag 100 Einträge in meiner Logdatei.Aber seit knapp 1 Monat habe ich überhaupt keine Einträge in meinen Logdateien mehr.

[oxpus]

@Zaubi
Das SIND Angriffe. Also erstmal nicht weiter aufregen, die wurden ja abgefangen.

@Twins
Vollkommen normal!

[AmigaLink]

@Twins
Vollkommen normal!

Irgendwann gibt halt jeder (möchtegern)Hacker mal auf.
Auf meinen Boards ist auch schon seit ewgigen Zeiten wieder ruhe.

[Zaubi]

[quote="oxpus - Sa 18.Jun, 2005 13:37";p="35950"]@Zaubi
Das SIND Angriffe. Also erstmal nicht weiter aufregen, die wurden ja abgefangen.[/quote]

Aber hallo, ... schwitz, .... wer weiß, was da vor Installation so los war?
Scheinbar sind es ja gleich mehrere, wenn innerhalb einer Minute
mehrere IPs auftauchen, oder?

Seufz, .... dankeeee Oxpus .... bibbernd ins WE gehe
winkeeee Zaubi

[cback]

Ich kann Dich vielleicht dahingehend beruhigen, dass es im Internet weltweit einige riesen Foren gibt die mit meiner phpBB Distribution Orion laufen in der der CrackerTracker schon vorinstalliert wurde. Zwar dränge ich die User durch eine Uplinkfunktion immer dazu das Board zu aktualisieren, aber dennoch kann ich Dich dahingehend beruhigen, dass von diesen vielen Boards bisher noch keines erfolgreich geknackt wurde, was natürlich auch auf den CTracker zurückzuführen ist. Also keine Panik.

[Zaubi]

Schmunzel, ... ich find deinen CTracker genial cback
und habe schon kräftig die Werbetrommel gerührt.

Sehrberuhigtbin Dankeschön
winkeeee Zaubi

[cback]

[quote="Zaubi - 6.Juni 2005, 14:36";p="35974"]Schmunzel, ... ich find deinen CTracker genial cback
und habe schon kräftig die Werbetrommel gerührt.[/quote]

Danke


Einziger Nachteil is, natürlich sind einige Leutz die gern Schaden anrichten wollen jetzt bissel eingeengt worden, seit dem krieg ich manchmal nette Drohmails oder Mails mit Viren oder es werden Mails irgendwo rumgeschickt die angeblich von meiner Addi kommen (was ja nich der Fall is), aber die Burschen lösen damit nur aus, dass ich im Sommer noch was entwickeln werde was sich gewaschen hat (zum Thema Boardsicherheit) hihi

Eine kleinigkeit davon wird dann sein, dass die Cracker die versuchen meine Seite zu knacken (logischerweise, wär ja dann sowas wie ein Wettbewerb für die) automatisch erkannt werden. Wenn sie neue Angriffsmethoden entwickeln, dann wird mein Server das feststellen und passt automatisch die Detection Engines von allen CrackerTrackern in allen Boards die den MOD einsetzen automatisch an. Also die automatisierte Variante des Orion Uplinks wird auch in diesem MOD ein zuhause finden und funktioniert dann so ähnlich wie ne Updatefunktion eines Virenscanners.

[Zaubi]

[quote="cback - Sa 18.Jun, 2005 14:48";p="35978"]..... aber die Burschen lösen damit nur aus, dass ich im Sommer noch was entwickeln werde was sich gewaschen hat (zum Thema Boardsicherheit) hihi [/quote]

Na da darf man sich ja schon freuen

Nochmal zu den Logfiles.
Ich hatte inzwischen Kontakt zu meinem Freund, der, wie ich vermutete,
die Logflut auslöste. Er ist wirklich mit Mozilla 1.0.4 unterwegs.
War heute, seit Inst. des CrackerTracker das erste Mal wieder bei mir.

Nun sind es also keine bewußten Angriffe und jeder Mozilla-Nutzer
wird also gelistet werden? Ist das schon bekannt?

winkeeee Zaubi

[Twins]

Das hört sich ja spitze an, cback.Seit den CracherTracker kann ich nachts wieder besser schlafen, weil ich weiß, das mein Forum dann sicherer ist.Weißt du denn schon, wann es ein Update des CrackerTracker gibt, cback? Nur mal so eine Frage.
@oxpus:Ja, das dachte ich mir,.wenn ich an meine URL ?union oder ?nigga dranhänge, tut der CracherTrackert ja seine Arbeit, danke.

[cback]

@Zaubi:

Genauso wie die meisten IP Adressen der Angreifer wird auch der Browsername gefälscht. Die Angreifer waren sicherlich nicht mit Mozilla unterwegs, doch die Browser Identifikation kann man auch verändern. Ich könnte z.B durch eine kleine Codeveränderung einrichten, dass bei Oxpus z.B als mein Browser "CBACK Browser" dasteht oder sowas in der Art. Diese Infos können leicht verändert werden und die Wurmautoren stützen sich auf Mozilla, da diese Browser in Online Statistiken oder so nicht so auffallen wie "Pearl Skript Anwendung".


@Twinstantin:

Wenn er fertig ist wird er veröffentlicht, ja.

[Zaubi]

ahaaaa, oki @cback, .... man lernt eben nie aus schmunzel
Auch nicht in meinem hohen Alter, ... hahahaaaa

Auf die neue Version des CTrackers kann man wirklich sehr gespannt sein.
Einfach genial, .... aber lass dich nicht drängeln schmunzel

winkeeee Zaubi

[cback]

Keine Sorge ich lass mich schon nicht drängen. Es brennt ja auch nicht, die aktuelle Version ist ja immer noch absolut sicher, ich werd mit der neuen Version nur anderen eventualitäten vorbeugen.

Ansonsten haben erst mal die Projekte vorrang bei denen ich noch was verdiene, ich bin jung und brauche das Geld *gg* Aber er wird circa im Sommer weiterentwickelt werden, das steht 100%ig fest.


EDIT:

Vielleicht schon mal einen Screenshot von der ACP Statistikbox der aktuellen Alpha Version die allerdings nur bei mir läuft aufm Lokalen Testboard da noch einige Lücken... Am Layout bastel ich vielleicht auch noch bisschen aber ich denk mal die Statistikbox ist so auch im fertigen zu sehen.

Momentan hat die Erkennungs-KI für Angreifer nochn bisschen ein Problem mit der Unterscheidung: "Wann is Highlighting, und wann is Angriff". Da muss ich ihr noch was beibringen.


Auf Anhang klicken für Vollansicht

[oxpus]

Gewohnt hohe Qualität und das vom ersten Bit an.
Ich warte schon gespannt auf die dann noch genialere Lösung!

@Cback *wiedereinmal*

[cback]

Dankeschön.

Aber die Entwicklung dauert sicher noch ein bisschen, wie gesagt die Erkennungsengines haben zur Zeit einige Kinderkrankheiten. Es wird an der Struktur sicher noch ein paar Änderungen geben. Naja wenigstens das AutoUpdate funktioniert schon mal.

[oxpus]

Nur die Ruhe. Kennst mich. Ich würde Dich nie hetzen. Und Du überrascht mich immer wieder mit Deiner Geschwindigkeit

[blondi]

sonny du bist echt der hammer... wird bestimmt, richtig gut das teil :-))

[oxpus]

... darauf kannst Du Dich verlassen!