Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 17

Thema: Telekom ist per .htaccess gesperrt?!

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Neues Mitglied Avatar von Condor-bs
    Registriert seit
    17.11.2007
    Ort
    Hamburg
    Beiträge
    14

    Frage Telekom ist per .htaccess gesperrt?!

    Hallo,
    ich nutze ein 'CBACK Orion'-Forum. Leider wird auch diese Forensoftware
    immer wieder gern versucht zu hacken...

    Ich mache mir zusätzlich die Arbeit die geloggten Hackversuche mittels
    '.htaccess' zu sperren. Ich versuche dann nicht nur die eine geloggte IP
    zu sperren, sondern, wenn es sich um unsere Freunde aus dem Osten
    (ru, ro, cn u.s.w.) handelt auch den ganzen inetnum, also den ganzen
    IP-Adressbereich.
    Ich ermittle also den Adressbereich wandle die daten (von IP xxx.xxx.xxx.xxx. bis
    xxx.xxx.xxx.xxx) in die CIDR specification um und sperran dann also die ganze
    inetnum des Providers (z.B.: deny from 207.xxx.xxx.0/18)

    Nun hat mich ein Mitglied angeschrieben, er würde nicht mehr auf die
    Forenseite kommen. Fehlermeldung:

    >>
    Forbidden
    You don't have permission to access / on this server
    >>

    Das merkwürdige ist nur, dass er mit T-online online geht und ich nie
    einen deutschen Provider wie oben beschrieben gesperrt habe?!

    Habt Ihr eine Idee, woran das liegen könnte, oder ob die Telekom
    Ressourssen von ausländischen Providern nutzt?

    Vielen Dank im Voraus!
    Gruß, Frank

  2. #2
    Registrierte Benutzer Avatar von actro
    Registriert seit
    14.09.2005
    Ort
    Der Tunnel am Ende des Lichts
    Beiträge
    2.960

    Standard

    Versuch doch mal mod-security und denyhosts oder portsentry dazu in Kombination.

    Eine .htaccess hat nicht nur den Nachteil, auch erwünschte Besucher auszusperren, sondern bremst auch noch die Auslieferung der Seite unanagenehm aus, wenn sie lang wird. Die Serverlast ist dadurch ziemlich hoch.
    Quod non est in litteris, non est in munde.

  3. #3
    Neues Mitglied Avatar von Condor-bs
    Registriert seit
    17.11.2007
    Ort
    Hamburg
    Beiträge
    14

    Standard

    Zitat Zitat von actro Beitrag anzeigen
    Versuch doch mal mod-security und denyhosts oder portsentry dazu in Kombination.

    Eine .htaccess hat nicht nur den Nachteil, auch erwünschte Besucher auszusperren, sondern bremst auch noch die Auslieferung der Seite unanagenehm aus, wenn sie lang wird. Die Serverlast ist dadurch ziemlich hoch.
    Ok, werde mich mal damit beschäftigen.
    Im Moment ist das mit der Serverlast und der Ladezeit noch kein Thema.
    Vielmehr ist es immer noch ein Problem, dass der Telekom-User
    ausgesperrt wird, obwohl ich nie IPs der Telekom gesperrt habe...
    Das einzige was mal war ist glaube ich Keyweb, da habe ich wohl mal
    einen Block gesperrt. Die werden doch aber nichts mit der Telekom
    zu tun haben?!

    Gruß, Frank

  4. #4
    Neues Mitglied Avatar von Condor-bs
    Registriert seit
    17.11.2007
    Ort
    Hamburg
    Beiträge
    14

    Standard

    Zitat Zitat von actro Beitrag anzeigen
    Versuch doch mal mod-security und denyhosts oder portsentry dazu in Kombination.
    Also ich habe das Forum(von cback.de) bei 'all-inkl.com' laufen und habe somit
    keinen eigenen Server...mit 'mod-security', 'denyhosts', 'portsentry' kann ich
    demnach nicht viel anfangen, oder?

    Das mit 'Diarrhea' habe ich für meine Seiten und das Forum
    in Angriff genommen ;-) Aber ist die Erzeugung von 10000 Adressen nicht zu
    viel des Guten? Wie lange mag das den auf so einem Shared-Server dauern?
    Damit könnte man dann wirklich den Server "überlasten", oder?
    Sollte man die Anzahl der Adressen (address.php) nicht etwas dezimieren?

    Außerdem will ich nicht zuviel in den Scripten rumfummeln- das Forum soll
    möglichst zuverlässig funktionieren!

    Gruß, Frank

  5. #5
    Neues Mitglied Avatar von Condor-bs
    Registriert seit
    17.11.2007
    Ort
    Hamburg
    Beiträge
    14

    Standard

    Abschließend möchte ich euch den aktuellen Erfahrungstand mitteilen.
    Ich habe gestern die '.htaccess' mal kompl. gelehrt um zu sehen,
    wie viele Hacker versuchen werden wieder ins Forum zu kommen:
    Es waren in 10 Stunden 8 Angreifer.


    Leider hat das mit dem "projecthoneypot" bisher, trotz der Angriffe
    nicht funktioniert! Ich habe den Link auf der Registrierungsseite.
    Auch "diarrhea" ist nicht angesprungen?! (funktioniert das überhaupt?)

    Ich werde also von vorn beginnen und die '.htaccess' neu aufbauen, so
    dass das Mitglied wieder ins Forum kann (ich habe ihn angeschrieben
    und vermute, dass er nun auch wieder das Forum aufrufen kann)
    Zusätzlich sperre ich noch den User-Agent "^libwww-perl"...
    Gruß, Frank
    Geändert von Condor-bs (21.07.2008 um 10:30 Uhr)

  6. #6
    Forenbarbar Avatar von alariel
    Registriert seit
    02.03.2007
    Ort
    Hennef
    Beiträge
    3.434

    Standard

    Das dürfte davon abhängen, wie hier vorgegangen wird. Wenn das "allgemeine" Robots sind, die nach Möglichkeiten suchen,
    1. Spam zu versenden
    2. Warez, Gamez etc.pp zwischenzulagern
    3. Möchtegern-politische Botschaften unters Volk zu bringen

    (etc.pp.usw.usw.) müssten eigentlich sowohl PH als auch Dia anspringen, weill dann einfach wild jedem Link gefolgt wird und was-auch-immer für Aktionen durchgeführt.
    Das hier sieht mir nach einer gezielten Attacke gegen die Forensoft aus, da wird dann auch keine der Maßnahmen greifen. In meinem Blog wird auch immer die Kommentar-Absendeseite unter Umgehung aller anderen Seiten aufgerufen - nicht, dass das einen Erfolg haben würde

    Allerdings weist dies auch darauf hin, dass die eingesetzte Software - wenigstens in einer früheren Version - anfällig war für diese Art Exploits... sonst gäbe es dafür keine gezielte Attacke (an einen generischen Versuch mag ich hier nicht ganz glauben)

    Ach ja, da findet sich jeweils ein PHP-Script hinter den URLS (ich wills hier net ganz posten, ist sehr umfangreich) mit interessantem Inhalt. Also Botverseuchte Server, die versuchen, Deinen mit ins Netz zu holen. Oder einfach Rootzugriff zu erlangen.

    Kommt jemand das hier bekannt vor?

    Code:
    $accessdeniedmess = "<a href=\"whois:
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]/releases/c999shell\">c999shell v.".$shver."</a>: access denied";
    (latürnich Whoissed)
    Relevante Ports sind:
    Code:
    $bindport_pass = "c999";  // default password for binding
    $bindport_port = "31373"; // default port for binding
    $bc_port = "31373"; // default port for back-connect
    $datapipe_localport = "8081"; // default port for datapipe
    Gruß,
    Ala
    Geändert von alariel (21.07.2008 um 11:01 Uhr) Grund: Port-Abschnitt hinzugefügt
    Klickibunti, zur Dunklen Seite dieser Weg Dich führt!
    Isediatur ignoratia vestra ac stupitiatae causa!
    Barbar - und stolz darauf!! ~***~ Nam et ipsa scientia potestas est!

  7. #7
    Neues Mitglied Avatar von Condor-bs
    Registriert seit
    17.11.2007
    Ort
    Hamburg
    Beiträge
    14

    Standard

    Zitat Zitat von alariel Beitrag anzeigen
    Das dürfte davon abhängen, wie hier vorgegangen wird. Wenn das "allgemeine" Robots sind, die nach Möglichkeiten suchen,
    1. Spam zu versenden
    2. Warez, Gamez etc.pp zwischenzulagern
    3. Möchtegern-politische Botschaften unters Volk zu bringen

    (etc.pp.usw.usw.) müssten eigentlich sowohl PH als auch Dia anspringen, weill dann einfach wild jedem Link gefolgt wird und was-auch-immer für Aktionen durchgeführt.
    Das hier sieht mir nach einer gezielten Attacke gegen die Forensoft aus, da wird dann auch keine der Maßnahmen greifen. In meinem Blog wird auch immer die Kommentar-Absendeseite unter Umgehung aller anderen Seiten aufgerufen - nicht, dass das einen Erfolg haben würde

    Allerdings weist dies auch darauf hin, dass die eingesetzte Software - wenigstens in einer früheren Version - anfällig war für diese Art Exploits... sonst gäbe es dafür keine gezielte Attacke (an einen generischen Versuch mag ich hier nicht ganz glauben)
    Na ja, es basiert auf phpBB und 'CBACK.DE' hat es halt mit einigen meiner
    Meinung nach, recht wirkungsvollen Addons versehen...
    Das einzige was halt sehr selten passiert ist, dass es ein Bot schafft sich
    zu registrieren. Ich habe das so eingestellt, dass ich als Admin ihn erst
    freischalten muss...demnach lösche ich ihn halt gleich wieder.
    Sonst waren bisher alle Angriffe ohne Erfolg(soweit so gut ;-))
    Gruß, Frank

  8. #8
    Forenbarbar Avatar von alariel
    Registriert seit
    02.03.2007
    Ort
    Hennef
    Beiträge
    3.434

    Standard

    Interessante Methode - das mach ich per iptables, allerdings alles ausser Port 80
    Alles andere regle ich per Plugins... Blogtechnisch z.B. Hascash + Akismet. Bisher zu 100% erfolgreich

    Bist Du sicher, dass einer der Adressbereiche sich nicht geändert hat? Im Zweifel frage das Mitglied mal nach einer seiner Einwahl-IPs und schau damit nach...

    Gruß,
    Ala

    P.S.:
    Falls man fies sein möchte stellt man ein paar kleine Fallen auf - siehe [Link nur für registrierte Mitglieder sichtbar. ]
    Hilft zwar nicht _direkt_, aber immerhin
    Geändert von alariel (19.07.2008 um 14:05 Uhr) Grund: PS hinzugefügt
    Klickibunti, zur Dunklen Seite dieser Weg Dich führt!
    Isediatur ignoratia vestra ac stupitiatae causa!
    Barbar - und stolz darauf!! ~***~ Nam et ipsa scientia potestas est!

  9. #9
    Neues Mitglied Avatar von Condor-bs
    Registriert seit
    17.11.2007
    Ort
    Hamburg
    Beiträge
    14

    Standard

    Hallo,
    ja, er hat mir seine derzeitige IP geschickt und es ist wirklich die Telekom!
    Mir fällt gerade ein, dass es schon einmal so einen Vorfall gegeben hat.
    Damals kam ich selber (Arcor) nicht mehr ins Forum.
    Ich hatte dann die ganzen IPs aus der htaccess gelöscht und quasi
    wieder von vorn Spammer-IPs gesammelt und eingetragen...
    Wie das zusammen hängt ist mir ein Rätsel!

    Das Prinzip von 'projecthoneypot' ist mir nicht ganz klar!
    Vermutlich weil mein english nicht mehr so gut ist...
    Es geht ja wohl eher um Statistiken, oder?

    Ich habe mir also einen "Honey Pot" angelegt und diverse Links auf die
    erfolgreich installierte 'cgi-Datei' in diverse Webseiten der angelegten
    Domain gelegt...wohl in der Hoffnung, dass ein Spam-Robot einen dieser
    Links 'anklickt'...? richtig?

    Gruß, Frank
    Geändert von actro (19.07.2008 um 21:28 Uhr) Grund: Fullquote entfernt. Bitte die Forenregeln beachten!

  10. #10
    Forenbarbar Avatar von alariel
    Registriert seit
    02.03.2007
    Ort
    Hennef
    Beiträge
    3.434

    Standard

    Das tun sie auch freudig

    Nun, kurz gesagt bekommt der Robot eine Seite mit "existierenden" Adressen vorgesetzt, die aber einzeln identifizierbar sind. Dadurch kann exakt nachvollzogen werden, welcher Harvester für welchen Spammer arbeitet...

    Des weiteren sind da noch typische Kommentarseiten (diverse Systeme) für den Robot ansprechbar, wo selbiger seinen Müll loswerden darf - und damit ebenfalls in der Datenbank landet.

    Plugins, um diese Daten zu nutzen, gibts da für (Zitat von [Link nur für registrierte Mitglieder sichtbar. ] ):
    • mod_httpbl (ab Apache 2.0)
    • http:BL WordPress Plugin
    • phpBB http:BL Module
    • Drupal http:BL Module
    • Pivot http:BL Module
    • SPIP http:BL Plugin
    • Joomia! http:BL Plugin
    • OddMuse SpamCatching Module (ein WIKI)

    Ich muss dazu sagen, ich nutze das nur zu statistischen Zwecken und um mal nachzuschauen, wer was bei meinen Domains so treibt. Will sagen, ich selbst benutze diese Module nicht, habe nur diverse Traps ausgelegt

    Falls jemand eines der Module nutzt, ich wär' da auch an Erfahrungen interessiert...

    Gruß,
    Ala
    Klickibunti, zur Dunklen Seite dieser Weg Dich führt!
    Isediatur ignoratia vestra ac stupitiatae causa!
    Barbar - und stolz darauf!! ~***~ Nam et ipsa scientia potestas est!

Seite 1 von 2 12 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen