Seite 2 von 2 ErsteErste 12
Ergebnis 11 bis 17 von 17

Thema: Telekom ist per .htaccess gesperrt?!

  1. #11
    Neues Mitglied Avatar von Condor-bs
    Registriert seit
    17.11.2007
    Ort
    Hamburg
    Beiträge
    14

    Standard

    Zitat Zitat von actro Beitrag anzeigen
    Versuch doch mal mod-security und denyhosts oder portsentry dazu in Kombination.
    Also ich habe das Forum(von cback.de) bei 'all-inkl.com' laufen und habe somit
    keinen eigenen Server...mit 'mod-security', 'denyhosts', 'portsentry' kann ich
    demnach nicht viel anfangen, oder?

    Das mit 'Diarrhea' habe ich für meine Seiten und das Forum
    in Angriff genommen ;-) Aber ist die Erzeugung von 10000 Adressen nicht zu
    viel des Guten? Wie lange mag das den auf so einem Shared-Server dauern?
    Damit könnte man dann wirklich den Server "überlasten", oder?
    Sollte man die Anzahl der Adressen (address.php) nicht etwas dezimieren?

    Außerdem will ich nicht zuviel in den Scripten rumfummeln- das Forum soll
    möglichst zuverlässig funktionieren!

    Gruß, Frank

  2. #12
    Neues Mitglied Avatar von Condor-bs
    Registriert seit
    17.11.2007
    Ort
    Hamburg
    Beiträge
    14

    Standard

    Abschließend möchte ich euch den aktuellen Erfahrungstand mitteilen.
    Ich habe gestern die '.htaccess' mal kompl. gelehrt um zu sehen,
    wie viele Hacker versuchen werden wieder ins Forum zu kommen:
    Es waren in 10 Stunden 8 Angreifer.


    Leider hat das mit dem "projecthoneypot" bisher, trotz der Angriffe
    nicht funktioniert! Ich habe den Link auf der Registrierungsseite.
    Auch "diarrhea" ist nicht angesprungen?! (funktioniert das überhaupt?)

    Ich werde also von vorn beginnen und die '.htaccess' neu aufbauen, so
    dass das Mitglied wieder ins Forum kann (ich habe ihn angeschrieben
    und vermute, dass er nun auch wieder das Forum aufrufen kann)
    Zusätzlich sperre ich noch den User-Agent "^libwww-perl"...
    Gruß, Frank
    Geändert von Condor-bs (21.07.2008 um 10:30 Uhr)

  3. #13
    Forenbarbar Avatar von alariel
    Registriert seit
    02.03.2007
    Ort
    Hennef
    Beiträge
    3.434

    Standard

    Das dürfte davon abhängen, wie hier vorgegangen wird. Wenn das "allgemeine" Robots sind, die nach Möglichkeiten suchen,
    1. Spam zu versenden
    2. Warez, Gamez etc.pp zwischenzulagern
    3. Möchtegern-politische Botschaften unters Volk zu bringen

    (etc.pp.usw.usw.) müssten eigentlich sowohl PH als auch Dia anspringen, weill dann einfach wild jedem Link gefolgt wird und was-auch-immer für Aktionen durchgeführt.
    Das hier sieht mir nach einer gezielten Attacke gegen die Forensoft aus, da wird dann auch keine der Maßnahmen greifen. In meinem Blog wird auch immer die Kommentar-Absendeseite unter Umgehung aller anderen Seiten aufgerufen - nicht, dass das einen Erfolg haben würde

    Allerdings weist dies auch darauf hin, dass die eingesetzte Software - wenigstens in einer früheren Version - anfällig war für diese Art Exploits... sonst gäbe es dafür keine gezielte Attacke (an einen generischen Versuch mag ich hier nicht ganz glauben)

    Ach ja, da findet sich jeweils ein PHP-Script hinter den URLS (ich wills hier net ganz posten, ist sehr umfangreich) mit interessantem Inhalt. Also Botverseuchte Server, die versuchen, Deinen mit ins Netz zu holen. Oder einfach Rootzugriff zu erlangen.

    Kommt jemand das hier bekannt vor?

    Code:
    $accessdeniedmess = "<a href=\"whois:http://ccteam.ru/releases/c999shell\">c999shell v.".$shver."</a>: access denied";
    (latürnich Whoissed)
    Relevante Ports sind:
    Code:
    $bindport_pass = "c999";  // default password for binding
    $bindport_port = "31373"; // default port for binding
    $bc_port = "31373"; // default port for back-connect
    $datapipe_localport = "8081"; // default port for datapipe
    Gruß,
    Ala
    Geändert von alariel (21.07.2008 um 11:01 Uhr) Grund: Port-Abschnitt hinzugefügt
    Klickibunti, zur Dunklen Seite dieser Weg Dich führt!
    Isediatur ignoratia vestra ac stupitiatae causa!
    Barbar - und stolz darauf!! ~***~ Nam et ipsa scientia potestas est!

  4. #14
    Neues Mitglied Avatar von Condor-bs
    Registriert seit
    17.11.2007
    Ort
    Hamburg
    Beiträge
    14

    Standard

    Zitat Zitat von alariel Beitrag anzeigen
    Das dürfte davon abhängen, wie hier vorgegangen wird. Wenn das "allgemeine" Robots sind, die nach Möglichkeiten suchen,
    1. Spam zu versenden
    2. Warez, Gamez etc.pp zwischenzulagern
    3. Möchtegern-politische Botschaften unters Volk zu bringen

    (etc.pp.usw.usw.) müssten eigentlich sowohl PH als auch Dia anspringen, weill dann einfach wild jedem Link gefolgt wird und was-auch-immer für Aktionen durchgeführt.
    Das hier sieht mir nach einer gezielten Attacke gegen die Forensoft aus, da wird dann auch keine der Maßnahmen greifen. In meinem Blog wird auch immer die Kommentar-Absendeseite unter Umgehung aller anderen Seiten aufgerufen - nicht, dass das einen Erfolg haben würde

    Allerdings weist dies auch darauf hin, dass die eingesetzte Software - wenigstens in einer früheren Version - anfällig war für diese Art Exploits... sonst gäbe es dafür keine gezielte Attacke (an einen generischen Versuch mag ich hier nicht ganz glauben)
    Na ja, es basiert auf phpBB und 'CBACK.DE' hat es halt mit einigen meiner
    Meinung nach, recht wirkungsvollen Addons versehen...
    Das einzige was halt sehr selten passiert ist, dass es ein Bot schafft sich
    zu registrieren. Ich habe das so eingestellt, dass ich als Admin ihn erst
    freischalten muss...demnach lösche ich ihn halt gleich wieder.
    Sonst waren bisher alle Angriffe ohne Erfolg(soweit so gut ;-))
    Gruß, Frank

  5. #15
    Neues Mitglied Avatar von Condor-bs
    Registriert seit
    17.11.2007
    Ort
    Hamburg
    Beiträge
    14

    Standard

    Bitte noch eine Frage zu 'diarrhea' ich habe es auf meinen beiden Domains
    laufen. Bei der ersten Domain wurde der GoogleBot aufgelistet:

    Code:
    File 1:
    ---------
    
    Date      : 20.07.2008 - 18:11:23 GMT
    UserID    : 0 (addressbook.php)
    True-IP   : 66.249.65.106 (crawl-66-249-65-106.googlebot.com)
    Proxy-IP  : 66.249.65.106 (crawl-66-249-65-106.googlebot.com)
    Referrer  : 
    Browser   : Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
    Sollten die Bots nicht aussen vor bleiben?
    Hat nun der GoogleBot die ganzen E-Mailadresse abbekommen?

    Weiter kann ich auf der zweiten Domain anscheinend den Logfile nicht
    löschen?! Wenn ich die Einträge löschen will, dann werde ich nach dem
    Passwort (welches ich vorher im Script geändert habe) gefragt und es wird
    die Seite neu aufgebaut...allerdings sind die Einträge immer noch vorhanden
    OBWOHL die beiden txt-Dateien auf dem Webspace LEER sind!
    Wie geht denn dass?
    Wenn ich mit FileZilla die Dateien ansehe, dann sind die wirklich leer...
    Den Cache habe ich auch schon gelöscht, aber die Einträge sind immer
    noch da ?!

    Habt Ihr eine Idee?
    Gruß, Frank

    Nachtrag: ich habe die originalen txts neu auf den ftp übertragen...nun sind sie leer ;-)
    Geändert von Condor-bs (21.07.2008 um 12:19 Uhr)

  6. #16
    Forenbarbar Avatar von alariel
    Registriert seit
    02.03.2007
    Ort
    Hennef
    Beiträge
    3.434

    Standard

    Ach ja, fast vergessen

    Gibt es diese kb.php eigentlich? Und wozu dient die denn originär?
    Klickibunti, zur Dunklen Seite dieser Weg Dich führt!
    Isediatur ignoratia vestra ac stupitiatae causa!
    Barbar - und stolz darauf!! ~***~ Nam et ipsa scientia potestas est!

  7. #17
    Forenbarbar Avatar von alariel
    Registriert seit
    02.03.2007
    Ort
    Hennef
    Beiträge
    3.434

    Standard

    *dank PM nun klarer sehend*
    Klickibunti, zur Dunklen Seite dieser Weg Dich führt!
    Isediatur ignoratia vestra ac stupitiatae causa!
    Barbar - und stolz darauf!! ~***~ Nam et ipsa scientia potestas est!

Seite 2 von 2 ErsteErste 12

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen