PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Telekom ist per .htaccess gesperrt?!



Condor-bs
19.07.2008, 11:10
Hallo,
ich nutze ein 'CBACK Orion'-Forum. Leider wird auch diese Forensoftware
immer wieder gern versucht zu hacken...

Ich mache mir zusätzlich die Arbeit die geloggten Hackversuche mittels
'.htaccess' zu sperren. Ich versuche dann nicht nur die eine geloggte IP
zu sperren, sondern, wenn es sich um unsere Freunde aus dem Osten
(ru, ro, cn u.s.w.) handelt auch den ganzen inetnum, also den ganzen
IP-Adressbereich.
Ich ermittle also den Adressbereich wandle die daten (von IP xxx.xxx.xxx.xxx. bis
xxx.xxx.xxx.xxx) in die CIDR specification um und sperran dann also die ganze
inetnum des Providers (z.B.: deny from 207.xxx.xxx.0/18)

Nun hat mich ein Mitglied angeschrieben, er würde nicht mehr auf die
Forenseite kommen. Fehlermeldung:

>>
Forbidden
You don't have permission to access / on this server
>>

Das merkwürdige ist nur, dass er mit T-online online geht und ich nie
einen deutschen Provider wie oben beschrieben gesperrt habe?!

Habt Ihr eine Idee, woran das liegen könnte, oder ob die Telekom
Ressourssen von ausländischen Providern nutzt?

Vielen Dank im Voraus!
Gruß, Frank

actro
19.07.2008, 13:37
Versuch doch mal mod-security und denyhosts oder portsentry dazu in Kombination.

Eine .htaccess hat nicht nur den Nachteil, auch erwünschte Besucher auszusperren, sondern bremst auch noch die Auslieferung der Seite unanagenehm aus, wenn sie lang wird. Die Serverlast ist dadurch ziemlich hoch.

Condor-bs
19.07.2008, 13:41
Versuch doch mal mod-security und denyhosts oder portsentry dazu in Kombination.

Eine .htaccess hat nicht nur den Nachteil, auch erwünschte Besucher auszusperren, sondern bremst auch noch die Auslieferung der Seite unanagenehm aus, wenn sie lang wird. Die Serverlast ist dadurch ziemlich hoch.

Ok, werde mich mal damit beschäftigen.
Im Moment ist das mit der Serverlast und der Ladezeit noch kein Thema.
Vielmehr ist es immer noch ein Problem, dass der Telekom-User
ausgesperrt wird, obwohl ich nie IPs der Telekom gesperrt habe...
Das einzige was mal war ist glaube ich Keyweb, da habe ich wohl mal
einen Block gesperrt. Die werden doch aber nichts mit der Telekom
zu tun haben?!

Gruß, Frank

alariel
19.07.2008, 14:02
Interessante Methode - das mach ich per iptables, allerdings alles ausser Port 80 ;)
Alles andere regle ich per Plugins... Blogtechnisch z.B. Hascash + Akismet. Bisher zu 100% erfolgreich ;)

Bist Du sicher, dass einer der Adressbereiche sich nicht geändert hat? Im Zweifel frage das Mitglied mal nach einer seiner Einwahl-IPs und schau damit nach...

Gruß,
Ala

P.S.:
Falls man fies sein möchte stellt man ein paar kleine Fallen auf - siehe http://www.projecthoneypot.org
Hilft zwar nicht _direkt_, aber immerhin :)

Condor-bs
19.07.2008, 20:47
Hallo,
ja, er hat mir seine derzeitige IP geschickt und es ist wirklich die Telekom!
Mir fällt gerade ein, dass es schon einmal so einen Vorfall gegeben hat.
Damals kam ich selber (Arcor) nicht mehr ins Forum.
Ich hatte dann die ganzen IPs aus der htaccess gelöscht und quasi
wieder von vorn Spammer-IPs gesammelt und eingetragen...
Wie das zusammen hängt ist mir ein Rätsel!

Das Prinzip von 'projecthoneypot' ist mir nicht ganz klar!
Vermutlich weil mein english nicht mehr so gut ist...
Es geht ja wohl eher um Statistiken, oder?

Ich habe mir also einen "Honey Pot" angelegt und diverse Links auf die
erfolgreich installierte 'cgi-Datei' in diverse Webseiten der angelegten
Domain gelegt...wohl in der Hoffnung, dass ein Spam-Robot einen dieser
Links 'anklickt'...? richtig?

Gruß, Frank

alariel
20.07.2008, 00:40
Das tun sie auch freudig ;)

Nun, kurz gesagt bekommt der Robot eine Seite mit "existierenden" Adressen vorgesetzt, die aber einzeln identifizierbar sind. Dadurch kann exakt nachvollzogen werden, welcher Harvester für welchen Spammer arbeitet...

Des weiteren sind da noch typische Kommentarseiten (diverse Systeme) für den Robot ansprechbar, wo selbiger seinen Müll loswerden darf - und damit ebenfalls in der Datenbank landet.

Plugins, um diese Daten zu nutzen, gibts da für (Zitat von http://www.projecthoneypot.org/httpbl_implementations.php ):

mod_httpbl (ab Apache 2.0)
http:BL WordPress Plugin
phpBB http:BL Module
Drupal http:BL Module
Pivot http:BL Module
SPIP http:BL Plugin
Joomia! http:BL Plugin
OddMuse SpamCatching Module (ein WIKI)

Ich muss dazu sagen, ich nutze das nur zu statistischen Zwecken und um mal nachzuschauen, wer was bei meinen Domains so treibt. Will sagen, ich selbst benutze diese Module nicht, habe nur diverse Traps ausgelegt ;)

Falls jemand eines der Module nutzt, ich wär' da auch an Erfahrungen interessiert... ;)

Gruß,
Ala

actro
20.07.2008, 10:43
Das wär mir zuviel Arbeit ;)

Ich lasse portsentry die gängigen Ports überwachen und zusätzlich lasse ich denyhosts laufen. Angriffe auf Scripts werden gut mit mod-security unterbunden und in meinen Seiten habe ich fast überall einen versteckten link zu Diarrhea, um die Harvester ein wenig zu füttern. Die "bösen" treiben sich auch oft lange da herum.
Ansonsten empfiehlt sich der Einsatz von BadBehaviour, das gibt es inzwischen für viele gängige Scripts und Akismet ist auch schon für einige zu bekommen.

Es empfiehlt sich natürlich trotz aller Schutzmaßnahmen, immer seine Logfiles im Auge zu haben. LogCheck sollte zum Standard gehören bei einem Webserver.

alariel
20.07.2008, 11:19
Diarrhea? Kennichnet... noch net ;) Und ich fütter doch so gern die Harvester... Hast Du nen Link für mich? :)

actro
20.07.2008, 11:48
Truelife hats noch bei sich liegen:
Diarrhea.zip (http://www.truelifesweb.de/diarrhea.zip)

alariel
20.07.2008, 15:11
Danke Dir! :D

*füttern geh* Puuutputput!:clown:

Condor-bs
20.07.2008, 17:51
Versuch doch mal mod-security und denyhosts oder portsentry dazu in Kombination.

Also ich habe das Forum(von cback.de) bei 'all-inkl.com' laufen und habe somit
keinen eigenen Server...mit 'mod-security', 'denyhosts', 'portsentry' kann ich
demnach nicht viel anfangen, oder?

Das mit 'Diarrhea' habe ich für meine Seiten und das Forum
in Angriff genommen ;-) Aber ist die Erzeugung von 10000 Adressen nicht zu
viel des Guten? Wie lange mag das den auf so einem Shared-Server dauern?
Damit könnte man dann wirklich den Server "überlasten", oder?
Sollte man die Anzahl der Adressen (address.php) nicht etwas dezimieren?

Außerdem will ich nicht zuviel in den Scripten rumfummeln- das Forum soll
möglichst zuverlässig funktionieren!

Gruß, Frank

Condor-bs
21.07.2008, 10:22
Abschließend möchte ich euch den aktuellen Erfahrungstand mitteilen.
Ich habe gestern die '.htaccess' mal kompl. gelehrt um zu sehen,
wie viele Hacker versuchen werden wieder ins Forum zu kommen:
Es waren in 10 Stunden 8 Angreifer.
http://img258.imageshack.us/img258/9125/9ipdb4.png

Leider hat das mit dem "projecthoneypot" bisher, trotz der Angriffe
nicht funktioniert! Ich habe den Link auf der Registrierungsseite.
Auch "diarrhea" ist nicht angesprungen?! (funktioniert das überhaupt?)

Ich werde also von vorn beginnen und die '.htaccess' neu aufbauen, so
dass das Mitglied wieder ins Forum kann (ich habe ihn angeschrieben
und vermute, dass er nun auch wieder das Forum aufrufen kann)
Zusätzlich sperre ich noch den User-Agent "^libwww-perl"...
Gruß, Frank

alariel
21.07.2008, 10:55
Das dürfte davon abhängen, wie hier vorgegangen wird. Wenn das "allgemeine" Robots sind, die nach Möglichkeiten suchen,

Spam zu versenden
Warez, Gamez etc.pp zwischenzulagern
Möchtegern-politische Botschaften unters Volk zu bringen

(etc.pp.usw.usw.) müssten eigentlich sowohl PH als auch Dia anspringen, weill dann einfach wild jedem Link gefolgt wird und was-auch-immer für Aktionen durchgeführt.
Das hier sieht mir nach einer gezielten Attacke gegen die Forensoft aus, da wird dann auch keine der Maßnahmen greifen. In meinem Blog wird auch immer die Kommentar-Absendeseite unter Umgehung aller anderen Seiten aufgerufen - nicht, dass das einen Erfolg haben würde ;)

Allerdings weist dies auch darauf hin, dass die eingesetzte Software - wenigstens in einer früheren Version - anfällig war für diese Art Exploits... sonst gäbe es dafür keine gezielte Attacke (an einen generischen Versuch mag ich hier nicht ganz glauben) ;)

Ach ja, da findet sich jeweils ein PHP-Script hinter den URLS (ich wills hier net ganz posten, ist sehr umfangreich) mit interessantem Inhalt. Also Botverseuchte Server, die versuchen, Deinen mit ins Netz zu holen. Oder einfach Rootzugriff zu erlangen.

Kommt jemand das hier bekannt vor? :cool:


$accessdeniedmess = "<a href=\"http://ccteam.ru/releases/c999shell\">c999shell v.".$shver."</a>: access denied";
(latürnich Whoissed) :)
Relevante Ports sind:

$bindport_pass = "c999"; // default password for binding
$bindport_port = "31373"; // default port for binding
$bc_port = "31373"; // default port for back-connect
$datapipe_localport = "8081"; // default port for datapipe

Gruß,
Ala

Condor-bs
21.07.2008, 11:16
Das dürfte davon abhängen, wie hier vorgegangen wird. Wenn das "allgemeine" Robots sind, die nach Möglichkeiten suchen,

Spam zu versenden
Warez, Gamez etc.pp zwischenzulagern
Möchtegern-politische Botschaften unters Volk zu bringen

(etc.pp.usw.usw.) müssten eigentlich sowohl PH als auch Dia anspringen, weill dann einfach wild jedem Link gefolgt wird und was-auch-immer für Aktionen durchgeführt.
Das hier sieht mir nach einer gezielten Attacke gegen die Forensoft aus, da wird dann auch keine der Maßnahmen greifen. In meinem Blog wird auch immer die Kommentar-Absendeseite unter Umgehung aller anderen Seiten aufgerufen - nicht, dass das einen Erfolg haben würde ;)

Allerdings weist dies auch darauf hin, dass die eingesetzte Software - wenigstens in einer früheren Version - anfällig war für diese Art Exploits... sonst gäbe es dafür keine gezielte Attacke (an einen generischen Versuch mag ich hier nicht ganz glauben) ;)
Na ja, es basiert auf phpBB und 'CBACK.DE' hat es halt mit einigen meiner
Meinung nach, recht wirkungsvollen Addons versehen...
Das einzige was halt sehr selten passiert ist, dass es ein Bot schafft sich
zu registrieren. Ich habe das so eingestellt, dass ich als Admin ihn erst
freischalten muss...demnach lösche ich ihn halt gleich wieder.
Sonst waren bisher alle Angriffe ohne Erfolg(soweit so gut ;-))
Gruß, Frank

Condor-bs
21.07.2008, 12:14
Bitte noch eine Frage zu 'diarrhea' ich habe es auf meinen beiden Domains
laufen. Bei der ersten Domain wurde der GoogleBot aufgelistet:


File 1:
---------

Date : 20.07.2008 - xx:xx:xx GMT
UserID: [ID filtered]
True-IP : 66.249.65.106 (crawl-66-249-65-106.googlebot.com)
Proxy-IP : 66.249.65.106 (crawl-66-249-65-106.googlebot.com)
Referrer :
Browser : Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)

Sollten die Bots nicht aussen vor bleiben?
Hat nun der GoogleBot die ganzen E-Mailadresse abbekommen?

Weiter kann ich auf der zweiten Domain anscheinend den Logfile nicht
löschen?! Wenn ich die Einträge löschen will, dann werde ich nach dem
Passwort (welches ich vorher im Script geändert habe) gefragt und es wird
die Seite neu aufgebaut...allerdings sind die Einträge immer noch vorhanden
OBWOHL die beiden txt-Dateien auf dem Webspace LEER sind!
Wie geht denn dass?
Wenn ich mit FileZilla die Dateien ansehe, dann sind die wirklich leer...
Den Cache habe ich auch schon gelöscht, aber die Einträge sind immer
noch da ?!

Habt Ihr eine Idee?
Gruß, Frank

Nachtrag: ich habe die originalen txts neu auf den ftp übertragen...nun sind sie leer ;-)

alariel
21.07.2008, 12:52
Ach ja, fast vergessen :o

Gibt es diese kb.php eigentlich? Und wozu dient die denn originär? :)

alariel
21.07.2008, 13:43
*dank PM nun klarer sehend* ;)