Telekom ist per .htaccess gesperrt?!

[Condor-bs]

Versuch doch mal mod-security und denyhosts oder portsentry dazu in Kombination.

Also ich habe das Forum(von cback.de) bei 'all-inkl.com' laufen und habe somit
keinen eigenen Server...mit 'mod-security', 'denyhosts', 'portsentry' kann ich
demnach nicht viel anfangen, oder?

Das mit 'Diarrhea' habe ich für meine Seiten und das Forum
in Angriff genommen ;-) Aber ist die Erzeugung von 10000 Adressen nicht zu
viel des Guten? Wie lange mag das den auf so einem Shared-Server dauern?
Damit könnte man dann wirklich den Server "überlasten", oder?
Sollte man die Anzahl der Adressen (address.php) nicht etwas dezimieren?

Außerdem will ich nicht zuviel in den Scripten rumfummeln- das Forum soll
möglichst zuverlässig funktionieren!

Gruß, Frank

[Condor-bs]

Abschließend möchte ich euch den aktuellen Erfahrungstand mitteilen.
Ich habe gestern die '.htaccess' mal kompl. gelehrt um zu sehen,
wie viele Hacker versuchen werden wieder ins Forum zu kommen:
Es waren in 10 Stunden 8 Angreifer.


Leider hat das mit dem "projecthoneypot" bisher, trotz der Angriffe
nicht funktioniert! Ich habe den Link auf der Registrierungsseite.
Auch "diarrhea" ist nicht angesprungen?! (funktioniert das überhaupt?)

Ich werde also von vorn beginnen und die '.htaccess' neu aufbauen, so
dass das Mitglied wieder ins Forum kann (ich habe ihn angeschrieben
und vermute, dass er nun auch wieder das Forum aufrufen kann)
Zusätzlich sperre ich noch den User-Agent "^libwww-perl"...
Gruß, Frank

[alariel]

Das dürfte davon abhängen, wie hier vorgegangen wird. Wenn das "allgemeine" Robots sind, die nach Möglichkeiten suchen,

1. Spam zu versenden
2. Warez, Gamez etc.pp zwischenzulagern
3. Möchtegern-politische Botschaften unters Volk zu bringen

(etc.pp.usw.usw.) müssten eigentlich sowohl PH als auch Dia anspringen, weill dann einfach wild jedem Link gefolgt wird und was-auch-immer für Aktionen durchgeführt.
Das hier sieht mir nach einer gezielten Attacke gegen die Forensoft aus, da wird dann auch keine der Maßnahmen greifen. In meinem Blog wird auch immer die Kommentar-Absendeseite unter Umgehung aller anderen Seiten aufgerufen - nicht, dass das einen Erfolg haben würde

Allerdings weist dies auch darauf hin, dass die eingesetzte Software - wenigstens in einer früheren Version - anfällig war für diese Art Exploits... sonst gäbe es dafür keine gezielte Attacke (an einen generischen Versuch mag ich hier nicht ganz glauben)

Ach ja, da findet sich jeweils ein PHP-Script hinter den URLS (ich wills hier net ganz posten, ist sehr umfangreich) mit interessantem Inhalt. Also Botverseuchte Server, die versuchen, Deinen mit ins Netz zu holen. Oder einfach Rootzugriff zu erlangen.

Kommt jemand das hier bekannt vor?

Code:

$accessdeniedmess = "<a href=\"whois:

[Link nur für registrierte Mitglieder sichtbar. 

]/releases/c999shell\">c999shell v.".$shver."</a>: access denied";

(latürnich Whoissed)
Relevante Ports sind:

Code:

$bindport_pass = "c999";  // default password for binding
$bindport_port = "31373"; // default port for binding
$bc_port = "31373"; // default port for back-connect
$datapipe_localport = "8081"; // default port for datapipe

Gruß,
Ala

[Condor-bs]

Das dürfte davon abhängen, wie hier vorgegangen wird. Wenn das "allgemeine" Robots sind, die nach Möglichkeiten suchen,

1. Spam zu versenden
2. Warez, Gamez etc.pp zwischenzulagern
3. Möchtegern-politische Botschaften unters Volk zu bringen

(etc.pp.usw.usw.) müssten eigentlich sowohl PH als auch Dia anspringen, weill dann einfach wild jedem Link gefolgt wird und was-auch-immer für Aktionen durchgeführt.
Das hier sieht mir nach einer gezielten Attacke gegen die Forensoft aus, da wird dann auch keine der Maßnahmen greifen. In meinem Blog wird auch immer die Kommentar-Absendeseite unter Umgehung aller anderen Seiten aufgerufen - nicht, dass das einen Erfolg haben würde

Allerdings weist dies auch darauf hin, dass die eingesetzte Software - wenigstens in einer früheren Version - anfällig war für diese Art Exploits... sonst gäbe es dafür keine gezielte Attacke (an einen generischen Versuch mag ich hier nicht ganz glauben)

Na ja, es basiert auf phpBB und 'CBACK.DE' hat es halt mit einigen meiner
Meinung nach, recht wirkungsvollen Addons versehen...
Das einzige was halt sehr selten passiert ist, dass es ein Bot schafft sich
zu registrieren. Ich habe das so eingestellt, dass ich als Admin ihn erst
freischalten muss...demnach lösche ich ihn halt gleich wieder.
Sonst waren bisher alle Angriffe ohne Erfolg(soweit so gut ;-))
Gruß, Frank

[Condor-bs]

Bitte noch eine Frage zu 'diarrhea' ich habe es auf meinen beiden Domains
laufen. Bei der ersten Domain wurde der GoogleBot aufgelistet:

Code:

File 1:
---------

Date      : 20.07.2008 - 18:11:23 GMT
UserID    : 0 (addressbook.php)
True-IP   : 66.249.65.106 (crawl-66-249-65-106.googlebot.com)
Proxy-IP  : 66.249.65.106 (crawl-66-249-65-106.googlebot.com)
Referrer  : 
Browser   : Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)

Sollten die Bots nicht aussen vor bleiben?
Hat nun der GoogleBot die ganzen E-Mailadresse abbekommen?

Weiter kann ich auf der zweiten Domain anscheinend den Logfile nicht
löschen?! Wenn ich die Einträge löschen will, dann werde ich nach dem
Passwort (welches ich vorher im Script geändert habe) gefragt und es wird
die Seite neu aufgebaut...allerdings sind die Einträge immer noch vorhanden
OBWOHL die beiden txt-Dateien auf dem Webspace LEER sind!
Wie geht denn dass?
Wenn ich mit FileZilla die Dateien ansehe, dann sind die wirklich leer...
Den Cache habe ich auch schon gelöscht, aber die Einträge sind immer
noch da ?!

Habt Ihr eine Idee?
Gruß, Frank

Nachtrag: ich habe die originalen txts neu auf den ftp übertragen...nun sind sie leer ;-)

[alariel]

Ach ja, fast vergessen

Gibt es diese kb.php eigentlich? Und wozu dient die denn originär?

[alariel]

*dank PM nun klarer sehend*