komische Viewtopic-Links ???
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
-
- Valued Contributor
- Beiträge: 3545
- Registriert: 21.04.2004 12:22
- Wohnort: Berlin
- Kontaktdaten:
Ich hab für 20 Minuten mal nen Counter auf meiner Fehlerseite laufen lassen, auf der die ganzen Würmer jetzt landen.
20 Minuten = 1600 Aufrufe
Hochgerechnet ergibt das dann
4.800 Aufrufe / Stunde
115.200 Aufrufe / Tag
806.400 Aufrufe / Woche (wird wohl hoffentlich nicht so lange anhalten!!!)
Fehlerseite ist 550 Byte groß, nach Adam Riese würde ich dann immerhin noch auf 400 MB Traffik pro Woche, nur für die Fehlerseite kommen!?!? Ich mach dann mal ne kleinere .
Hab jetzt übrigends doch die %-Zeichen gesperrt. Das kommt nur in Umlauten vor, und wenn ich die Hicglight-Funktion in der Suche ausgeschaltet hab, dann ist das recht selten.
20 Minuten = 1600 Aufrufe
Hochgerechnet ergibt das dann
4.800 Aufrufe / Stunde
115.200 Aufrufe / Tag
806.400 Aufrufe / Woche (wird wohl hoffentlich nicht so lange anhalten!!!)
Fehlerseite ist 550 Byte groß, nach Adam Riese würde ich dann immerhin noch auf 400 MB Traffik pro Woche, nur für die Fehlerseite kommen!?!? Ich mach dann mal ne kleinere .
Hab jetzt übrigends doch die %-Zeichen gesperrt. Das kommt nur in Umlauten vor, und wenn ich die Hicglight-Funktion in der Suche ausgeschaltet hab, dann ist das recht selten.
- larsneo
- Mitglied
- Beiträge: 2622
- Registriert: 07.03.2002 15:23
- Wohnort: schwäbisch gmünd
- Kontaktdaten:
ich nutze folgendes verkürztes snippet in der .htaccessandreasOymann hat geschrieben:Seit Einfügen folgender Rules ist bei mir Ruhe:AndreasCode: Alles auswählen
RewriteEngine On RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC] RewriteRule ^(.*) - [F] RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 RewriteRule ^.*$ - [F] RewriteCond %{QUERY_STRING} highlight=(.*)esystem\(chr\( RewriteRule (.*) - [F]
Code: Alles auswählen
# no santy webworm
RewriteEngine On
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ - [F]
das die anfragen in kurzer zeit aufhören bzw. zurückgehen bezweifle ich einmal - der POC ist einfach zu leicht abzuändern
Hi
den User-Agent "LWP" sperren hatte ich auch schon gedacht - aber das Problem ist, das LWP ansich harmlos ist ... Leute die viel in sachen Bannertausch aktiv sind und sich auf seiten Angemeldet haben die Backlink-Check machen, bekommen wahrschein besuch von nem User-Agent mit LWP im Namen ...
Da ich aber heute ebenfalls sehr viele von denen habe, wird das Temporär erstmal ne Lösung sein müssen ...
Gruß
Wuppi
den User-Agent "LWP" sperren hatte ich auch schon gedacht - aber das Problem ist, das LWP ansich harmlos ist ... Leute die viel in sachen Bannertausch aktiv sind und sich auf seiten Angemeldet haben die Backlink-Check machen, bekommen wahrschein besuch von nem User-Agent mit LWP im Namen ...
Da ich aber heute ebenfalls sehr viele von denen habe, wird das Temporär erstmal ne Lösung sein müssen ...
Gruß
Wuppi
- larsneo
- Mitglied
- Beiträge: 2622
- Registriert: 07.03.2002 15:23
- Wohnort: schwäbisch gmünd
- Kontaktdaten:
um auch noch den traffic für die fehlerseite einzusparen und auch einen (wenn auch kleinen) schutz vor php-exploits zu integrieren noch eine kleine anpassung:
Code: Alles auswählen
# no santy webworm
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b [OR]
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
hrhr...das ist ja wie www.bofh.orglarsneo hat geschrieben:RewriteRule ^.*$ http://127.0.0.1/ [R,L]
Sehe ich das richtig, daß ich bei diesen Verisonen dann immer checken muss, ob es neue Virusvarianten gibt und dementsprechend dann die .htaccess anpassen muss?
Bei mir sind z.B. auch irgendwlche mutierten URLs angekommen, bei denen z.B. nur noch "highl" und sowas drin stand. Wenn dann auch noch ein anderer Useragent benutzt wird, dann ist es schon wieder hinüber mit dem Schutz.
Da muss ich ja ständig aufpassen.
Bei mir sind z.B. auch irgendwlche mutierten URLs angekommen, bei denen z.B. nur noch "highl" und sowas drin stand. Wenn dann auch noch ein anderer Useragent benutzt wird, dann ist es schon wieder hinüber mit dem Schutz.
Da muss ich ja ständig aufpassen.
Zuletzt geändert von BZebra am 26.12.2004 22:53, insgesamt 1-mal geändert.
- Nico Haase
- Mitglied
- Beiträge: 1100
- Registriert: 10.08.2003 15:19
- Wohnort: Neu-Anspach / Darmstadt
- Kontaktdaten:
wenn der traffic knapp ist, solltest du da ein auge drauf haben, ja.
Buchtips.net bietet mehr als 2500 Buchrezensionen
mal ne frage, ich hab bei mir beim stöbern in meiner datenbank folgende session einträge gefunden:
gibt es noch andere methoden sich gegen diesen wurm zu schützen als mit .htaccess?
ist das dieser erwähnte wurm der die foren hackt?UserAgent: lwp-trivial/1.35 SearchBot: lwp-trivial/1.35
gibt es noch andere methoden sich gegen diesen wurm zu schützen als mit .htaccess?
Proud Admin & Webmaster of http://www.broxx-com.de
- larsneo
- Mitglied
- Beiträge: 2622
- Registriert: 07.03.2002 15:23
- Wohnort: schwäbisch gmünd
- Kontaktdaten:
zumindestens ist es eine vom perl interpreter initierte anfrage - und das deutet zumindestens auf den santy wurm hin (ich kenne derzeit keine 'ernsthaften' requests von diesem user agent)Shadowman hat geschrieben:ist das dieser erwähnte wurm der die foren hackt?
die .htaccess ist nicht als schutz vor dem wurm gedacht (dfür ist die version 2.0.11 zuständig) - die entsprechenden direktiven soll nur performance-einbussen bzw. traffic-anstieg durch wurmanfragen verhindern.gibt es noch andere methoden sich gegen diesen wurm zu schützen als mit .htaccess?