komische Viewtopic-Links ???

phpBB 3.0 Mods · Beitrag von **hackepeter13** » 26.12.2004 04:31

Mmmmmmhh - na trotzdem erstmal Danke für die Hilfe

Mal sehen was morgen (heute am Tage) noch so kommt...

BZebra · Beitrag von **BZebra** » 26.12.2004 06:54

Ich hab für 20 Minuten mal nen Counter auf meiner Fehlerseite laufen lassen, auf der die ganzen Würmer jetzt landen.

20 Minuten = 1600 Aufrufe

Hochgerechnet ergibt das dann

4.800 Aufrufe / Stunde
115.200 Aufrufe / Tag
806.400 Aufrufe / Woche (wird wohl hoffentlich nicht so lange anhalten!!!)

Fehlerseite ist 550 Byte groß, nach Adam Riese würde ich dann immerhin noch auf 400 MB Traffik pro Woche, nur für die Fehlerseite kommen!?!? Ich mach dann mal ne kleinere

.

Hab jetzt übrigends doch die %-Zeichen gesperrt. Das kommt nur in Umlauten vor, und wenn ich die Hicglight-Funktion in der Suche ausgeschaltet hab, dann ist das recht selten.

larsneo · Beitrag von **larsneo** » 26.12.2004 14:46

andreasOymann hat geschrieben:Seit Einfügen folgender Rules ist bei mir Ruhe:

Code: Alles auswählen

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT}   ^lwp.* [NC]
RewriteRule ^(.*)                -   [F]
 
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 
RewriteRule ^.*$   -   [F] 

RewriteCond %{QUERY_STRING} highlight=(.*)esystem\(chr\( 
RewriteRule (.*) - [F]

Andreas

ich nutze folgendes verkürztes snippet in der .htaccess

Code: Alles auswählen

# no santy webworm
RewriteEngine On 
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ - [F]

das highlight exploit basiert ja immer auf der einschleusung von %2527, der useragent lwp und auch die rush-anfrage tritt in kombination mit der neuen 'aufgebohrten' wurm-attacke auf.

das die anfragen in kurzer zeit aufhören bzw. zurückgehen bezweifle ich einmal - der POC ist einfach zu leicht abzuändern

Wuppi · Beitrag von **Wuppi** » 26.12.2004 16:51

Hi

den User-Agent "LWP" sperren hatte ich auch schon gedacht - aber das Problem ist, das LWP ansich harmlos ist ... Leute die viel in sachen Bannertausch aktiv sind und sich auf seiten Angemeldet haben die Backlink-Check machen, bekommen wahrschein besuch von nem User-Agent mit LWP im Namen ...

Da ich aber heute ebenfalls sehr viele von denen habe, wird das Temporär erstmal ne Lösung sein müssen ...

Gruß
Wuppi

larsneo · Beitrag von **larsneo** » 26.12.2004 21:55

um auch noch den traffic für die fehlerseite einzusparen und auch einen (wenn auch kleinen) schutz vor php-exploits zu integrieren noch eine kleine anpassung:

Code: Alles auswählen

# no santy webworm
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b [OR]
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

Beitrag von **Pyramide** » 26.12.2004 22:08

larsneo hat geschrieben:RewriteRule ^.*$ http://127.0.0.1/ [R,L]

hrhr...das ist ja wie www.bofh.org

BZebra · Beitrag von **BZebra** » 26.12.2004 22:50

Sehe ich das richtig, daß ich bei diesen Verisonen dann immer checken muss, ob es neue Virusvarianten gibt und dementsprechend dann die .htaccess anpassen muss?

Bei mir sind z.B. auch irgendwlche mutierten URLs angekommen, bei denen z.B. nur noch "highl" und sowas drin stand. Wenn dann auch noch ein anderer Useragent benutzt wird, dann ist es schon wieder hinüber mit dem Schutz.

Da muss ich ja ständig aufpassen.

Nico Haase · Beitrag von **Nico Haase** » 26.12.2004 22:53

wenn der traffic knapp ist, solltest du da ein auge drauf haben, ja.

Shadowman · Beitrag von **Shadowman** » 27.12.2004 17:43

mal ne frage, ich hab bei mir beim stöbern in meiner datenbank folgende session einträge gefunden:

UserAgent: lwp-trivial/1.35 SearchBot: lwp-trivial/1.35

ist das dieser erwähnte wurm der die foren hackt?
gibt es noch andere methoden sich gegen diesen wurm zu schützen als mit .htaccess?

larsneo · Beitrag von **larsneo** » 27.12.2004 17:49

Shadowman hat geschrieben:ist das dieser erwähnte wurm der die foren hackt?

zumindestens ist es eine vom perl interpreter initierte anfrage - und das deutet zumindestens auf den santy wurm hin (ich kenne derzeit keine 'ernsthaften' requests von diesem user agent)

gibt es noch andere methoden sich gegen diesen wurm zu schützen als mit .htaccess?

die .htaccess ist nicht als schutz vor dem wurm gedacht (dfür ist die version 2.0.11 zuständig) - die entsprechenden direktiven soll nur performance-einbussen bzw. traffic-anstieg durch wurmanfragen verhindern.