Hilfe - wurde gehackt 2.0.15

Probleme bei der regulären Arbeiten mit phpBB, Fragen zu Vorgehensweisen oder Funktionsweise sowie sonstige Fragen zu phpBB im Allgemeinen.
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Antworten
maxl
Mitglied
Beiträge: 205
Registriert: 08.10.2004 23:28

Beitrag von maxl »

pandorra hat geschrieben:aber wenn dir dein provider nur mit so mist kommt wie
"wir könnten gar nichts dafür können, ist alles das phpbb"
dann kommst du hier keinen schritt weiter...
Daß es was mit phpBB zu tun hat, sieht man am Logfile!

Code: Alles auswählen

modemcable118.234-80-70.mc.videotron.ca - - [27/May/2005:01:17:15 +0200] "GET /phpbb/viewtopic.php?p=2415&highlight=%2527%252esystem(chr(101)%252echr(99)%252echr.......
l.g.

maxl
Nach oben
Benutzeravatar
larsneo
Mitglied
Beiträge: 2622
Registriert: 07.03.2002 15:23
Wohnort: schwäbisch gmünd
Kontaktdaten:
Kontaktdaten von larsneo

Beitrag von larsneo »

um da jetzt noch einmal ein wenig ordnung reinzubringen...

du hast einen aufruf für '[...]highlight=%2527[...]' in deinem logfile und in deiner .htaccess eine rewrite-rule ala

Code: Alles auswählen

# prevent access from santy webworm
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
ergo wird bereits in der ersten zeile die anfrage mit einem redirect nach localhost (also ohne trafficverbrauch) umleitet.
was bemängelt jetzt dein provider daran genau? dass zugriffsversuche stattfinden?
gruesse aus dem wilden sueden
larsneo
..::[krapohl.net]::..
Nach oben
maxl
Mitglied
Beiträge: 205
Registriert: 08.10.2004 23:28

Beitrag von maxl »

Hallo larsneo!

Du bringst mir endlich etwas Licht ins Dunkel! :grin:

Die .htaccess war (ist es eigentlich immer noch) ein spanisches Dorf für mich - aber jetzt mit deinem Hinweis ist es etwas klarer für mich.

Wenn ich dein Posting richtig verstehe, kann der Angriff eigentlich gar nicht wirklich stattgefunden haben, da er durch

Code: Alles auswählen

RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
von der .htaccess quasi abgewehrt wurde!

Jetzt bleibt mir noch die Frage (bevor ich den Provider mit o.g. konfrontiere), ob sich die von dir beschriebene Umleitung auf localhost negativ auf den Server auswirken kann und dies der Hoster beanstanden kann?

Vielen Dank, daß du dich meiner annimmst!

l.g.

maxl
Nach oben
Benutzeravatar
larsneo
Mitglied
Beiträge: 2622
Registriert: 07.03.2002 15:23
Wohnort: schwäbisch gmünd
Kontaktdaten:
Kontaktdaten von larsneo

Beitrag von larsneo »

Jetzt bleibt mir noch die Frage (bevor ich den Provider mit o.g. konfrontiere), ob sich die von dir beschriebene Umleitung auf localhost negativ auf den Server auswirken kann und dies der Hoster beanstanden kann?
ich formuliere es einmal so - in den klassischen share-hosting umgebungen die .htaccess die ressourcen-sparendste variante mit den durch den santy wurm ausgelösten angriffen (denen man ja quasi wehrlos ausgesetzt ist) umzugehen.
die anfrage wird zum frühestmöglichen zeitpunkt auf den ursprungshost zurückgeschicht - ohne dabei traffic zu verursachen.
gruesse aus dem wilden sueden
larsneo
..::[krapohl.net]::..
Nach oben
Antworten

Zurück zu „phpBB 2.0: Administration, Benutzung und Betrieb“