Forum gehackt - 200 synchrone Anfragen/Sekunde?!

Svenrutten · Beitrag von **Svenrutten** » 13.07.2005 00:22

Hallo zusammen

Mit schrecken hab ich feststellen müssen, dass mein Hoster meine Internet-Präsenz deaktiviert hat. Nachdem ich mich vergewissert hatte dass ich die Rechnungen bezahlt hatte, erhielt ich auf meine Anfrage folgende Mail:

Code: Alles auswählen

Sehr geehrter Herr Rutten,

Sie werden hiermit aufgrund einer Attacke (mind. 200 synchrone Anfragen
je Sekunde) gesperrt.

Betroffene URL (Auszug):

ruttensoft.com

/forum/index.php?sid=2471c257cfe33fbf2169105e065f9afd HTTP/
/forum/search.php?sid=bde8fb04511514be835cf2de497ef8c5 HTTP
/forum/index.php?sid=f85d266c69583a14b6a9d20eaa9dcccf HTTP/
/forum/faq.php?sid=bde8fb04511514be835cf2de497ef8c5 HTTP/1.
/forum/memberlist.php?sid=bde8fb04511514be835cf2de497ef8c5
/forum/index.php?sid=5ab12468bb1f737eb5cadd19e9a7bedf HTTP/

Alle Zugriffe sind von der IP-Adresse xxx.xxx.xxx.xxx erfolgt. An Ihrer
Stelle sollten Sie gegen den Verursacher Strafanzeige stellen.

Zudem sollten Sie Ihr Forum auf Sicherheitslücken überprüfen.

Momentan ist Ihre Präsenz hierdurch gesperrt worden.

Was ist da los? Ist dieser Hack bekannt?
Auffallend ist ja, dass die Attacken allesamt von "Standard-Seiten" stammen wie index, search, faq, memberlist^

Vielen Dank

Sven

kellanved · Beitrag von **kellanved** » 13.07.2005 00:28

Eine DOS-Attacke - soviele Aufrufe daß der arme Server keine Chance hat mit den Seiten nachzukommen. Seltsam ist, daß auch wenig rechenintensive Seiten wie die faq aufgerufen wurden- ich hätte eher mit komplizierten Suchanfragen etc. gerechnet.

Ausserdem könnte es ein Versuch sein, eine "gültige" Session-ID zu erwischen. Das hätte aber in einem aktuellem phpBB nur sehr geringe Chancen auf Erfolg.

Interessante Formulierung, die Dein Hoster da gewählt hat.

An Ihrer
Stelle sollten Sie gegen den Verursacher Strafanzeige stellen.

Was würdest Du tun, wenn Du in Deiner Situation wärst....

Svenrutten · Beitrag von **Svenrutten** » 13.07.2005 00:30

Ja die formulierung ist witzig...

Ist das irgend eine Sicherheitslücke oder kann man dagegen nichts machen?

S*** ich hoffe das kommt morgen wieder in Ordnung...

VIelen Dank

Sven

kellanved · Beitrag von **kellanved** » 13.07.2005 00:44

Rausfinden woher die Anfragen kommen und die IPs serverseitig sperren.

Rausfinden, zu welchem ISP oder Server die IP(s) gehört/en.

Dann an die entsprechenden abuse@ oder webmaster@ Addies Mails schreiben.

Die "Übeltäter" sind oft andere gehackte Server oder virenbefallene PCs - deren Besitzer sind über Hinweise idR nicht unglücklich.

Strafanzeige gegen Unbekannt ist bei einem einmaligen Vorfall ohne Schaden IMHO hart (besser erst einen Schuss vor den Bug), wenn Du jemanden im Verdacht hast, kann es aber sinnvoll sein.

Max · Beitrag von **Max** » 13.07.2005 07:42

Hallo,

also zuerstmal, so schnell wie möglich eine Anzeige erstatten, einige Provider halten nur maximal 30 Tage gesichert, wenn Du die Anzeige erstattest, vergehen noch einige Tage und dann wird ein Beschluß benötigt, der den Provider zur Herausgabe der Daten ermächtigt/zwingt.
Am Besten Du gehst direkt zur Staatsanwaltschaft, denn nur schriftlich eingereicht benötigt sie eine gewisse Form, um die Dringlichkeit zu unterstreichen. (da mir die Form nicht bekannt ist, kann ich da nicht weiterhelfen)

Welche phpBB-Version ist es denn?
Dann gibt es die Möglichkeit, mit .htaccess zu schützen und dann gibt es noch den Ctracker pro.
Also daher die Empfehlung, aktuellste phpBB-Version nutzen, und dann am sichersten .htaccess und Ctracker einsetzen, dann sollte das kein Problem sein.

Gruß Max