Domain-Crash durch User-Anlegen-Bombing

[mindtrap]

Anfang letzter Woche war mein webspace www.mycow.de von einem auf den anderen Tag plötzlich gesperrt, obwohl ich keinerlei scripte geändert hatte.

Der Support-Mitarbeiter von evanzo erklärte mir, dass der Überwachungs-Bot die Seite in der Nacht vom 6. auf den 7. Juli gesperrt hätte, weil mein phpbb2 beinahe den Server zum Absturz gebracht hätte und ich sollte mein script doch mal überprüfen (nette Arbeitsanweisung, wenn man die Grösse von phpbb2 und die Genauigkeit der Fehlerbeschreibung bedenkt ).

Heute stellte ich dann zufällig fest, dass ich plötzlich fast 8000 registrierte Benutzer habe, von denen sich ca 7.500 in der Nacht vom 6.-7. Juli mit kryptischen zufälligen Nicknames und alle mit der Homepage http://www.wbbbomber.dl.am/ registriert haben. Siehe z.b hier: http://www.mycow.de/phpBB2/memberlist.p ... start=7850

Ist eine derartige Möglichkeit durch phpbb-User-Anlage-Bombing einen Server zum Crash zu bringen bekannt?

Gruss,
mindtrap

[kellanved]

Das ist eine klassische DOS (Denial of Service) Attacke. Den Server so mit Anforderungen überfluten, daß er zusammenbricht.

Um solche Attacken über die Registrierungsfunktion zu vermeiden, wurde die "Visuelle Bestätigung" in phpBB2 aufgenommen.

[d23]

ich würde dir empfehlen die visuelle bestätigung (anti robotic register) zu verwenden

[mindtrap]

ich hab eigl. immer den aktuellen patch drauf....
ist das ein mod? wenn ja, wo find ich ihn?

[Christian Benz]

Hallo,

nein, seit 2.0.11 gehört diese Funktion zum festen Bestandteil von phpBB. Möglicherweise setzt du aber ein "veraltetes" Template ein, in welchem diese Confirmation fehlt.

Siehe dazu unter: Updaten eines Styles für die Verwendung mit phpBB 2.0.11 und höher

Zusätzlich kann ich dir den Einbau des Cracker Trackers empfehlen:
http://www.phpbb.de/moddb/mod.php?id=280

Die neue Professional Edition schützt außerdem den Foren-Login vor falschen Sessions, die Registrierung vor dem Flooder-Wurm und die Suche ebenfalls vor dem Flooder-Wurm.

Gruß,
Chris

[gloriosa]

Hallo,
was zum machen ist in Beiträgen wie diesem beschrieben !

[kellanved]

Das hier sollte die neuen Mitglieder beseitigen (in phpMyAdmin ausführen). Vorher aber unbedingt ein Backup der Datenbank erstellen

Code: Alles auswählen

DELETE FROM phpbb_user_group
WHERE  EXISTS
(select * from phpbb_users WHERE
phpbb_users.user_website='http://www.wbbbomber.dl.am'
AND phpbb_user_group.user_id = phpbb_users.user_id)


DELETE FROM phpbb_groups
WHERE NOT EXISTS
(select * from phpbb_user_group WHERE
phpbb_groups.group_id=phpbb_user_group.group_id)
AND group_single_user='1'

DELETE FROM phpbb_users WHERE
user_website='http://www.wbbbomber.dl.am'

[mindtrap]

Oha, alles klar!!

Ich noob hab die Änderungen im template nur im Original Subsilver und nicht in meiner leicht geänderten Kopie davon gemacht, die in meinem Forum aktiv ist

Danke für Eure Hilfe!!!!

[mindtrap]

komischerweise krieg ich in phpMyAdmin die Fehlermeldung

Code: Alles auswählen

#1064 - You have an error in your SQL syntax near 'EXISTS (SELECT * from phpbb_users WHERE
phpbb_users.user_website='http://www.wb' at line 2

nachdem ich den ersten Teil zum löschen ausführe:

Code: Alles auswählen

DELETE FROM phpbb_user_group
WHERE  EXISTS (SELECT * from phpbb_users WHERE
phpbb_users.user_website='http://www.wbbbomber.dl.am'
AND phpbb_user_group.user_id = phpbb_users.user_id)

[kellanved]

Ok. MySql Version < 4.1, nehme ich an.

Welche Version genau?

Sollte ab 4.0 funktionieren:

Code: Alles auswählen

DELETE phpbb_users, phpbb_user_group, phpbb_groups FROM phpbb_users, phpbb_user_group, phpbb_groups WHERE phpbb_users.user_website= 'http://www.wbbbomber.dl.am'  AND phpbb_user_group.user_id=phpbb_users.user_id AND phpbb_user_group.group_id=phpbb_groups.group_id AND phpbb_groups.group_single_user ='1'