Forum wird ständig angegriffen! Was kann ich tun?

Piet · Beitrag von **Piet** » 06.01.2007 14:49

Danke für den Link.
Ich werde als 1. Schritt schon mal folgende hcaccess ins root machen:

<Files config.php> 
Deny from all 
</Files> 

DirectoryIndex index.htm index.php index.html 

# Note: If you receive an Server Error Message "500" contact 
# your local provider to let him set this configs 

# Note: "safe_mode" can only been set in php.ini OR httpd.conf 
# "safe_mode = off" is recommend, but only if your server 
# has set more security configs. Otherwise "on" is recommend 

# allow register globals 
php_flag register_globals off 

# allow backslash escaping for Get / Post / Cookie 
php_flag magic_quotes_gpc on 

# forbid files without extensions 
# it can only been set if AllowOverride is set 
AcceptPathInfo off 

RewriteEngine on 

# security settings 
RewriteCond %{QUERY_STRING} ^(.*)wget\%20 [OR] 
RewriteCond %{QUERY_STRING} ^(.*)fetch\%20 [OR] 
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR] 
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR] 
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR] 
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR] 
RewriteCond %{QUERY_STRING} ^(.*)passthru(.*) [OR] 
RewriteCond %{QUERY_STRING} ^(.*)\.printf\( [OR] 
RewriteCond %{QUERY_STRING} ^(.*)cmd [OR] 
RewriteCond %{QUERY_STRING} ^(.*)\%27(.*) [OR] 
RewriteCond %{QUERY_STRING} ^(.*)"(.*) [OR] 
RewriteCond %{QUERY_STRING} ^(.*)\%22(.*) [OR] 
RewriteCond %{QUERY_STRING} ^(.*)`(.*) [OR] 
RewriteCond %{QUERY_STRING} ^(.*)\%60(.*) [OR] 
RewriteCond %{QUERY_STRING} ^(.*)\%25(.*) [OR] 
RewriteCond %{QUERY_STRING} ^(.*)=http://(.*) [OR] 
RewriteCond %{QUERY_STRING} ^(.*)=http\%3A\%2F\%2F(.*) [OR] 
RewriteCond %{QUERY_STRING} ^(.*)=ftp://(.*) [OR] 
RewriteCond %{QUERY_STRING} ^(.*)=ftp\%3A\%2F\%2F(.*) [OR] 
RewriteCond %{QUERY_STRING} ^(.*)=https://(.*) [OR] 
RewriteCond %{QUERY_STRING} ^(.*)=https\%3A\%2F\%2F(.*) [OR] 
RewriteCond %{QUERY_STRING} ^(.*)alert\(document(.*) [OR] 
RewriteCond %{QUERY_STRING} ^(.*)union(.*) [OR] 
RewriteCond %{QUERY_STRING} ^(.*)UNION(.*) [OR] 
RewriteCond %{QUERY_STRING} ^(.*)SQL_INJECTION(.*) [OR] 
RewriteCond %{QUERY_STRING} ^(.*)phpbb_root_path=(.*) [OR] 
RewriteCond %{QUERY_STRING} ^(.*)configdir(.*) [NC,OR] 
RewriteCond %{QUERY_STRING} ^(.*)curl(.*) [OR] 
RewriteCond %{QUERY_STRING} ^(.*)lynx(.*) [OR] 
RewriteCond %{QUERY_STRING} ^(.*)w3\%20(.*) [OR] 
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b [OR] 
RewriteCond %{QUERY_STRING} .*'.* [OR] 
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [OR,NC] 
RewriteCond %{HTTP_USER_AGENT} ^Python* [NC] 
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

Aber noch mal eine Frage zu den IP´s.
Ich habe mehrere 100 IP´s die bei den verschiedenen Angriffen immer die gleich waren.
Kann ich die auch sperren? Ich habe was gefunden dazu. Würde das so gehen?

Code: Alles auswählen

order deny, allow
deny from 217.184.10.2
deny from 222.184.10.2
u.s.w....

Geht das wenn ich es in der htaccess einfüge? Und wenn ja wo? Anfang? Ende?
Ich kann es derzeit nicht testen, der Provider hat das Forum wieder gesperrt weil wieder Angriffe stattgefunden haben.
Es ist zum heulen...

Xwitz · Beitrag von **Xwitz** » 06.01.2007 15:20

Piet hat geschrieben:
Code: Alles auswählen
order deny, allow
deny from 217.184.10.2
deny from 222.184.10.2
u.s.w....

Ganz an den Anfang, noch vor "RewriteEngine on" ist glaube ich der beste Platz. Ich glaube darunter gehört noch ein "allow from all".

Was die RewriteCond angeht, meinst Du nicht, daß die etwas zu heftig sind?
z.B. ...translate?u=http...

Dem Provider würde ich eine drüberhauen. Der sollte lieber helfen anstatt zu sperren weil irgend jemand anderes Scheiße macht.

Miriam · Beitrag von **Miriam** » 06.01.2007 15:39

Oder wenn Du nicht alle IP Adressen der Rechner sondern eher IP Ranges eingeben möchtest:

Code: Alles auswählen

order deny, allow
deny from 53.
allow from all

Jetzt würden alle DCAG Leute nicht mehr bei Dir auf das Forum kommen.

Piet · Beitrag von **Piet** » 06.01.2007 16:30

@Xwitz:

"RewriteCond"

Das habe ich aus diesem Posting. Das hatte hier ein paar Posts vorher "Olli Oberhausen" vorgeschlagen.

Dem Provider würde ich eine drüberhauen. Der sollte lieber helfen anstatt zu sperren weil irgend jemand anderes Scheiße macht.

Ich werde die Montag anrufen. Muß ich eh damit die Domain wieder freischaltet wird (am Wochenende haben die keinen Support....).
Entweder die kommen mir mehr entgegen oder ich geh zu einem anderem Provider!

@Miriam
Das Problem ist das die Angreifer alle in verschiedenen Adressbereich liegen (schau dazu mal bitte mal hier rein). Sind zwar viele doppelt aber alles verschiedene. Ich habe alle IP´s von einigen Angriffen in einem Excel-File. Das bräuchte ich dann nur in die htaccess einfügen.

Andere Frage, kann ich nicht z.B. ganz USA sperren? Ich habe bei dem Trace der IP´s gemerkt das die meisten daher kommen. Und bei den Logs vom Forum seh ich auch das der meißte Traffic von der USA kommt.

Miriam · Beitrag von **Miriam** » 06.01.2007 19:07

Ich wüsste jetzt nicht, wie man die Location der IP (ausser vllt über trace route) herausbekommt.

Xwitz · Beitrag von **Xwitz** » 06.01.2007 21:41

Angeblich haben die Amis alle Adressen die mit 1 anfangen also 1**.***.***.***. Sie dürften aber zusätzlich auch noch andere haben können (ich hatte glaube ich mal mit einer "zu tun" die mit 84. losging). Ansonsten gibt es an IPs nichts länderspezifisches.

Piet · Beitrag von **Piet** » 06.01.2007 22:59

@Xwitz:
Nicht ganz.
Schau mal hier:
http://tools.sistrix.com/co/files/us
Damit kann man alle aus USA sperren. Aber ich habe gelesen das die Performance des Servers in die Knie geht...

Piet · Beitrag von **Piet** » 07.01.2007 12:34

...sagt mal, hat htaccess im root auch Auswirkungen auf FTP?
Ich kam mal wieder auf das Forum drauf und hab als 1. Schritt .htaccess ins root gelegt:

.htaccess

Code: Alles auswählen

AuthType Basic
AuthName "Restricted Directory"
AuthUserFile  /home/www/htdocs/aan-forum.de/
require valid-user

und dazu eine .htpasswd

Genauso wie ich auch schon seit langem den /Admin gesichert habe.

Miriam · Beitrag von **Miriam** » 07.01.2007 13:30

Piet hat geschrieben:...sagt mal, hat htaccess im root auch Auswirkungen auf FTP?

Die Frage ist jetzt nicht ernst gemeint, oder? Falls dem so wäre, würde die Variable ftaccess heissen.

dann wäre aber chmod sinnfrei.

Piet · Beitrag von **Piet** » 07.01.2007 15:05

Doch, die Frage war ernst.
Ich könnte es mir aber auch nicht vorstellen, aber seitdem ich die .htaccess ins root kopiert habe komme ich selbst per ftp nicht drauf.
Aber ich vermute das das mit der Sperrung des Providers zusammenhängt. Das äußerte sich genauso.
Es paßte zeitlich eben so, die htaccess hochgeladen und ab sofort war der Zugang gesperrt. Kann aber Zufall gewesen sein.

Was bin ich froh das ich kein großes Forum betreibe. Das wäre fatal.
Aber trotzdem ist es unakzeptabel....