Seite 2 von 2

Re: Überlasteter Server durch UCP-Aufrufe von Gästen - Hacke

Verfasst: 06.02.2012 10:51
von Nuramon
Wie meinst du das mit Useragent?
IP-Bereich ist größtenteils von 84 bis 87, aber da kommen auch viele User her.
Er benutzt aber auch ganz andere IP-Adressen zum Teil.
Die einzige Gemeinsamkeit, die ich wirklich festgestellt habe, ist eben der Aufruf dieser ucp-Seite.

Re: Überlasteter Server durch UCP-Aufrufe von Gästen - Hacke

Verfasst: 06.02.2012 12:12
von cpg
Moin,

wenn ich wüsste, wo ich das gelesen habe...
... eine Funktion, die prüft, ob der Aufruf der Datei "von außen" vorgenommen wird - und wenn, dann gibt's Mecker.
"forum"/ucp.php?i=pm&mode=compose&action=post
Eigentlich sollte der Aufruf aus dem Foren-Bereich kommen...

Gruß
CPG

Re: Überlasteter Server durch UCP-Aufrufe von Gästen - Hacke

Verfasst: 06.02.2012 12:29
von Nuramon
Ja, das stimmt, man könnte überpüfen, ob der Aufruf dieses Links aus dem Forenkontext kommt oder von außerhalb?
Aber wie?

Ih hab im Internet folgendes gefunden:

Code: Alles auswählen

Mit PHP können wir auch erfahren, woher der Besucher kommt:

<?php
$seite = $_SERVER["HTTP_REFERER"];
echo $seite;
?>

Dieser Befehl funktioniert aber nur, wenn wir durch einen Link oder ähnliches auf die Seite kommen sind.
Manche Browser unterdrücken diese Information.
Im Moment hat die Gastzahl abgenommen, aber es geht immer noch weiter. Ich bin ein wenig hilflos.

Re: Überlasteter Server durch UCP-Aufrufe von Gästen - Hacke

Verfasst: 06.02.2012 14:00
von modernist
Referrerprüfung kann man auch im ACP unter Allgemein -> Server-Konfiguration -> Sicherheit einstellen:
Referrer prüfen:
Wenn aktiviert, wird der Referrer von POST-Anfragen gegen die Einstellungen des Hostnamen/Skript-Pfads geprüft. Dies kann bei Boards zu Problemen führen, die mehrere Domains oder eine externe Anmeldung nutzen.
Aber dann solltest du die Nutzer warnen, daß der Browser den Referrer mitsenden muß, wenn sie was schreiben wollen.

Re: Überlasteter Server durch UCP-Aufrufe von Gästen - Hacke

Verfasst: 06.02.2012 20:33
von Nuramon
Und ein erneuter Zugriff des Hackers, nun auf der neuen Domain.
Wieder über die UCP, nun auf den persönlichen Bereich mit 20 Gästen.
Referrer-Einstellung hat nichts gebracht.

Code: Alles auswählen

Gast
IP: 195.110.209.22 » Whois
SSJMaster/7.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.3) Gecko/20100401 SSJMaster/7.8.3
Also doch der werte SSJMaster-Hacker oder was darf mir das sagen? Dann sollte ich mich ja geehrt fühlen ;)

Was kann ich jetzt genau tun?
Hab mal wieder die ucp.php umbenannt temporär, aber das KANN ja nicht die Lösung sein -.-
Das ganze Forum hängt wieder,
ich bräuchte schnell mal Hilfe...

Re: Überlasteter Server durch UCP-Aufrufe von Gästen - Hacke

Verfasst: 06.02.2012 21:16
von BNa
Öffne

ucp.php

Finde

Code: Alles auswählen

// Start session management
$user->session_begin();
$auth->acl($user->data);
$user->setup('ucp'); 
Dahinter füge ein

Code: Alles auswählen

// block each referrer which not coming from your domain
$referrerr = @$_SERVER['HTTP_REFERER'];
if (strpos($referrerr, 'domain.com')) 
{
// do nothing
}
else
{
exit;
}
// block each referrer which not coming from your domain   
domain.com mit der eigenen Real Web Adresse ersetzen. Keine V- oder Sub-Domain.

Dieser Code blockt alle Zugriffe auf das UCP, die von ausserhalb der Domain ausgeführt werden (zum Beispiel via Script).
Geht der User vorab zum Beispiel auf den Index domain.com/index.php kann er auf das UCP zugreifen.

Dann mal gucken, wie schlau dein Hacker(!) ist. Mach daher diese Lösung nicht publik, denn, falls er es schnallt, gibt es weitere, effektivere Methoden.
Ich hoffe nur, der liest hier nicht mit :wink:

Re: Überlasteter Server durch UCP-Aufrufe von Gästen - Hacke

Verfasst: 06.02.2012 21:21
von Mahony
Hallo
Nuramon hat geschrieben:Also doch der werte SSJMaster-Hacker oder was darf mir das sagen?
Es kann natürlich auch sein, dass sich jemand (oder mehrere User) aus deinem Forum einen Trojaner eingefangen haben der dein Forum (die ucp.php) nun permanent aufruft.

P.S. Eventuell hat jemand bösartiges einen Trojaner-Link gepostet und deine User haben ihn angeklickt?

Grüße: Mahony

Re: Überlasteter Server durch UCP-Aufrufe von Gästen - Hacke

Verfasst: 06.02.2012 21:35
von Nuramon
BNa hat geschrieben:Öffne

ucp.php

Finde

Code: Alles auswählen

// Start session management
$user->session_begin();
$auth->acl($user->data);
$user->setup('ucp'); 
Dahinter füge ein

Code: Alles auswählen

// block each referrer which not coming from your domain
$referrerr = @$_SERVER['HTTP_REFERER'];
if (strpos($referrerr, 'domain.com')) 
{
// do nothing
}
else
{
exit;
}
// block each referrer which not coming from your domain     
domain.com mit der eigenen Real Web Adresse ersetzen. Keine V- oder Sub-Domain.

Dieser Code blockt alle Zugriffe auf das UCP, die von ausserhalb der Domain ausgeführt werden (zum Beispiel via Script).
Geht der User vorab zum Beispiel auf den Index domain.com/index.php kann er auf das UCP zugreifen.

Dann mal gucken, wie schlau dein Hacker(!) ist. Mach daher diese Lösung nicht publik, denn, falls er es schnallt, gibt es weitere, effektivere Methoden.
Ich hoffe nur, der liest hier nicht mit :wink:
Wo ist hier der Danke-Button?
Ich würde den jetzt 10mal für dich klicken!
Danke :D
Das funktioniert, und zwar einwandfrei ^.^
Mal sehen, was er sich jetzt einfallen lässt ;)


Achja, und zu der Sache wegen Trojanern, eher nicht, ich kannte viele seiner IPs auf proxys und merkwürdige Server zurückverfolgen.
Hatte übergangsweise ein paar seiner IPs in der .htaccess geblockt, das ging auch vorerst.

EDIT://
Kann wohl gut sein, da war mal was....
Aber die Datei war binnen zwei Minuten gelöscht.
Naja viel kann man da ja nicht machen, oder?