phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Hilfe - wurde gehackt 2.0.15

https://www.phpbb.de/community/viewtopic.php?t=88084

Seite 3 von 3

Verfasst: 30.05.2005 20:41
von maxl
pandorra hat geschrieben:aber wenn dir dein provider nur mit so mist kommt wie
"wir könnten gar nichts dafür können, ist alles das phpbb"
dann kommst du hier keinen schritt weiter...
Daß es was mit phpBB zu tun hat, sieht man am Logfile!

Code: Alles auswählen

modemcable118.234-80-70.mc.videotron.ca - - [27/May/2005:01:17:15 +0200] "GET /phpbb/viewtopic.php?p=2415&highlight=%2527%252esystem(chr(101)%252echr(99)%252echr.......
l.g.

maxl

Verfasst: 30.05.2005 21:15
von larsneo
um da jetzt noch einmal ein wenig ordnung reinzubringen...

du hast einen aufruf für '[...]highlight=%2527[...]' in deinem logfile und in deiner .htaccess eine rewrite-rule ala

Code: Alles auswählen

# prevent access from santy webworm
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
ergo wird bereits in der ersten zeile die anfrage mit einem redirect nach localhost (also ohne trafficverbrauch) umleitet.
was bemängelt jetzt dein provider daran genau? dass zugriffsversuche stattfinden?

Verfasst: 30.05.2005 21:43
von maxl
Hallo larsneo!

Du bringst mir endlich etwas Licht ins Dunkel! :grin:

Die .htaccess war (ist es eigentlich immer noch) ein spanisches Dorf für mich - aber jetzt mit deinem Hinweis ist es etwas klarer für mich.

Wenn ich dein Posting richtig verstehe, kann der Angriff eigentlich gar nicht wirklich stattgefunden haben, da er durch

Code: Alles auswählen

RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
von der .htaccess quasi abgewehrt wurde!

Jetzt bleibt mir noch die Frage (bevor ich den Provider mit o.g. konfrontiere), ob sich die von dir beschriebene Umleitung auf localhost negativ auf den Server auswirken kann und dies der Hoster beanstanden kann?

Vielen Dank, daß du dich meiner annimmst!

l.g.

maxl

Verfasst: 30.05.2005 22:35
von larsneo
Jetzt bleibt mir noch die Frage (bevor ich den Provider mit o.g. konfrontiere), ob sich die von dir beschriebene Umleitung auf localhost negativ auf den Server auswirken kann und dies der Hoster beanstanden kann?
ich formuliere es einmal so - in den klassischen share-hosting umgebungen die .htaccess die ressourcen-sparendste variante mit den durch den santy wurm ausgelösten angriffen (denen man ja quasi wehrlos ausgesetzt ist) umzugehen.
die anfrage wird zum frühestmöglichen zeitpunkt auf den ursprungshost zurückgeschicht - ohne dabei traffic zu verursachen.
Alle Zeiten sind UTC+01:00
Seite 3 von 3

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de