Seite 4 von 5
Verfasst: 26.12.2004 04:31
von hackepeter13
Mmmmmmhh - na trotzdem erstmal Danke für die Hilfe
Mal sehen was morgen (heute am Tage) noch so kommt...
Verfasst: 26.12.2004 06:54
von BZebra
Ich hab für 20 Minuten mal nen Counter auf meiner Fehlerseite laufen lassen, auf der die ganzen Würmer jetzt landen.
20 Minuten = 1600 Aufrufe
Hochgerechnet ergibt das dann
4.800 Aufrufe / Stunde
115.200 Aufrufe / Tag
806.400 Aufrufe / Woche (wird wohl hoffentlich nicht so lange anhalten!!!)
Fehlerseite ist 550 Byte groß, nach Adam Riese würde ich dann immerhin noch auf 400 MB Traffik pro Woche, nur für die Fehlerseite kommen!?!? Ich mach dann mal ne kleinere
.
Hab jetzt übrigends doch die %-Zeichen gesperrt. Das kommt nur in Umlauten vor, und wenn ich die Hicglight-Funktion in der Suche ausgeschaltet hab, dann ist das recht selten.
Verfasst: 26.12.2004 14:46
von larsneo
andreasOymann hat geschrieben:Seit Einfügen folgender Rules ist bei mir Ruhe:
Code: Alles auswählen
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^(.*) - [F]
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527
RewriteRule ^.*$ - [F]
RewriteCond %{QUERY_STRING} highlight=(.*)esystem\(chr\(
RewriteRule (.*) - [F]
Andreas
ich nutze folgendes verkürztes snippet in der .htaccess
Code: Alles auswählen
# no santy webworm
RewriteEngine On
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ - [F]
das highlight exploit basiert ja immer auf der einschleusung von %2527, der useragent lwp und auch die rush-anfrage tritt in kombination mit der neuen 'aufgebohrten' wurm-attacke auf.
das die anfragen in kurzer zeit aufhören bzw. zurückgehen bezweifle ich einmal - der POC ist einfach zu leicht abzuändern
Verfasst: 26.12.2004 16:51
von Wuppi
Hi
den User-Agent "LWP" sperren hatte ich auch schon gedacht - aber das Problem ist, das LWP ansich harmlos ist ... Leute die viel in sachen Bannertausch aktiv sind und sich auf seiten Angemeldet haben die Backlink-Check machen, bekommen wahrschein besuch von nem User-Agent mit LWP im Namen ...
Da ich aber heute ebenfalls sehr viele von denen habe, wird das Temporär erstmal ne Lösung sein müssen ...
Gruß
Wuppi
Verfasst: 26.12.2004 21:55
von larsneo
um auch noch den traffic für die fehlerseite einzusparen und auch einen (wenn auch kleinen) schutz vor php-exploits zu integrieren noch eine kleine anpassung:
Code: Alles auswählen
# no santy webworm
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b [OR]
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
Verfasst: 26.12.2004 22:08
von Pyramide
hrhr...das ist ja wie
www.bofh.org 
Verfasst: 26.12.2004 22:50
von BZebra
Sehe ich das richtig, daß ich bei diesen Verisonen dann immer checken muss, ob es neue Virusvarianten gibt und dementsprechend dann die .htaccess anpassen muss?
Bei mir sind z.B. auch irgendwlche mutierten URLs angekommen, bei denen z.B. nur noch "highl" und sowas drin stand. Wenn dann auch noch ein anderer Useragent benutzt wird, dann ist es schon wieder hinüber mit dem Schutz.
Da muss ich ja ständig aufpassen.
Verfasst: 26.12.2004 22:53
von Nico Haase
wenn der traffic knapp ist, solltest du da ein auge drauf haben, ja.
Verfasst: 27.12.2004 17:43
von Shadowman
mal ne frage, ich hab bei mir beim stöbern in meiner datenbank folgende session einträge gefunden:
UserAgent: lwp-trivial/1.35 SearchBot: lwp-trivial/1.35
ist das dieser erwähnte wurm der die foren hackt?
gibt es noch andere methoden sich gegen diesen wurm zu schützen als mit .htaccess?
Verfasst: 27.12.2004 17:49
von larsneo
Shadowman hat geschrieben:ist das dieser erwähnte wurm der die foren hackt?
zumindestens ist es eine vom perl interpreter initierte anfrage - und das deutet zumindestens auf den santy wurm hin (ich kenne derzeit keine 'ernsthaften' requests von diesem user agent)
gibt es noch andere methoden sich gegen diesen wurm zu schützen als mit .htaccess?
die .htaccess ist nicht als schutz vor dem wurm gedacht (dfür ist die version 2.0.11 zuständig) - die entsprechenden direktiven soll nur performance-einbussen bzw. traffic-anstieg durch wurmanfragen verhindern.