Überlasteter Server durch UCP-Aufrufe von Gästen - Hacker

[Nuramon]

Huhu, guten Abend liebe Community.

Ich habe in meinem neu erstellten Forum schon direkt nach einer Woche einen Hacker-Angriff *roll*

Forum ist auf dem neuesten Update.

Naja, ich habe vorzeitig die Registrierung deaktiviert, aber er verwendet nun eine sehr interessante Taktik.
Über verschiedene Proxys (vermute ich mal) ruft er per Script mehrfach pro Minute als Gast folgenden Link auf:

Code: Alles auswählen

"forum"/ucp.php?i=pm&mode=compose&action=post

Damit ruft er das "Private Nachrichten"-Erstellen-Fenster auf. Die Rechte verweigern ihm dies aber.
Allerdings erzeugt das einen immens hohen Traffic, der den Server sehr langsam macht und ständige "Server is temporary not available"-Fehler produziert.

Gibt es eine Möglichkeit dagegen etwas zu tun? Es ist sehr nervig.
Es sind dauerhaft etwa 20 Gäste online, die eben dies tun.

Der Forenlink, falls jemand nachprüfen möchte ist:
pinkes-forum.co.de/forum

Desweiteren würde mich interessieren, ob man für die Emails, die vom Forum aus versendet werden, noch extra Einstellungen machen muss oder einen Mailserver braucht? Weil bei mir nämlich keine einzige Mail rausgeht und er beim Versuch Fehler im Fehlerlog wirft.
Ist aber nur eine Nebenfrage, das mit dem Hacker ist wichtiger

Schonmal danke im Voraus,
und falls ich was vergessen oder falsch geschrieben habe, bitte bescheid geben.

Nuramon

[cpg]

Moin,

wenn ich die Seite aufrufe, kann ich nicht viel sehen. Die Styles scheinen völlig zerschossen(?).

Welche Emails möchtest Du über das Forum versenden?

Gruß
CPG

[Nuramon]

Nein sind sie nicht, der Server ist völlig überlastet wegen eben jenen Dauerspam-Anfragen
Musst sehr oft aktualisieren, bis du ein vernünftiges Bild angezeigt bekommst.

Das ist ja eben das Problem, seine dauerhaften Anfragen überlasten alles...
Und ich könnte nur noch kotzen, nichts geht mehr.

Allgemein die Boardmails, zum BEispiel wenn man sich registriert mit dem Aktivierungslink. Die gehen nicht raus.
Oder wenn ich als Aministrator bei einer Neuregistration benachrichtigt werden möchte.

[Mahony]

Hallo

Weil bei mir nämlich keine einzige Mail rausgeht und er beim Versuch Fehler im Fehlerlog wirft.

Interessant wäre hier die genaue Fehlermeldung.

Ist aber nur eine Nebenfrage, das mit dem Hacker ist wichtiger

Ich glaube nicht, dass es sich um einen Hack-Angriff handelt (der würde ganz sicher anders aussehen). Vielmehr könnte (unter anderem) das Problem der nicht versendeten Mails die Ursache für die temporären Ausfälle des Servers sein.

P.S. Lösche mal die queue.php (im cache - Verzeichnis), falls vorhanden.
In der queue.php (im cache - Verzeichnis) werden die zu versendenden Mails zwischengespeichert und wenn das zu viele sind dann können solche Probleme auftauchen (also solltest du zumindest die queue.php aus dem cache löschen).

Grüße: Mahony

[Nuramon]

Kann ich raussuchen und werde ich aber mal löschen.

Trotzdem bin ich mir sicher, dass es es Angriff ist.
Immerhin findet man beim Klick auf die "Wer-ist-Online"-Liste 20 Gäste, die jede Minute "Eine private Nachricht erstellen" und in der sessions-Tabelle in der Datenbank steht eben jener oben genannte Link, der per UCP auf das neue Nachrichten erstellen leitet.

Über 300 Aurufe in 5 Minuten können viel Traffic verursachen, oder?

[cpg]

Moin,

es ist natürlich auch die Frage, wo und wie das Forum läuft (Provider), d.h. wieviel an Ressourcen zur Vefügung steht.
Die von Dir geschilderten User und Gäste sollten eigentlich kein Problem sein.
Die PN-Funktion würde ich erst einmal für alle User deaktivieren.
Wenn gezielt diese Datei aufgerufen wird, würde ich sie für kurze Zeit mal umbenennen - und testen.
Im Forum würde ich nichts über H*****-Angriffe schreiben; das ist erstens recht bald in den Suchmaschinen zu finden und ruft zweitens sicherlich weitere "Sportler" auf.

Gruß
CPG

[Nuramon]

Ist es ohne weiteres möglich, die UCP-Datei umzubenennen, ohne Probleme?
kann es ja mal testweise machen.

Ich bin im Moment noch auf einem Free Webspace, sodass die Datenrate natürlich eingeschränkt ist, klar.
Aber das Problem sind ja auch nicht die User online, sondern eben hunderte von Aufrufen dieser einen Seite pro Minute, und das schon seit Stunden.

[cpg]

Moin,

ich habe einen älteren Thread gefunden, der sich auch mit ähnlicher Thematik auseinandersetzt: viewtopic.php?f=74&t=190497

Ich weiß nicht, wie sich eine Umbenennung der Datei auswirkt; aber auf einen Versuch würde ich es ankommen lassen, nur um mal zu testen, was dann passiet.

Ich bin im Moment noch auf einem Free Webspace, sodass die Datenrate natürlich eingeschränkt ist, klar.

Das erklärt einiges.

Manchmal sind Usernamen allerdings recht "geeignet", irgendwelche Spinner auf den Plan zu rufen. Da würde ich auch mal ansetzen.
Luxus...
Aber das ist meine private Meinung. Natürlich können das wunderbare (Mit)User sein...

Gruß
CPG

[Nuramon]

Moin,

ich habe einen älteren Thread gefunden, der sich auch mit der Thematik auseinandersetzt: viewtopic.php?f=74&t=190497

Ich weiß nicht, wie sich eine Umbenennung der Datei auswirkt; aber auf einen Versuch würde ich es ankommen lassen.

Ich bin im Moment noch auf einem Free Webspace, sodass die Datenrate natürlich eingeschränkt ist, klar.

Das erklärt einiges.

Manchmal sind Usernamen allerdings recht "geeignet", irgendwelche Spinner auf den Plan zu rufen. Da würde ich auch mal ansetzen.
Luxus...
Aber das ist meine private Meinung. Natürlich können das wunderbare (Mit)User sein...

Gruß
CPG

Nach der Umbenennung ist kein Aufruf von ihm mehr da, die Überlastung "beruhigt" sich etwas.
Allerdings ist nun ein Login nicht mehr möglich, da er auch über ucp läuft. Also werde ich es recht bald wieder aktivieren.

Den Thread werde ich mir mal durchlesen, danke.

Der Umzug auf einen Paid-Server wird noch diese Woche erfolgen.

Ich glaube das "Problem" ist eher ein lustiger Hacker in einem anderen Forum, der auf uns aufmerksam geworden ist durch ein par nette User, die unseren Link dort breitgetreten haben mit der Bitte, unser Forum doch mal abzuschießen
Weiß nicht, ob euch der Name SSJMaster was sagt. Google spuckt eine Menge dazu raus.
Er treibt im Moment sein Unwesen auf der Forenseite der Zeitschrift Mädchen, seit etwa einer Woche, spammt und postet Gore-Bilder.
Ich denke da kann man eher einen Zusammenhang sehen, da bei uns 95% der User aus diesem Forum kommen.

EDIT://
Btw, Fehler der email gefunden.
Im Fehlerlog im Admin-Index steht:

Code: Alles auswählen

E-Mail-Fehler
» EMAIL/PHP/mail()
/forum/cron.php

EDIT2://
Nach der Umbenennung der ucp.php waren die Gäste weg, jetzt nach der Zurückbenennung sind es wieder 20, die regelmäßig diese Seite aufrufen. Also ein Script
Wie komme ich dem bei?
Ich bin langsam am Verzweifeln

[modernist]

Wie komme ich dem bei?

Gibt's denn Gemeinsamkeiten wie identischer User-Agent, ggf. auch teilweise Übereinstimmung. Aus welchen IP-Bereichen kommen die denn?