Schutz vor dem phpBB-Wurm mittels .htaccess
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
? Das wäre mir neu.
Also wenn Dein Hoster keine .htaccess im Root des Webspaces zulässt, dann ist das schon nicht okay.
Aber meinst Du auch das korrekte Verzeichnis? Also httdocs unterhalb des Apache-Ordners? Nicht das Root-Verzeichnis des Servers
Also wenn Dein Hoster keine .htaccess im Root des Webspaces zulässt, dann ist das schon nicht okay.
Aber meinst Du auch das korrekte Verzeichnis? Also httdocs unterhalb des Apache-Ordners? Nicht das Root-Verzeichnis des Servers
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
[quote="oxpus - Mo 03.Jan, 2005 00:38";p="19742"]Aber meinst Du auch das korrekte Verzeichnis? Also httdocs unterhalb des Apache-Ordners?[/quote]
das wäre bei mir da liegt das Board
das wäre bei mir
Code: Alles auswählen
var/www/web12/html/
cu aM
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Öhm, also kannst Du nun .htaccess-Files im Root ablegen oder nicht oder eben diese mit dem hier genannten Code nicht? Dann könnte auch Dein Apache was dagegen haben...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Ah ja. Jetzt hab auch ich das verstanden
Okay. Wenn diese Codes nicht angenommen werden, dann ist entweder der Apache nicht dazu in der Lage (und braucht etwas andere Befehle, deren Syntax sich meinem Wissen entziehen ) oder die Möglichkeiten sind bewusst abgeschaltet worden.
Bei letzterem mal den Provider fragen, zur ersten Möglichkeit prüfen, ob Apache als Webserver und wenn ja in welcher Version vorhanden ist.
Okay. Wenn diese Codes nicht angenommen werden, dann ist entweder der Apache nicht dazu in der Lage (und braucht etwas andere Befehle, deren Syntax sich meinem Wissen entziehen ) oder die Möglichkeiten sind bewusst abgeschaltet worden.
Bei letzterem mal den Provider fragen, zur ersten Möglichkeit prüfen, ob Apache als Webserver und wenn ja in welcher Version vorhanden ist.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Okay, dann lass es in Deinem Fall so. Wurde dann eben so konfiguriert.
Hauptsache, es funktioniert.
Hauptsache, es funktioniert.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
[quote="Bootenks - Do 30.Dez, 2004 01:30";p="19490"]also in root von Webspace sonst ist das ja sinnlos sonst sperrste dich ja von deinem eigenem Foum :-P[/quote]
Also, ich hab jetzt nicht alle Kommentare danach gelesen aber:
Also, ich hab jetzt nicht alle Kommentare danach gelesen aber:
phpbb.de hat geschrieben:Diese Datei funktioniert nur mit einem Apache-Server und ist als .htaccess (siehe auch diesen Artikel) in das Foren-Stamm-Verzeichnis zu stellen (also in das Verzeichnis, in dem sich auch die config.php befindet).
[quote="modbo - Do 06.Jan, 2005 00:06";p="19898"]
Also, ich hab jetzt nicht alle Kommentare danach gelesen aber:
und auch da krieg ich nen 403er
Also, ich hab jetzt nicht alle Kommentare danach gelesen aber:
[/quote]phpbb.de hat geschrieben:Diese Datei funktioniert nur mit einem Apache-Server und ist als .htaccess (siehe auch diesen Artikel) in das Foren-Stamm-Verzeichnis zu stellen (also in das Verzeichnis, in dem sich auch die config.php befindet).
und auch da krieg ich nen 403er
cu aM
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Öhm, normalerweise nur in das Root-Verzeichnis.
Aber man kann natürlich auch alle Verzeichnisse des Forums mit diesem .htaccess-Anto-Wurm-Code versorgen (und nur mit diesem!), damit jeder Link auf das Forum, egal wohin, abgefangen wird.
Hängt aber wieder von den Einstellungen des Webservers ab.
Aber man kann natürlich auch alle Verzeichnisse des Forums mit diesem .htaccess-Anto-Wurm-Code versorgen (und nur mit diesem!), damit jeder Link auf das Forum, egal wohin, abgefangen wird.
Hängt aber wieder von den Einstellungen des Webservers ab.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Ma ein kleines Frägelchen meinerseits:
^ So siehts ja in der .htaccess immer aus. Als RewriteRule wird immer http://127.0.0.1 angegeben. Jetzt frag ich mich aber was genau er damit Rewritet, nämlich doch das Datenpaket welches schon über die Leitungen drübergegangen ist oder?
Folgendes Szenario:
Angreifer PC > Router 1 > Router 2 > Router 3 > ... > Router n > Euer Server
so läuft das Datenpaket ja durchs Netz. Wenn der Server das Datenpaket an der Stelle der .htaccess auf 127.0.0.1 Rewritet müsste doch eigentlich der Server selbst damit erreicht werden, denn der Angreifer PC kann zu diesem Zeitpunkt damit gar nicht mehr ausfindig gemacht werden.
Also die Frage:
Schreibt er die Antwort des HTTP Paketes damit um oder schreibt er den Weg des Datenpaketes um? Wenn er nämlich das eingehende Datenpaket umschreibt, dann würde man die Angriffe alle nur auf ein anderes Ziel auf dem Server leiten und damit Traffic verursachen.
Ich weiß es nämlich nicht mehr genau ob er beim Rewriting das Antwortpaket umschreibt oder das eingehende Paket. Kann da einer meine Verwirrung auflösen oder bestätigen das ich grad einen Traffic-Erzeuger gefunden hab? ^d
Code: Alles auswählen
# prevent Perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
Folgendes Szenario:
Angreifer PC > Router 1 > Router 2 > Router 3 > ... > Router n > Euer Server
so läuft das Datenpaket ja durchs Netz. Wenn der Server das Datenpaket an der Stelle der .htaccess auf 127.0.0.1 Rewritet müsste doch eigentlich der Server selbst damit erreicht werden, denn der Angreifer PC kann zu diesem Zeitpunkt damit gar nicht mehr ausfindig gemacht werden.
Also die Frage:
Schreibt er die Antwort des HTTP Paketes damit um oder schreibt er den Weg des Datenpaketes um? Wenn er nämlich das eingehende Datenpaket umschreibt, dann würde man die Angriffe alle nur auf ein anderes Ziel auf dem Server leiten und damit Traffic verursachen.
Ich weiß es nämlich nicht mehr genau ob er beim Rewriting das Antwortpaket umschreibt oder das eingehende Paket. Kann da einer meine Verwirrung auflösen oder bestätigen das ich grad einen Traffic-Erzeuger gefunden hab? ^d
http://httpd.apache.org/docs-2.0/mod/mod_rewrite.html
naja ich denke er wird immer eine antwort senden müssen woher soll der browser sonst was bekommen
hier
http://www.phpbb.de/viewtopic.php?t=54059
gibt er mit [F,L] ne 403 seite
kannst ja mal hier mit dem paketsniffer zugreifen ;-)
http://e3.xv12.com/?rush=cd
EDIT
hab dir mit
http://e3.xv12.com/?rush=403
statt 127.0.0.1 [R,L] noch das oben erwähnte [F,L] zum testen eingerichted, kannst ja mal sehen was du zurück gesandt bekommst an daten
naja ich denke er wird immer eine antwort senden müssen woher soll der browser sonst was bekommen
hier
http://www.phpbb.de/viewtopic.php?t=54059
gibt er mit [F,L] ne 403 seite
kannst ja mal hier mit dem paketsniffer zugreifen ;-)
http://e3.xv12.com/?rush=cd
EDIT
hab dir mit
http://e3.xv12.com/?rush=403
statt 127.0.0.1 [R,L] noch das oben erwähnte [F,L] zum testen eingerichted, kannst ja mal sehen was du zurück gesandt bekommst an daten
Zuletzt geändert von Titus am Sa 09.Jul, 2005 18:07, insgesamt 3-mal geändert.
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Am Anfang oder am Ende. Das ist egal.
Nur nicht mitten drinnen, das könnte bestehende Definitionen zerstören.
Nur nicht mitten drinnen, das könnte bestehende Definitionen zerstören.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Ja, müsste er.Der CracherTracker müsste das doch eigentlich dann erledigen oder?
Dieser htaccess eintrag Blockt halt nur einige angriffe noch bevor der CTracker es könnte.
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________
Kein Support per PM, ICQ oder eMail!!![/center]
______________________________________
Kein Support per PM, ICQ oder eMail!!![/center]
Ich würde gerne wissen, wie es hiermit aussieht:
So sieht meine neue .htaccess aus, ich habe da einiges geändert...Sinnvolles?
Code: Alles auswählen
RewriteEngine On
# prevent access from santy webworm a-e
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*).system(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20 [OR]
RewriteCond %{QUERY_STRING} ^(.*)union(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)UNION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)alert\(document(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SQL_INJECTION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)cmd
RewriteCond %{QUERY_STRING} ^(.*)cmd=
RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]
# prevent pre php 4.3.10 bug
RewriteCond %{HTTP_COOKIE}% s:(.*):%22test1%22%3b
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
# prevent Perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
was hast du geändert?
nur dass die vermutlich nicht geht weil du das letzte [OR] vergessen hast, außerdem wenn du cmd & cmd= filterst kommts auf gleiche raus, das mit dem = ist eben sicherer für den fall dass dieses cmd mal in nem suchstring enthalten währe da ein = dort eigentlich nichts zu suchen hat
nur wüsste ich nicht was du jetzt sinnvoll/sinnlos gemacht hast
nur dass die vermutlich nicht geht weil du das letzte [OR] vergessen hast, außerdem wenn du cmd & cmd= filterst kommts auf gleiche raus, das mit dem = ist eben sicherer für den fall dass dieses cmd mal in nem suchstring enthalten währe da ein = dort eigentlich nichts zu suchen hat
nur wüsste ich nicht was du jetzt sinnvoll/sinnlos gemacht hast
Wo kommt das [OR] hin? Hinter RewriteRule ^.*$ http://127.0.0.1/ [R,L] oder RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]?
neue Änderungen (habe ich auf einer anderen Seite gefunden):
Find
Afer, Add
Find
After, Add
Find
Replace with
neue Änderungen (habe ich auf einer anderen Seite gefunden):
Find
Code: Alles auswählen
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
Code: Alles auswählen
RewriteCond %{QUERY_STRING} ^(.*)wget\%20 [OR]
Code: Alles auswählen
RewriteCond %{QUERY_STRING} ^(.*)cmd
Code: Alles auswählen
RewriteCond %{QUERY_STRING} ^(.*)cmd=
Code: Alles auswählen
# prevent access from santy webworm
Code: Alles auswählen
# prevent access from santy webworm a-e