In den letzten Tagen wurden wieder weitere massive Angriffe gegen OXPUS.de gefahren, mit dem Versuch, das Passwort des Admins (also meins) zu erspähen, ja sogar zu ersetzen!
Der Admin Error Log Mod fing diese Versuche komplett ab und quittierte den Dienst mit einem Eintrag in die Fehler-Tabelle.
Der entscheidene Hinweis liegt hier auf "UNION". Die Abwehr hierzu ist mit dem CrackerTracker angepasst, um auch mögliche Quellen dieser Angriffe auszumachen.
Ebenso hatte ein User versucht, einen Angriff gegen den Kalender zu fahren!
Erfolglos.
Der User ist entsprechend gebannt worden! Der Eintrag dieses Logs bleibt unter Verschluß.
Dazu ein dringender Sicherheitshinweis an alle CalPro-Benutzer:
Martin von http://www.snailsource.com erstellt gerade ein Update des Kalenders, der diese Angriffe protokolliert und eine Email an den Admin und Websnail schickt, damit der Urheber dingfest gemacht werden kann.
Es ist dringend jedem anzuraten, schnellstmöglich den Kalender zu aktualisieren, sobald das Update vorhanden ist, da hier massive Angriffe gefahren werden!
Nötige Änderungen an den betreffenden Dateien des CBack CrackerTracker 1.0.3!:
Code: Alles auswählen
#
#-----[ OPEN ]-----
#
Die gewünschte Datei
#
#-----[ FIND ]-----
#
$checkworm4 = str_replace("rush=", "*", "$checkworm3");
if ($cbackcracktrack == $checkworm4)
{
#
#-----[ REPLACE WITH ]-----
#
$checkworm4 = str_replace("rush=", "*", "$checkworm3");
$checkworm5 = str_replace("UNION", "*", "$checkworm4");
if ($cbackcracktrack == $checkworm5)
{
#
#-----[ SAVE/CLOSE ALL FILES ]-----
#
# EoM
Und der Schutz per .htaccess:
Code: Alles auswählen
# prevent access from santy webworm a-e
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
Code: Alles auswählen
# prevent access from santy webworm a-e
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)union(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)UNION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
Manche Server-Konfiguration unterscheidet hier.