Schutz vor dem phpBB-Wurm mittels .htaccess

Beitrag von **oxpus** » Mo 03.Jan, 2005 00:38

? Das wäre mir neu.
Also wenn Dein Hoster keine .htaccess im Root des Webspaces zulässt, dann ist das schon nicht okay.
Aber meinst Du auch das korrekte Verzeichnis? Also httdocs unterhalb des Apache-Ordners? Nicht das Root-Verzeichnis des Servers

Beitrag von **adjustMan** » Mo 03.Jan, 2005 01:54

[quote="oxpus - Mo 03.Jan, 2005 00:38";p="19742"]Aber meinst Du auch das korrekte Verzeichnis? Also httdocs unterhalb des Apache-Ordners?[/quote]
das wäre bei mir

Code: Alles auswählen

var/www/web12/html/

da liegt das Board

Beitrag von **oxpus** » Di 04.Jan, 2005 00:04

Ja, und da klappen .htaccess-Files nicht?
Seltsam...
Mal die Rechte geprüft?

Beitrag von **adjustMan** » Di 04.Jan, 2005 01:25

[quote="oxpus - Di 04.Jan, 2005 00:04";p="19776"]Ja, und da klappen .htaccess-Files nicht?
[/quote]
Doch, generell schon. Nur nicht diese

Mal die Rechte geprüft?

Ja, die gehören dem User, in dem Fall web12

Beitrag von **oxpus** » Di 04.Jan, 2005 20:27

Öhm, also kannst Du nun .htaccess-Files im Root ablegen oder nicht oder eben diese mit dem hier genannten Code nicht? Dann könnte auch Dein Apache was dagegen haben...

Beitrag von **adjustMan** » Di 04.Jan, 2005 21:11

[quote="oxpus - Di 04.Jan, 2005 20:27";p="19827"]Öhm, also kannst Du nun .htaccess-Files im Root ablegen oder nicht
[/quote]
ja, kann ich

oder eben diese mit dem hier genannten Code nicht?

genau

Beitrag von **oxpus** » Mi 05.Jan, 2005 01:17

Ah ja. Jetzt hab auch ich das verstanden

Okay. Wenn diese Codes nicht angenommen werden, dann ist entweder der Apache nicht dazu in der Lage (und braucht etwas andere Befehle, deren Syntax sich meinem Wissen entziehen

) oder die Möglichkeiten sind bewusst abgeschaltet worden.
Bei letzterem mal den Provider fragen, zur ersten Möglichkeit prüfen, ob Apache als Webserver und wenn ja in welcher Version vorhanden ist.

Beitrag von **adjustMan** » Mi 05.Jan, 2005 02:02

[quote="oxpus - Mi 05.Jan, 2005 01:17";p="19855"]ob Apache als Webserver und wenn ja in welcher Version vorhanden ist.[/quote]
Apache/1.3.27 - Und in der httpd.conf funktionieren die Anweisungen ohne Meckern

Beitrag von **oxpus** » Mi 05.Jan, 2005 18:50

Okay, dann lass es in Deinem Fall so. Wurde dann eben so konfiguriert.
Hauptsache, es funktioniert.

Beitrag von **modbo** » Do 06.Jan, 2005 00:06

[quote="Bootenks - Do 30.Dez, 2004 01:30";p="19490"]also in root von Webspace sonst ist das ja sinnlos

sonst sperrste dich ja von deinem eigenem Foum :-P[/quote]
Also, ich hab jetzt nicht alle Kommentare danach gelesen aber:

phpbb.de hat geschrieben:Diese Datei funktioniert nur mit einem Apache-Server und ist als .htaccess (siehe auch diesen Artikel) in das Foren-Stamm-Verzeichnis zu stellen (also in das Verzeichnis, in dem sich auch die config.php befindet).

Beitrag von **adjustMan** » Do 06.Jan, 2005 01:46

[quote="modbo - Do 06.Jan, 2005 00:06";p="19898"]
Also, ich hab jetzt nicht alle Kommentare danach gelesen aber:

phpbb.de hat geschrieben:Diese Datei funktioniert nur mit einem Apache-Server und ist als .htaccess (siehe auch diesen Artikel) in das Foren-Stamm-Verzeichnis zu stellen (also in das Verzeichnis, in dem sich auch die config.php befindet).

[/quote]
und auch da krieg ich nen 403er

Beitrag von **oxpus** » Do 06.Jan, 2005 01:49

Öhm, normalerweise nur in das Root-Verzeichnis.

Aber man kann natürlich auch alle Verzeichnisse des Forums mit diesem .htaccess-Anto-Wurm-Code versorgen (und nur mit diesem!), damit jeder Link auf das Forum, egal wohin, abgefangen wird.
Hängt aber wieder von den Einstellungen des Webservers ab.

Beitrag von **cback** » Sa 09.Jul, 2005 17:34

Ma ein kleines Frägelchen meinerseits:

Code: Alles auswählen

# prevent Perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

^ So siehts ja in der .htaccess immer aus. Als RewriteRule wird immer http://127.0.0.1 angegeben. Jetzt frag ich mich aber was genau er damit Rewritet, nämlich doch das Datenpaket welches schon über die Leitungen drübergegangen ist oder?

Folgendes Szenario:

Angreifer PC > Router 1 > Router 2 > Router 3 > ... > Router n > Euer Server

so läuft das Datenpaket ja durchs Netz. Wenn der Server das Datenpaket an der Stelle der .htaccess auf 127.0.0.1 Rewritet müsste doch eigentlich der Server selbst damit erreicht werden, denn der Angreifer PC kann zu diesem Zeitpunkt damit gar nicht mehr ausfindig gemacht werden.

Also die Frage:
Schreibt er die Antwort des HTTP Paketes damit um oder schreibt er den Weg des Datenpaketes um? Wenn er nämlich das eingehende Datenpaket umschreibt, dann würde man die Angriffe alle nur auf ein anderes Ziel auf dem Server leiten und damit Traffic verursachen.

Ich weiß es nämlich nicht mehr genau ob er beim Rewriting das Antwortpaket umschreibt oder das eingehende Paket. Kann da einer meine Verwirrung auflösen oder bestätigen das ich grad einen Traffic-Erzeuger gefunden hab? ^d

Beitrag von **Titus** » Sa 09.Jul, 2005 18:00

http://httpd.apache.org/docs-2.0/mod/mod_rewrite.html

naja ich denke er wird immer eine antwort senden müssen woher soll der browser sonst was bekommen

hier
http://www.phpbb.de/viewtopic.php?t=54059

gibt er mit [F,L] ne 403 seite

kannst ja mal hier mit dem paketsniffer zugreifen ;-)
http://e3.xv12.com/?rush=cd

EDIT
hab dir mit
http://e3.xv12.com/?rush=403
statt 127.0.0.1 [R,L] noch das oben erwähnte [F,L] zum testen eingerichted, kannst ja mal sehen was du zurück gesandt bekommst an daten

Beitrag von **cback** » Sa 09.Jul, 2005 18:16

Ach ja dann wars doch im Antwortpaket. Ich verwechsel das immer ^b

Danke

Twins · Beitrag von **Twins** » Mo 11.Jul, 2005 15:47

Muss man oxpus Code in der Datei am Ende (mit Leerzeile oder ohne?) oder irgentwo in der Mitte einfügen?

Beitrag von **oxpus** » Mo 11.Jul, 2005 16:46

Am Anfang oder am Ende. Das ist egal.
Nur nicht mitten drinnen, das könnte bestehende Definitionen zerstören.

Twins · Beitrag von **Twins** » Mo 11.Jul, 2005 17:01

Ist es normal, das das Forun dann eine Fehlermeldung ausgibt, das alle Server dateien zerstört wurden? Ich habe einfach die erste Zeile (das mit den ON) weggelassen und es ging.

Beitrag von **cback** » Mo 11.Jul, 2005 17:26

Glückwunsch, dann ist die Datei unbrauchbar wenn Rewrite nich eingeschaltet wird.

Wenns mit nich geht gehts wegen dem Server net.

Twins · Beitrag von **Twins** » Mo 11.Jul, 2005 17:33

Ich zeihe am Donnerstag ja auf einen neuen Server um, da geht das vielleicht.wenn nicht, muss der Schutz sein? Der CracherTracker müsste das doch eigentlich dann erledigen oder?

Beitrag von **AmigaLink** » Mo 11.Jul, 2005 18:05

Der CracherTracker müsste das doch eigentlich dann erledigen oder?

Ja, müsste er.
Dieser htaccess eintrag Blockt halt nur einige angriffe noch bevor der CTracker es könnte.

Twins · Beitrag von **Twins** » Sa 13.Aug, 2005 21:10

Ich würde gerne wissen, wie es hiermit aussieht:

Code: Alles auswählen

RewriteEngine On 

# prevent access from santy webworm a-e
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*).system(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20 [OR]
RewriteCond %{QUERY_STRING} ^(.*)union(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)UNION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)alert\(document(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SQL_INJECTION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)cmd
RewriteCond %{QUERY_STRING} ^(.*)cmd=
RewriteRule ^.*$ http://127.0.0.1/ [L,R=301] 
    
# prevent pre php 4.3.10 bug 
RewriteCond %{HTTP_COOKIE}% s:(.*):%22test1%22%3b 
RewriteRule ^.*$ http://127.0.0.1/ [R,L] 
   
# prevent Perl user agent (most often used by santy) 
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC] 
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

So sieht meine neue .htaccess aus, ich habe da einiges geändert...Sinnvolles?

Beitrag von **Titus** » So 14.Aug, 2005 00:26

was hast du geändert?
nur dass die vermutlich nicht geht weil du das letzte [OR] vergessen hast, außerdem wenn du cmd & cmd= filterst kommts auf gleiche raus, das mit dem = ist eben sicherer für den fall dass dieses cmd mal in nem suchstring enthalten währe da ein = dort eigentlich nichts zu suchen hat
nur wüsste ich nicht was du jetzt sinnvoll/sinnlos gemacht hast

Twins · Beitrag von **Twins** » So 14.Aug, 2005 09:28

Wo kommt das [OR] hin? Hinter RewriteRule ^.*$ http://127.0.0.1/ [R,L] oder RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]?
neue Änderungen (habe ich auf einer anderen Seite gefunden):
Find

Code: Alles auswählen

RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]

Afer, Add

Code: Alles auswählen

RewriteCond %{QUERY_STRING} ^(.*)wget\%20 [OR]

Find

Code: Alles auswählen

RewriteCond %{QUERY_STRING} ^(.*)cmd

After, Add

Code: Alles auswählen

RewriteCond %{QUERY_STRING} ^(.*)cmd=

Find

Code: Alles auswählen

# prevent access from santy webworm

Replace with

Code: Alles auswählen

# prevent access from santy webworm a-e

Beitrag von **cback** » So 14.Aug, 2005 13:37

Auuuuuuuuu das schon am frühen morgen. Wir brauchen hier einen Sanitäter für mich. *wuuuuuuuuuurrrrrrrp* *zu boden geh*

Lass Die .htaccess besser so wie sie ist das ist besser für Dich und Deinen Webserver.