Anti DDOS Atacke

[HammerBe]

Hallo
Wir alle wissen das es mit Sicherheit der forums sehr viele Probleme gibt,Jeder möchter seine Forum gut wie möglich schützen,Es gibt viele programme oder möglichkeiten wo manche angeblich schutz Mods nichts gegen richtige atacke was tauchen.Ich habe damit sehr gute erfahrung gemacht da hilft leider ctraker auch nicht,Ich weis auch nicht wo für das ctraker gut sein soll Habe ihn auch bei mir erntfernt.

Um eure Forums gut von dem bösen jungs zu schützen könnt ihr das was ich biete einbauen,Einzige haken an dem ist der läst auch keine Bot,s Also das ist so ein Firewall.Das snipped ist nicht von mir das habe ich von irgent wo bei mir notiert fals ich das mall brauche.

Ihr müst die html sachen und error sachen für euch anpassen.Wen jemand solche Atacken hat kan er vorrubergehend das nehmen.Natürlich ist eine 100% DDOS atacke Sicherheit nur über Root möglich.Fals jemand einen Root benutzt und solche problem hat helfe ich ihm gerne mit IPTables.

Code: Alles auswählen

#---[OPEN]-------------------------------------------------------
	common.php

#---[FIND]-------------------------------------------------------

if ( !defined('IN_PHPBB') )
{
	die("Hacking attempt");
}

#---[AFTER, ADD]-------------------------------------------------

//BEGIN: Simple firewall
session_start();
if (empty($HTTP_SESSION_VARS['letgo']))
{
	if (!empty($HTTP_POST_VARS['letgo']))
	{
		session_register('letgo');
		$HTTP_SESSION_VARS['letgo']='xaquebaochung';
		header("location: index.php");
		exit();
	}

	$sform='<html>
	<head>
		<title>Forum Shutz</title>
		<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
   </head>
	<body bgcolor="#ffffff">
	<p>&nbsp;
	<p align="center">&nbsp;
	<img border="0" src="http://www.deine-seite.de/error.gif"><p align="center">&nbsp;<font face="tahoma" size=2 color="#ff0000"><b>Das ist Ein Forum Schutz.</b><br></font>
	<p align=center>
	<table>
	<tr><td>
		<form name="sercform" method="POST" action="index.php">
			<input type="submit" value="Ok Forum Betreten" name="letgo">
		</form>
	</td></tr>
	</table>
	</body>
	</html>';
	echo $sform;

	exit();
}
//END: Simple firewall

[oxpus]

Oha, das mit dem Ctracker lass nicht Cback lesen.
Der CT blockiert (neben vielen anderen Sicherheitsfeatures) gefährliche Inhalte beim Übertragen von Daten im Forum indem die Daten selber geprüft werden, BEVOR diese wirklich beim Board ankommen!
Nur so kann man bei schlecht oder unsicher programmierten MODs (das phhBB selber - ungemoddet - ist bereits sehr sicher!) auch wirklich Schutz erhalten.
Daneben verhindert der CT Spam, unerlaubte Dateimanipulationen werden so leichter sichtbar, etc.
Den CT also nicht einzusetzen ist wie auf einem PC selber keine Firewall oder kein Antivirus-Programm zu verwenden!
Leider wird genau das von diversen Leuten (und Du gehörst scheinbar auch dazu) nicht richtig verstanden.

Das von Dir gepostete Snippet ist aber dagegen alles andere als hilfreich, denn genau das, was der CT verhindert, wäre mit diesem Snippet ebenfalls möglich:
Die unerlaubte Anmeldung, bzw. Benutzung des Boards.
Das Snippet lässt sich schliesslich einfach umgehen.
Sorry, aber so kann man sein Board nicht effektiv genug schützen!

[HammerBe]

Also magsein das ctraker das was du sagst zu füllen aber wie gesagt gegen richtige hack atacken macht der nichts guckt nur zu Ich habe das selber probiert.Dan habe ich mir gedacht naja wen der gegen solche angriffe nichts taucht brauche ich ihn auch nicht.Aber manche sachen sind schon ganz gut.

[oxpus]

DDoS kann man nur durch den Webserver selber erfolgreich abwehren, sofern man diesen korrekt einstellt.
Alles andere führt weiterhin zum Stillstand des Servers, da dieser ja immer mit der Anfrage beschäftigt ist und ein Modul (hier PHP) verwenden muss. Daher ist genau dieses Snippet so überflüssig wie nichts

[HammerBe]

Dieser snipped Hilft 100% gegen ddos flood atacke.

[oxpus]

Dann wäre es das erste, was unter PHP genau das könnte

DoS oder DDoS Attacken nutzen nämlich gerade Scriptsprachen wie PHP aus, um den Server über 100% zu belasten und damit lahm zu legen.
Und genau dagegen hilft das Script eben nicht

[HammerBe]

Oxpus es gibt programme mit dem man einfach das was du meinst in sekunden machen kann,Also einen flood atacke um den gesamten server larm zu legen reicht dieser program aus.Genau das snipped hilft dagegen. ,weil der programm auf php atakiert man gibt den namen der homepage an beispiel http://www.oxpus.de/index.php Egal was hauptsache php am ende,Schon ist der server TOT.

Mfg

[oxpus]

Yepp, aber nicht, wenn der Webserver verhindert, daß X selbe Anfragen oder gehäuft Anfragen vom selben Ziel kommen
Und nochmal:
Kein, und ich meine wirklich KEIN, PHP-Script kann eine DoS oder DDoS Attacke wirklich abhalten, auch das von Dir gepostete Snippet nicht!

[HammerBe]

Das habe ich auch geschrieben Oxpus. Das ist nur eine schnelle Hilfe sein soll,Ein Richtige Abwehr ist nur über Root möglich,Wir bei reden hier das selbe aber einer von uns nimmt die Abkürzung und einer geht lieber bißchen umkreis.

Naja wie auch immer,Falls das dir nicht gefällt kannst das topic löschen.

[Remy75]

vielen dank!

[cback]

[quote="HammerBe";p="72335"]Also magsein das ctraker das was du sagst zu füllen aber wie gesagt gegen richtige hack atacken macht der nichts guckt nur zu [/quote]

Ei da spricht mal wieder einer der von "Hacker" und "Cracker" noch nie was wirkliches gehört hat. Der CrackerTracker hält Attacken auf das Forum in jeglicher Weise ab und macht dies auch wunderbar. Wenn Du Dir den Snippet oben genau ansiehst wirst Du auch feststellen das der weitaus weniger macht... Eigentlich sogar gar nichts. Denn eigentlich sollte man wissen, dass die Anfragen die eine DDoS Attacke auslösen keine Session Cookies / SessionIDs setzen lassen, diese also direkt wieder verfallen und Dein Snippet also null nichts nada bringt. über 90% aller Scripte die eine DoS Attack fahren leeren ihren temporären Cache / Cookies direkt oder nehmen gar nicht erst fixe Daten an. ungefähr 60% davon brechen sogar nach empfang des ersten HTTP Headers ab und starten eine neue Anfrage, da ansonsten bei heutigen Servern keine Überlastung mehr möglich wäre (von einem einzigen Client aus sogar so gut wie ausgeschlossen, da gibts noch kein DSL was schnell genug wäre nen dicken Server vom Netz zu kriegen)


[quote="HammerBe";p="72347"]Dieser snipped Hilft 100% gegen ddos flood atacke. [/quote]

Schon klar... jaja. Man merkt dass Du noch nie eine gemacht hast und auch noch nie in Deinem Leben ein Tool Quellcode gesehen hast das Script Kiddies gerne so einsetzen. Wie gesagt alles was mit Sessions zu tun hat kannste da verhindern, einstellen und nur auf den ersten "OK" Header vom HTTP Request beschränken und dann ne neue Anfrage starten...




Die meisten DoS Attacken klopfen übrigens auf andere Ports die man häufig außer acht lässt... FTP, Telnet, SSH.... Und Dein Snippet macht absolut nichts bei Exploit Anfragen etc.... Und wenn ich mir ein schönes kleines AppleScript oder Firefox Script schreibe was die gesetzte var ignorieren lässt oder unsettet bei jedem Seitenreload (LiveHTTPHeaders, FireBug, etc. können das auch wenn auch etwas umständlicher) dann kann man sich sehr frei bewegen... eigentlich ohne je gestoppt zu werden.


Und wennde den Mechanismus umkehrst haste Dich sauber bei Google & Co ausgesperrt...


Das nur als kleine CBACK erklärt die Welt nebenher. Ich denke mal das CTracker ausbauen kam ehr von wenig Ahnung und mal ne Meldung bekommen und zu faul den Debug Mode einmal zu machen und anschließend geschützt zu sein.


So long... muss jeder wissen ob er gesichert sein will oder lieber vermeintliche unwirksame Scripte installiert und meint er wärs.... und CTracker gehört da nicht dazu... ist immerhin auch das Produkt das am meisten in Ripp-Offs genutzt wird (man sagt ja Software die häufig "Raubkopiert" oder "geklaut" wird ist gut) und nebenbei auch ziemlich oft legal eingesetzt wird in kritischen Bereichen, unter anderem bei Profi-Hostern wie z.B. www.server4you.com im Supportforum. Die kennen sich wenigstens aus und labern nich von kram von dem sie nich genug verstehen....


Sorry aber ein unwirksames Script zu posten was "besser" wäre und dann den CT Bashen lässt mich an die Decke gehen. Wer Technik versteht und kritisiert ist gerne gesehen aber so nicht... "Ich hab die Einstiegsseite vom CCC gelesen ich bin jetzt ein echter Hacker Huu Haaa!"...

[chrsla]

Woho ist da jemand leicht sauer


Also ich bin sehr zufrieden mit dem CT und sehe als Admin echt kein Problem darin mal eben den Debug Modus anzuschmeißen und die Dateien dann dementsprechend zu editieren. Ich finde das sollte man von einem Admin voraussetzen können das er wenn er ein Forum hat sich nicht vor zusätzlicher Arbeit scheut.

Wenn ich Admin eines Forums bin und echt kein Bock habe das richtig zu administrieren dann denke ich brauch ich das auch nicht machen.

Ist meine Meinung.

[oxpus]

Sagen wir es mal einfach:
Ich habe es hierhin geschoben, da es zwar nicht 100 % nutzlos ist, aber auch nur geschätzte 2 % Schutz bietet.

@HammerBe
Allein die Tatsache, daß man unzählige PHP-Instanzen aufruft, bedeutet schon, den Webserver lahm legen zu können und damit dem Server selber zu schaden.
Um echte (D)DoS Attacken abzuwehren, muss man tiefer einsteigen.

Und der Cracker Tracker geht hier auch deutlich weiter, als diene "Simple PHP Firewall". Diese ist nämlich in dem Zusammenhang so nutzlos wie ein Tropfen Wasser in der Wüste.

Und damit jetzt keine weiteren unnützen Diskussionen hierüber aufkommen, schliesse ich hier umgehend ab, sollte es ausarten.

@chrsla
Cback ist nicht gerade sauer, das schaut anders aus, sondern mal wieder "begeistert", wie schnell jemand mit wenig Ahnung wirkungsvolle Schutzmaßnahmen (eine von vielen!) schlecht macht.
Leider ergeht das allen Sicherheitsfirmen und deren Produkte so, zumindest bis dann mal der Super Gau eingetreten ist.
Dann kommen wieder Aussagen wie "hätte ich nur" oder "warum habe ich nichts getan".
Schlimm sind dann gar Ausdrücke wie "Warum haben die mir nicht geholfen" und man hatte überhaupt nichts installiert.

[cback]

[quote="oxpus";p="80307"]Cback ist nicht gerade sauer, das schaut anders aus[/quote]

Stimmt, sauer sieht anders aus. Dann lasse ich der dunklen Seite freien lauf muhahaha.

Ne mein Post, auch wenn er sehr direkt geschrieben ist dient einfach nur der Aufklärung. Wenn jemand konstruktive Kritik hat und die fundiert äußern kann dann habe ich da nie was dagegen. Aber ich kann es nur nicht haben wenn jemand ein Gerücht in die Welt setzt, dass etwas was total unwirksam ist angeblich besser sein soll als ein aufwändigeres Produkt das auf langer Recherche beruht (da hätte ich auch so reagiert wenn es jetzt ein anderes Wirksames gewesen wäre im Vergleich). Und dann noch von 100%iger Sicherheit spricht und damit andere Einsteiger in falscher Sicherheit wiegt.


Oftmals sieht das dann nämlich hinterher so aus:
http://www.community.cback.de/viewtopic ... 267#124267

[Holger]

[quote="oxpus";p="72345"]DDoS kann man nur durch den Webserver selber erfolgreich abwehren, sofern man diesen korrekt einstellt.[/quote]
Wie? Welche Einstellungen sind relevant?

[smarty]

Uns wurde Anfang 2007 vom Hoster ein Forum stillgelegt (phpbb plus), weil darüber mehrfach Massenmails versendet und sonstiger Unsinn angestellt wurde.
Vorher gab es nen Hack im Adminacc.

Seit mitte April nutzen wir Orion, der CT hat bislang knapp 7500 Atts geblockt.
Ich denke die Zahl spricht für sich.

Ich bin mir sicher, ohne CT hätten wir nicht soviel Freude an unserem Forum.

[Holger]

[quote="smarty";p="80316"]Uns wurde Anfang 2007 vom Hoster ein Forum stillgelegt (phpbb plus), weil darüber mehrfach Massenmails versendet und sonstiger Unsinn angestellt wurde.[/quote]
Verstehe ich nicht!
Hätte der Hoster das Forum auch abgeschaltet, wenn ihr Info-Mails per Mass-Email rausgeschickt hättet?
Woher wusste der Hoster, dass es ein Hacker war der die Emails verschickt?

[oxpus]

Woher wusste der Hoster, dass es ein Hacker war der die Emails verschickt?

Vielleicht an den Empfängern oder der Masse?

Wie? Welche Einstellungen sind relevant?

Nun, für den Apache gibt es mehrere Module, die man installieren kann.
Z. B. mod_evasive (nur zu empfehlen, wenn man sich wirklich auskennt) oder mod_security (ein must-have-modul)
Letzteres ist weniger typisch gegen DDoS, hilft aber mit. Es ist auch eher für Sicherheit zuständig.

[Holger]

[quote="oxpus";p="80327"]

Woher wusste der Hoster, dass es ein Hacker war der die Emails verschickt?

Vielleicht an den Empfängern oder der Masse? [/quote]
Die Empfänger können ja nur die Board-Mitglieder sein.
Die Masse kann ja nur die Anzahl der Board-Mitglieder sein x Anzahl Versendungen.

Das kann ja der Admin selber gewesen sein.

Da greift ein Hoster nicht ein.

[smarty]

Wiederholte Massenmails und unsichere Dateien waren die offizielle Aussage unseres Schweizer Ex-Hosters.

Ein Adminacc wurde definitiv gehackt oder manipuliert. Zu dem Zeitpunkt gab es nur 2 Admins, mein Mann und ich

Vll. hat auch einfach der Content nicht gepasst ... war ne Sammlung von Aktivitäten der Brüder Schmidtlein und Herrn Mario Dolzer.

[Holger]

[quote="smarty";p="80340"]... unseres Schweizer Ex-Hosters.[/quote]
Oha, Hostpoint?

[smarty]

Si, erst massig Serverausfälle, dann der Kick bei denen. Weiß garnicht wie die zum größten Anbieter der CH werden konnten ^^

[Holger]

Hahahahaha, genau das Gleiche wie bei uns.
Unser Forum hat angeblich eine tausendfache Serverbelastung verursacht. Andere Kunden hätten bereits verärgert gekündigt. Usw, usw. Aber sie konnten uns nicht sagen, WELCHE Datei genau das Ganze ausgelöst hat!

Vorher haben WIR uns über Serverausfälle beschwert ... da hies es, ein ANDERES Konto würde dies verursachen ... und dann waren wir dran.

[oxpus]

Vorher haben WIR uns über Serverausfälle beschwert ... da hies es, ein ANDERES Konto würde dies verursachen ... und dann waren wir dran.

Hättest Du Dich mal nicht beschwert

Nein, solche Hoster gehören erschossen... Sorry, aber das Geschilderte sind keine seriösen Geschäftspraktiken!

[Holger]

Jaja, hätte ich sowieso gleich auf euch gehört!