Hallo,
bei meiner phpBB2 basierter Website habe ich wegen dem phpBB2 Wurm massiv Traffic, bei dem versucht wird mein Forum zu knacken.
Die Sicherheitslücke in der viewtopic.php ist aber gefixt.
Mich nervt nur, daß nun ständig > 100 Wurm-User in meinem Forum Traffic verursachen. Das phpBB2 Skript habe ich erstmal so abgeändert, daß alle Wurm-Seitenabrufe mit exit(); enden.
Natürlich laufen trotzdem meine Logs voll.
Irgendwo hab ich mal gelesen, daß es ne Möglichkeit gibt, die IP-Pakete auf mögliche Exploits zu filtern. Leider weiß ich nicht mehr, wo ich das gesehen habe.
Mir schwebt vor, ne Art Firewall auf meinem Debian-Server laufen zu lassen, die Exploits in eingehenden Verbindungen erkennen kann und die dazugehörige IP dann blockt, sprich alle Pakete wegwirft. Gibts sowas?
Grüße, Rainer
[Edit] Hasrghh... sollte eigentlich ins Forum für Sicherheitsrelevante Themen... [/Edit]
phpBB2 Traffic zu hoch
Re: phpBB2 Traffic zu hoch
Ohne Gewähr:
Code: Select all
RewriteEngine On
RewriteCond %{QUERY_STRING} ^(.*)wget%20 [OR]
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)highlight=%2527 [OR]
RewriteCond %{HTTP_COOKIE}% s:(.*):%22test1%22%3b [OR]
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: phpBB2 Traffic zu hoch
Mit "strings"-Patch versehenes IPTables.Mir schwebt vor, ne Art Firewall auf meinem Debian-Server laufen zu lassen, die Exploits in eingehenden Verbindungen erkennen kann und die dazugehörige IP dann blockt, sprich alle Pakete wegwirft. Gibts sowas?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: phpBB2 Traffic zu hoch
Vielen Dank für die Tipps!
Hab jetzt ein Skript gefunden und angepasst, was als Deamon läuft und das apache access.log nach Einbruchsversuchen parst.
Bei erkannten Einbruchsversuchen/Wurmzugriffen erfolgt ein
iptables -A INPUT -s <IP> -j DROP
:-)
Hab jetzt ein Skript gefunden und angepasst, was als Deamon läuft und das apache access.log nach Einbruchsversuchen parst.
Bei erkannten Einbruchsversuchen/Wurmzugriffen erfolgt ein
iptables -A INPUT -s <IP> -j DROP
:-)
Re: phpBB2 Traffic zu hoch
Kannst Du bitte vielleicht einen Link zu dem Script posten? Ich würde es mir auch gerne einmal ansehen. Danke.
Re: phpBB2 Traffic zu hoch
http://www.pettingers.org/code/DAVBlack.html
Zum Anfangsthema hab ich was gefunden, lag die ganze Zeit im Zeitschriftenstapel auf der Toilette :oops:
CT22/2004, Seite 230: Einbruchsschutz mit Snort-inline.
http://www.snort.org
http://snort-inline.sourceforge.net/
Grüße, Rainer
Zum Anfangsthema hab ich was gefunden, lag die ganze Zeit im Zeitschriftenstapel auf der Toilette :oops:
CT22/2004, Seite 230: Einbruchsschutz mit Snort-inline.
http://www.snort.org
http://snort-inline.sourceforge.net/
Grüße, Rainer