Serverüberlastung durch Perl

[Joe User]

Nicht auf 2.0.11 upgedatet? :roll:

Die Aktualisierungen erfolgen nicht per Update (Files+DB), sondern per Patch (Files) ;)

[adjustman]

Die Aktualisierungen erfolgen nicht per Update (Files+DB), sondern per Patch (Files) ;)

:P Is ja auch egal. Ich hab 2 Boards "updatet" und da steht dann im Footer 2.0.11

[athlux]

und da steht dann im Footer 2.0.11

Nicht unbedingt.

Wenn man nämlich nicht das im install Ordner vorhandene "update_to_211.php" ausführt dann wird die phpBB Versionsnummer in der Datenkbank nicht erhöht.

Der Erfolg des Updates selbst ist davon nicht betroffen es sei den es ändert sich mal irgendwas in der Datenbank.

[adjustman]

Ja, Santy.C

Der ist die letzten 2 Tage wieder kräftig am wirken. Diesmal komt es als Mozilla/4.0 daher. DAS zu blocken ist ja wohl nicht möglich, oder? Ich mein per .htaccess.
Auszug aus dem Log:

Code: Select all

viewtopic.php?p=3787&highlight=%2527%252Esystem(chr(112)%252Echr
(101)%252Echr(114)%252Echr(108)%252Echr(32)%252Echr(45)%252Echr
(101)%252Echr(32)%252Echr(34)%252Echr(112)%252Echr(114)%252Echr
(105)%252Echr(110)%252Echr(116)%252Echr(32)%252Echr(113)%252Echr
(40)%252Echr(106)%252Echr(83)%252Echr(86)%252Echr(111)%252Echr
(119)%252Echr(77)%252Echr(115)%252Echr(100)%252Echr(41)%252Echr
(34))%252E%2527,Mozilla/4.0

[Joe User]

Der ist die letzten 2 Tage wieder kräftig am wirken.

Es hält sich allerdings noch in Grenzen.

Diesmal komt es als Mozilla/4.0 daher. DAS zu blocken ist ja wohl nicht möglich, oder? Ich mein per .htaccess.

Wird von jeder einzelnen der ersten drei RewriteCond der Santy-RewriteRule abgefangen:

Code: Select all

<Files ~ ".(cfg|inc|tpl)$">
    Order allow,deny
    Deny from all
</Files>
<IfModule mod_rewrite.c>
    RewriteLog "/var/log/apache2/rewrite.log"
    RewriteLogLevel 0
    RewriteEngine On

    # prevent payloads via wget
    RewriteCond %{QUERY_STRING} ^(.*)wget%20 [NC]
    RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]

    # prevent access from santy webworm
    RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [NC,OR]
    RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [NC,OR]
    RewriteCond %{QUERY_STRING} ^(.*)highlight=%2527 [NC,OR]
    RewriteCond %{QUERY_STRING} ^(.*)rush=%65%63%68 [NC,OR]
    RewriteCond %{QUERY_STRING} ^(.*)rush=echo [NC]
    RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]

    # prevent pre php 4.3.10 bug
    RewriteCond %{HTTP_COOKIE}% s:(.*):%22test1%22%3b [NC]
    RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]
</IfModule>

[adjustman]

Es hält sich allerdings noch in Grenzen.

na ja, über 300 pro Tag ... Nenn ich nicht grad wenig.

Den "neuen" Eintrag anstatt oder zusätzlich zum "alten"?

[Joe User]

Ich habe derzeit ~450/Tag, in der ersten Welle waren es >1200/Tag.

Du kannst die von mir geposteten RewriteRules vor Deine bisherigen setzen (es wird jeweils nur die erste passende RewriteRule ausgeführt).

[adjustman]

@Joe User

wenn ich das richtig verstehe, dürften dann keine Angriffe zu den Boards durchkommen, oder?

[Joe User]

Richtig, der Wurm wird per Redirect zum Sourcesystem zurück geschickt und attackiert sich quasi selbst. Hierbei wird lediglich mod_rewrite geladen und ausgeführt, kein PHP.

[adjustman]

Richtig, der Wurm wird per Redirect zum Sourcesystem zurück geschickt und attackiert sich quasi selbst

mmh, und DAS funktioniert bei mir nicht :( Kann das was mit Confixx (vhost und mhost) zu tun haben?

[yt]

redirect ist soviel ich weiss nicht per default aktiviert auf den 1&1-Rooties.

[adjustman]

redirect ist soviel ich weiss nicht per default aktiviert auf den 1&1-Rooties.

DAS: RewriteEngine On
in der httpd.conf schaltet es doch aber ein!? Und die mod_rewrite.c wird auch von dort geladen

[Joe User]

mmh, und DAS funktioniert bei mir nicht :( Kann das was mit Confixx (vhost und mhost) zu tun haben?

Setze die beiden Blöcke (in der httpd.conf) vor den SSL-vHost und den mhost-Include, dann sollte es auch mit Confixx funktionieren.

[adjustman]

und diese Versuche werden dann in der /var/log/httpd/rewrite.log geloggt?

EDIT: Funktioniert leider nicht.

[Joe User]

Wird mod_rewrite geladen?

Code: Select all

grep "mod_rewrite.so" /etc/apache2/httpd.conf

[adjustman]

Ja

Code: Select all

grep "mod_rewrite.so" /etc/httpd/httpd.conf
LoadModule rewrite_module     libexec/mod_rewrite.so

[Joe User]

OK, dann ersetze mal die

Code: Select all

RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]

durch

Code: Select all

RewriteRule ^.*$ - [F,L]

[adjustman]

nee, geht auch nicht. :(
schon wieder 3 Angriffe in 2 min.

[Joe User]

Hast Du nach den Ã?nderungen auch apachectl graceful aufgerufen? Poste bitte nochmal ein paar vollständige Log-Zeilen (access.log) der Angriffe.

[adjustman]

ja, sogar stop und start, zur Sicherheit.

Code: Select all

/community/viewtopic.php?p=4864&highlight=%2527%252Esystem(chr(112)%252Echr
(101)%252Echr(114)%252Echr(108)%252Echr(32)%252Echr(45)%252Echr(101)%252Echr
(32)%252Echr(34)%252Echr(112)%252Echr(114)%252Echr(105)%252Echr(110)%252Echr
(116)%252Echr(32)%252Echr(113)%252Echr(40)%252Echr(106)%252Echr(83)%252Echr
(86)%252Echr(111)%252Echr(119)%252Echr(77)%252Echr(115)%252Echr(100)%252Echr
(41)%252Echr(34))%252E%2527 HTTP/1.0" 200 513

[adjustman]

@Joe User - keine Ideen mehr? :?

[Joe User]

ATM leider nicht :/

[adjustman]

danke. Und wenn Dir noch was einfällt ...

[morgherkul]

Alle verfügbaren Updates einspielen und zusätzlich mindestens folgende RewriteRule als Traffikbremse in die httpd.conf einfügen:

php 4.3.10
phpBB2 2.0.11

Gibt es da noch andere, die ich vergessen haben könnte?

[Joe User]

Gibt es da noch andere, die ich vergessen haben könnte?

Wahrscheinlich den Rest der auf dem System installierten Software ;)