RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

Serverüberlastung durch Perl

https://www.rootforum.org/forum/viewtopic.php?t=31941

Page 2 of 2

Re: Serverüberlastung durch Perl

Posted: 2005-01-02 10:36
by Joe User
adjustMan wrote:Nicht auf 2.0.11 upgedatet? :roll:
Die Aktualisierungen erfolgen nicht per Update (Files+DB), sondern per Patch (Files) ;)

Re: Serverüberlastung durch Perl

Posted: 2005-01-02 17:31
by adjustman
Joe User wrote:Die Aktualisierungen erfolgen nicht per Update (Files+DB), sondern per Patch (Files) ;)
:P Is ja auch egal. Ich hab 2 Boards "updatet" und da steht dann im Footer 2.0.11

Re: Serverüberlastung durch Perl

Posted: 2005-01-02 20:34
by athlux
adjustMan wrote: und da steht dann im Footer 2.0.11
Nicht unbedingt.

Wenn man nämlich nicht das im install Ordner vorhandene "update_to_211.php" ausführt dann wird die phpBB Versionsnummer in der Datenkbank nicht erhöht.

Der Erfolg des Updates selbst ist davon nicht betroffen es sei den es ändert sich mal irgendwas in der Datenbank.

Re: Serverüberlastung durch Perl

Posted: 2005-02-11 02:17
by adjustman
Joe User wrote:Ja, Santy.C
Der ist die letzten 2 Tage wieder kräftig am wirken. Diesmal komt es als Mozilla/4.0 daher. DAS zu blocken ist ja wohl nicht möglich, oder? Ich mein per .htaccess.
Auszug aus dem Log:

Code: Select all

viewtopic.php?p=3787&highlight=%2527%252Esystem(chr(112)%252Echr
(101)%252Echr(114)%252Echr(108)%252Echr(32)%252Echr(45)%252Echr
(101)%252Echr(32)%252Echr(34)%252Echr(112)%252Echr(114)%252Echr
(105)%252Echr(110)%252Echr(116)%252Echr(32)%252Echr(113)%252Echr
(40)%252Echr(106)%252Echr(83)%252Echr(86)%252Echr(111)%252Echr
(119)%252Echr(77)%252Echr(115)%252Echr(100)%252Echr(41)%252Echr
(34))%252E%2527,Mozilla/4.0

Re: Serverüberlastung durch Perl

Posted: 2005-02-11 11:10
by Joe User
adjustMan wrote:Der ist die letzten 2 Tage wieder kräftig am wirken.
Es hält sich allerdings noch in Grenzen.
adjustMan wrote:Diesmal komt es als Mozilla/4.0 daher. DAS zu blocken ist ja wohl nicht möglich, oder? Ich mein per .htaccess.
Wird von jeder einzelnen der ersten drei RewriteCond der Santy-RewriteRule abgefangen:

Code: Select all

<Files ~ ".(cfg|inc|tpl)$">
    Order allow,deny
    Deny from all
</Files>
<IfModule mod_rewrite.c>
    RewriteLog "/var/log/apache2/rewrite.log"
    RewriteLogLevel 0
    RewriteEngine On

    # prevent payloads via wget
    RewriteCond %{QUERY_STRING} ^(.*)wget%20 [NC]
    RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]

    # prevent access from santy webworm
    RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [NC,OR]
    RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [NC,OR]
    RewriteCond %{QUERY_STRING} ^(.*)highlight=%2527 [NC,OR]
    RewriteCond %{QUERY_STRING} ^(.*)rush=%65%63%68 [NC,OR]
    RewriteCond %{QUERY_STRING} ^(.*)rush=echo [NC]
    RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]

    # prevent pre php 4.3.10 bug
    RewriteCond %{HTTP_COOKIE}% s:(.*):%22test1%22%3b [NC]
    RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]
</IfModule>

Re: Serverüberlastung durch Perl

Posted: 2005-02-11 16:26
by adjustman
Joe User wrote:Es hält sich allerdings noch in Grenzen.
na ja, über 300 pro Tag ... :wink: Nenn ich nicht grad wenig.

Den "neuen" Eintrag anstatt oder zusätzlich zum "alten"?

Re: Serverüberlastung durch Perl

Posted: 2005-02-11 16:47
by Joe User
Ich habe derzeit ~450/Tag, in der ersten Welle waren es >1200/Tag.

Du kannst die von mir geposteten RewriteRules vor Deine bisherigen setzen (es wird jeweils nur die erste passende RewriteRule ausgeführt).

Re: Serverüberlastung durch Perl

Posted: 2005-02-11 17:08
by adjustman
@Joe User

wenn ich das richtig verstehe, dürften dann keine Angriffe zu den Boards durchkommen, oder?

Re: Serverüberlastung durch Perl

Posted: 2005-02-11 19:37
by Joe User
Richtig, der Wurm wird per Redirect zum Sourcesystem zurück geschickt und attackiert sich quasi selbst. Hierbei wird lediglich mod_rewrite geladen und ausgeführt, kein PHP.

Re: Serverüberlastung durch Perl

Posted: 2005-02-11 20:12
by adjustman
Joe User wrote:Richtig, der Wurm wird per Redirect zum Sourcesystem zurück geschickt und attackiert sich quasi selbst
mmh, und DAS funktioniert bei mir nicht :( Kann das was mit Confixx (vhost und mhost) zu tun haben?

Re: Serverüberlastung durch Perl

Posted: 2005-02-11 20:31
by yt
redirect ist soviel ich weiss nicht per default aktiviert auf den 1&1-Rooties.

Re: Serverüberlastung durch Perl

Posted: 2005-02-11 20:53
by adjustman
YT wrote:redirect ist soviel ich weiss nicht per default aktiviert auf den 1&1-Rooties.
DAS: RewriteEngine On
in der httpd.conf schaltet es doch aber ein!? Und die mod_rewrite.c wird auch von dort geladen

Re: Serverüberlastung durch Perl

Posted: 2005-02-11 21:00
by Joe User
adjustMan wrote:mmh, und DAS funktioniert bei mir nicht :( Kann das was mit Confixx (vhost und mhost) zu tun haben?
Setze die beiden Blöcke (in der httpd.conf) vor den SSL-vHost und den mhost-Include, dann sollte es auch mit Confixx funktionieren.

Re: Serverüberlastung durch Perl

Posted: 2005-02-11 22:44
by adjustman
und diese Versuche werden dann in der /var/log/httpd/rewrite.log geloggt?

EDIT: Funktioniert leider nicht.

Re: Serverüberlastung durch Perl

Posted: 2005-02-12 12:47
by Joe User
Wird mod_rewrite geladen?

Code: Select all

grep "mod_rewrite.so" /etc/apache2/httpd.conf

Re: Serverüberlastung durch Perl

Posted: 2005-02-12 12:51
by adjustman
Ja

Code: Select all

grep "mod_rewrite.so" /etc/httpd/httpd.conf
LoadModule rewrite_module     libexec/mod_rewrite.so

Re: Serverüberlastung durch Perl

Posted: 2005-02-12 13:03
by Joe User
OK, dann ersetze mal die

Code: Select all

RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]
durch

Code: Select all

RewriteRule ^.*$ - [F,L]

Re: Serverüberlastung durch Perl

Posted: 2005-02-12 13:34
by adjustman
nee, geht auch nicht. :(
schon wieder 3 Angriffe in 2 min.

Re: Serverüberlastung durch Perl

Posted: 2005-02-12 14:25
by Joe User
Hast Du nach den Ã?nderungen auch apachectl graceful aufgerufen? Poste bitte nochmal ein paar vollständige Log-Zeilen (access.log) der Angriffe.

Re: Serverüberlastung durch Perl

Posted: 2005-02-12 14:46
by adjustman
ja, sogar stop und start, zur Sicherheit. :wink:

Code: Select all

/community/viewtopic.php?p=4864&highlight=%2527%252Esystem(chr(112)%252Echr
(101)%252Echr(114)%252Echr(108)%252Echr(32)%252Echr(45)%252Echr(101)%252Echr
(32)%252Echr(34)%252Echr(112)%252Echr(114)%252Echr(105)%252Echr(110)%252Echr
(116)%252Echr(32)%252Echr(113)%252Echr(40)%252Echr(106)%252Echr(83)%252Echr
(86)%252Echr(111)%252Echr(119)%252Echr(77)%252Echr(115)%252Echr(100)%252Echr
(41)%252Echr(34))%252E%2527 HTTP/1.0" 200 513

Re: Serverüberlastung durch Perl

Posted: 2005-02-13 18:33
by adjustman
@Joe User - keine Ideen mehr? :?

Re: Serverüberlastung durch Perl

Posted: 2005-02-13 20:51
by Joe User
ATM leider nicht :/

Re: Serverüberlastung durch Perl

Posted: 2005-02-13 22:42
by adjustman
danke. Und wenn Dir noch was einfällt ... :wink:

Re: Serverüberlastung durch Perl

Posted: 2005-02-19 00:17
by morgherkul
Joe User wrote:Alle verfügbaren Updates einspielen und zusätzlich mindestens folgende RewriteRule als Traffikbremse in die httpd.conf einfügen:
php 4.3.10
phpBB2 2.0.11

Gibt es da noch andere, die ich vergessen haben könnte?

Re: Serverüberlastung durch Perl

Posted: 2005-02-19 00:21
by Joe User
morgherkul wrote:Gibt es da noch andere, die ich vergessen haben könnte?
Wahrscheinlich den Rest der auf dem System installierten Software ;)
All times are UTC+02:00
Page 2 of 2