phpBB2 Traffic zu hoch

Rund um die Sicherheit des Systems und die Applikationen
rainer k.
Posts: 4
Joined: 2004-12-26 12:59

phpBB2 Traffic zu hoch

Post by rainer k. » 2004-12-26 13:11

Hallo,

bei meiner phpBB2 basierter Website habe ich wegen dem phpBB2 Wurm massiv Traffic, bei dem versucht wird mein Forum zu knacken.
Die Sicherheitslücke in der viewtopic.php ist aber gefixt.
Mich nervt nur, daß nun ständig > 100 Wurm-User in meinem Forum Traffic verursachen. Das phpBB2 Skript habe ich erstmal so abgeändert, daß alle Wurm-Seitenabrufe mit exit(); enden.

Natürlich laufen trotzdem meine Logs voll.

Irgendwo hab ich mal gelesen, daß es ne Möglichkeit gibt, die IP-Pakete auf mögliche Exploits zu filtern. Leider weiß ich nicht mehr, wo ich das gesehen habe.

Mir schwebt vor, ne Art Firewall auf meinem Debian-Server laufen zu lassen, die Exploits in eingehenden Verbindungen erkennen kann und die dazugehörige IP dann blockt, sprich alle Pakete wegwirft. Gibts sowas?

Grüße, Rainer

[Edit] Hasrghh... sollte eigentlich ins Forum für Sicherheitsrelevante Themen... [/Edit]

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: phpBB2 Traffic zu hoch

Post by Joe User » 2004-12-26 13:33

Ohne Gewähr:

Code: Select all

RewriteEngine On
RewriteCond %{QUERY_STRING} ^(.*)wget%20 [OR]
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)highlight=%2527 [OR]
RewriteCond %{HTTP_COOKIE}% s:(.*):%22test1%22%3b [OR]
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: phpBB2 Traffic zu hoch

Post by captaincrunch » 2004-12-26 14:03

Mir schwebt vor, ne Art Firewall auf meinem Debian-Server laufen zu lassen, die Exploits in eingehenden Verbindungen erkennen kann und die dazugehörige IP dann blockt, sprich alle Pakete wegwirft. Gibts sowas?
Mit "strings"-Patch versehenes IPTables.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

rainer k.
Posts: 4
Joined: 2004-12-26 12:59

Re: phpBB2 Traffic zu hoch

Post by rainer k. » 2004-12-26 15:34

Vielen Dank für die Tipps!

Hab jetzt ein Skript gefunden und angepasst, was als Deamon läuft und das apache access.log nach Einbruchsversuchen parst.
Bei erkannten Einbruchsversuchen/Wurmzugriffen erfolgt ein
iptables -A INPUT -s <IP> -j DROP

:-)

streicher
Posts: 17
Joined: 2003-06-02 18:39

Re: phpBB2 Traffic zu hoch

Post by streicher » 2004-12-26 22:26

Kannst Du bitte vielleicht einen Link zu dem Script posten? Ich würde es mir auch gerne einmal ansehen. Danke.

rainer k.
Posts: 4
Joined: 2004-12-26 12:59

Re: phpBB2 Traffic zu hoch

Post by rainer k. » 2004-12-26 22:38

http://www.pettingers.org/code/DAVBlack.html

Zum Anfangsthema hab ich was gefunden, lag die ganze Zeit im Zeitschriftenstapel auf der Toilette :oops:
CT22/2004, Seite 230: Einbruchsschutz mit Snort-inline.
http://www.snort.org
http://snort-inline.sourceforge.net/

Grüße, Rainer