refere sperren über ssh?

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
memo1003
Posts: 24
Joined: 2005-07-08 23:34

refere sperren über ssh?

Post by memo1003 » 2005-11-01 19:15

Hallo ich möchte eine domain sperren so das anfragen über diese seite nicht bearbeitet werden.

Das problem ist dies. Auf eine domain ist ein script instaliert der heist php-Nuke hack man gibt dort eine adresse ein wo ein nuke instaliert ist und veruarscht somit sqlinjections und erstellt admin usw.

ich habe versucht die ip vom server über iptables zu spereen

iptables -I INPUT -s 66.118.176.68 -j DROP
nur das bringt nix der macht trotzdem weiter.

Habe root server suse 9.2 confixx premium (s4y)

Apache 2.0.5.0

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: refere sperren über ssh?

Post by Roger Wilco » 2005-11-01 19:28

Wirf *Nuke weg. Damit fährst du besser. :twisted:

memo1003
Posts: 24
Joined: 2005-07-08 23:34

Re: refere sperren über ssh?

Post by memo1003 » 2005-11-01 19:34

das ist klar aber ich habe ein multi CMS laufen :-D
ist phpnuke 7.9

aber irgendwie muss das doch gehen

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: refere sperren über ssh?

Post by Roger Wilco » 2005-11-01 19:55

Ich würde es mit mod_access von Apache machen.

Code: Select all

<Location /dein/nuke>
Order Deny,Allow
Deny from 66.118.176.68
</Location>
Ich vermute aber, dass es dir nichts bringt, da der Request mit hoher Wahrscheinlichkeit von dem Client kommt, und nicht von dem "*Nuke Hack".

memo1003
Posts: 24
Joined: 2005-07-08 23:34

Re: refere sperren über ssh?

Post by memo1003 » 2005-11-01 20:33

hast recht hat nix gebracht.
:( :( :(

lord_pinhead
RSAC
Posts: 830
Joined: 2004-04-26 15:57

Re: refere sperren über ssh?

Post by lord_pinhead » 2005-11-01 21:51

Echt ein gutgemeinter Rat: Wirf Nuke weg. Mambo, Typo3 oder andere CMS sind da echt besser, und ich persöhnlich bin sowisso Typo3 Fan, dort gibt es mehr Add-On Module als für dein Nuke und es gab meines Wissens noch keine ernste Bedrohung ausser durch ein Modul, aber das war schnell gepatcht.

blnsnoopy26
Posts: 660
Joined: 2002-10-19 14:01

Re: refere sperren über ssh?

Post by blnsnoopy26 » 2005-11-01 22:18

Hi,

Benutze als CMS auch Mambo und was man auch noch benutzen kann ist

--> http://www.php-fusion.co.uk
--> http://www.php-fusion.de

Das setze ich auch ein und ist auch sehr leicht zu bedienen und hat ne grosse Community.

phpnuke oder postnuke ist einfach nur Müll.

timeless2
Posts: 416
Joined: 2005-03-04 14:45
Location: Paris

Re: refere sperren über ssh?

Post by timeless2 » 2005-11-01 22:41

Vielleicht findest du in deiner Log-Datei Eigenschaften dieses Clients, die du dann entweder über das mod_access ausschließt oder etwas in dein PHP einfügst, damit das Skript abbricht, wenn diese Eigenschaften (z.B. Client Name etc.) zutrifft. Aber das kuriert höchstens kurzfristig die Symptome, mehr nicht.

darkman
RSAC
Posts: 111
Joined: 2004-03-24 14:09

Re: refere sperren über ssh?

Post by darkman » 2005-11-01 23:02

Hi,

wie waers damit dein Kram zu fixen so das die SQL Injections etc.
nicht mehr funktionieren? Ansonsten sollten alle genannten Loesungen
den entsprechenden Erfolg bringen, vorrausgesetzt man setzt sie richtig
ein.

Gruesse,
Darkman

memo1003
Posts: 24
Joined: 2005-07-08 23:34

Re: refere sperren über ssh?

Post by memo1003 » 2005-11-02 00:07

danke an alle für eure antworten.
ich glaub ich hab mich nicht deutlich ausgedrückt.

Ich versuch es nochmal war mein fehler :-D

also ich hoste php-nuke 7.9 d.h. user kommt auf meine website registriert sich und bekommt sofort sein eigenes php-nuke 7.9

phpnuke 7.9 ist nur einmal drauf bei der registrierung werden lediglich neue datenbank tabellen erzeugt.

Die php-nuke´s werden per subdomain aufgerufen zb. meinenuke.domain.com


Im php-nuke 7.9 ist Fortress instaliert http://fortress.cc läuft auch soweit wunderbar.
habe alle programme mir gezogen die anscheinend php-nuke hacken können und alle getestet. Soweit ist alles dicht. keins davon kann was anstellen.

Mein problem war das so ein dummie ein script instaliert hat welches die seiten sehrschnell mit verschiedenen IP´s aufmacht. dieses script ist auf ein server instaliert und genau diesen einen server wollte ich bannen.

Ich habe natürlich sofort abuse bescheid gegeben von dem server aber biss die reagieren....

so dachte ich mir verbann die domain auch weil IP alleine brachte nix.

mittlerweile habe ich das so gelöst:

mit iptables die ip gebannt.

dann dies gemacht:
<Location /dein/nuke>
Order Deny,Allow
Deny from 66.118.176.68
</Location>

habe für ca. 1 stunde apache gestoppt neu gestratet. und dann dies hier:


Code: Select all

iptables -N check-flags
iptables -F check-flags
iptables -A check-flags -p tcp --tcp-flags ALL FIN,URG,PSH -m limit --limit 5/minute -j LOG --log-level alert --log-prefix "NMAP-XMAS:"
iptables -A check-flags -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A check-flags -p tcp --tcp-flags ALL ALL -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "XMAS:"
iptables -A check-flags -p tcp --tcp-flags ALL ALL -j DROP
iptables -A check-flags -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "XMAS-PSH:"
iptables -A check-flags -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A check-flags -p tcp --tcp-flags ALL NONE -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "NULL_SCAN:"
iptables -A check-flags -p tcp --tcp-flags ALL NONE -j DROP
iptables -A check-flags -p tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 5/minute -j LOG --log-level 5 --log-prefix "SYN/RST:"
iptables -A check-flags -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A check-flags -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/minute -j LOG --log-level 5 --log-prefix "SYN/FIN:"
iptables -A check-flags -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
binn dann auf die webseite und habe es selber getestet.
seit 2 stunden läuft es prima und ich habe ein load von 0.24 mit 1421 php-nuke sites...

danke nochmal an alle die geantwortet haben



edit:

habe im error log dies hier gefunden:

Code: Select all

[Tue Nov 01 22:24:33 2005] [warn] child process 16027 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 16497 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 16338 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 16115 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 15872 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 15912 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 16167 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 15914 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 15915 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 16245 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 16339 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 16030 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 16168 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 15925 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 16345 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 15928 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 16031 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 15937 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 16186 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 15942 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 15947 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 16562 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 15950 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 15957 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 15960 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 16368 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 16033 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 16190 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 15968 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 16372 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 16221 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 16577 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 15981 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 16578 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:37 2005] [warn] child process 16228 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:43 2005] [warn] child process 16832 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:43 2005] [warn] child process 17287 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:43 2005] [warn] child process 17303 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:43 2005] [warn] child process 17313 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:43 2005] [warn] child process 17342 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:44 2005] [warn] child process 16832 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:44 2005] [warn] child process 17287 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:44 2005] [warn] child process 17303 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:44 2005] [warn] child process 17313 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:44 2005] [warn] child process 17342 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:45 2005] [warn] child process 16832 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:45 2005] [warn] child process 17287 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:45 2005] [warn] child process 17303 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:45 2005] [warn] child process 17313 still did not exit, sending a SIGTERM
[Tue Nov 01 22:24:45 2005] [warn] child process 17342 still did not exit, sending a SIGTERM
und davor:

Code: Select all

[Tue Nov 01 21:10:40 2005] [error] server reached MaxClients setting, consider raising the MaxClients setting
und danach war server 30 min nicht erreichbar


und weiter vorne dies: (habe es gekürzt sind aber ca 900 zeilen)

Code: Select all

[Tue Nov 01 19:58:37 2005] [error] child process 13899 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13900 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13901 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13902 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13903 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13905 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13906 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13908 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13909 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13910 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13911 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13913 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13914 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13915 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13916 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13917 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13918 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13920 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13921 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13922 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13925 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13928 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13931 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13934 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13935 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13937 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13938 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13939 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13940 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13941 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13942 still did not exit, sending a SIGKILL
[Tue Nov 01 19:58:37 2005] [error] child process 13943 still did not exit, sending a SIGKILL