• 22.06.2025, 07:16
  • Registrieren
  • Anmelden

  • Sie sind nicht angemeldet.

 

Angriffsversuche!

HighDenzity

Full Member

Angriffsversuche!

Dienstag, 4. Januar 2005, 11:17

MoinMoin,

hatte gerade einen Angriffsversuch, auf einen meiner Webspaces bei einem Provider! >:(

Es wurden jeweils Direkt *.php Dateien aufgerufen, es scheint sich um diesen Wurm Santy zu Handeln, der über die Google-Suche versucht Speziel *.php Dateien zu Infizieren, die in Google eingetragen sind!
http://www.heise.de/security/news/meldung/54623

In eure .htaccess solltet Ihr die IP Range 64.62.168. eintragen(zumindest vorläufig).
Die IP-Range wird von Hurricane Electric www.he.net belegt.
Email an diesen Hostmaster ist schon raus gegangen.

Beispiel für die .htaccess:

# ban stupid proxies or ips
order Deny,Allow
Deny from 64.62.168. <-- so wird die ganze Range gesperrt!

cu HD

Y0Gi

God

Re: Angriffsversuche!

Dienstag, 4. Januar 2005, 17:22

mensch, da haste ja was richtig aktuelles gefunden :)

die quellen der perl-scripts sind wohl größtenteils entfernt worden. ich kenn aber so einige seiten, die für php-injection anfällig sind.
*joker anzwinker*
This is my sick nature.NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board)

HighDenzity

Full Member

Re: Angriffsversuche!

Mittwoch, 5. Januar 2005, 05:56

Moin Yogi,

war nur zufällig auf meiner HP, um nach dem Rechten zu sehen,
da hatte ich auf einmal 12 Besucher aus der selben IP-Range die Direkt auf die PHP Seiten zugegriffen haben.
Passieren kann bei meiner HP nüscht, ist jedoch ärgerlich, wenn sich da so ein Würmchen an den Scripten versuchen will. >:(

Also Leutz seht euch mal eure PHP-Scripte an oder Patched eure php.ini, besser das ganze PHP.

cu HD

Y0Gi

God

Re: Angriffsversuche!

Mittwoch, 5. Januar 2005, 13:12

ob da was passieren kann, hängt vom jeweiligen script ab. cgi-scripts können bei schlechter programmierung durchaus schaden im userspace und je nach kompetenz des hosters auch auf dem gesamten server anrichten (bei gleichen passwörtern o.ä. öffnet das dem angreifer möglicherweise sogar tür und tor zu mehreren oder gar allen datenbanken und servern). nicht ohne grund waren eigene cgi-scripts lange zeit bei den meisten anbietern verboten oder nur in den höchsten tarifen gestattet, nicht selten aber nur nach durchsicht eines angestellten des hosters.

zugriff auf die php-installation haben wohl nur die allerwenigsten.

wenn von einer range mehrere zugriffe kommen, dann kann das auch eine suchmaschine sein. der googlebot kommt bei uns mehrmals am tag vorbei (s. anzeige) und spidert dann auch gleich dutzende seiten auf einmal.
This is my sick nature.NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board)

HighDenzity

Full Member

Re: Angriffsversuche!

Mittwoch, 5. Januar 2005, 17:43

Hi Yogi

Waren gut 20 Adressen aus der Range als ich nachgesehen hatte, mit steigender Tendenz, hab dann die ganze Range gesperrt.
Einen Bot erkenne ich schon.
Die Range gehört dem ISP "Hurricane Electric" www.he.net aus den USA.

cu HD

Y0Gi

God

Re: Angriffsversuche!

Mittwoch, 5. Januar 2005, 19:01

ok, wenn die der besitzer sind, war es wohl nicht google o.ä.
sorry, hatte das beim schreiben schon wieder vergessen :)
This is my sick nature.NorthCon // LANresort Bispingen // BYCEPS (LAN party software platform) // OrgaTalk (LAN party orga board)