Suche

[proudy]

hallo supporteam von pragmaMX,



habe bereits die suchfunktion ausreichend genutzt und bin auf folgenden eintrag gestossen, der mein problem komplett beschreibt --> http://www.pragmamx.org/Forum-topic-8781.html


nach der ueberpruefung, habe ich festgestellt, dass die gleiche IP-Nr. schon seit tagen, auf fuer gaeste gesperrte module ungehindert zugreift. da es sich immer um die gleiche feste IP handelt, bin ich mal meine userliste in der datenbank durchgegangen, um den user auszumachen, doch konnte ich keinen mit dieser IP ausmachen.


ich habe jetzt erstmal, die IP gebaned ... aber frage mich jetzt natuerlich wie kann sowas moeglich sein?
habe auch zur sitesicherheit, seit ueber einem jahr auf all meinen seiten den restrictor installiert, der jetzt urploetzlich auch auf nur upgedatete seiten (von 1.09. auf 1.10) verschwunden ist ... ich bin jetzt echt platt.


werde jetzt nochmals, den restrictor-ordner einbinden und lasse mich ueberraschen.


hat jemand anderes auch diese probleme oder weiss eventuell wie diese zu beseitigen sind?



ich sende euch liebe gruesse, bye heike

[proudy]

hallo leute,


ich habe nun die eine ip gesperrt und schon kommt der naechste.
schaut euch mal die letzten abgerufenen URL´s an ---> im anhang!

habe auch erneut  den restrictor erfolgreich installiert!


benoetige wirklich hilfe, denn so kann ich die datensicherheit meiner user nicht mehr garantieren


liebe gruesse, bye heike

[grafikmurkser]

hast du eine ordentliche htacess-datei in der root ? - sieht ganz nach einem spider/graber aus.
für die sicherheit der daten solltest du NIE garantieren - da es  so gut wie unmöglich ist diese wirklich einwandfrei zu gewährleisten. das einzigste was du garantieren kannst ist das du dein möglichstes machst  um die daten zu schützen.
was den restrictor ( bottrap) betrifft -würde ich mich nicht zusehr auf den verlassen.
nachtrag :
die IP stammt aus den usa - (theplanet.com) und ist schon ziehmlich bekannt  *g
http://www.abakus-internet-marketing.de/foren/viewtopic/t-19424.html
http://www.wer-weiss-was.de/theme211/article2928710.html

[proudy]

hallo grafikmurkser,


danke fuer deinen input und du liegst richtig, ich habe in meinem root-verzeichnis keine .htaccess datei liegen, und die werde ich auch umgehend auf allen meinen seiten anlegen. bei der anderen ip-nr. denke ich fast es ist ein suchmaschinen-crawler, da er immer die gleichen seiten systematisch abruft ... die frueher auch fuer gaeste zugaenglich waren und aber auf keine userinformation greift. ich gehe dabei mal aus, dass er dort, mittlerweile die meldung "nur fuer registrierte user" erhaelt.

oki grafikmurkser, danke fuer deinen tip ...
... ich werde die naechsten tage einfach mal schmiere stehen, und bei gaesten, im adminbereich unter "wer ist online" mal guggen, wer sich dahinter verbirgt (da es suchmaschinen-crawler ja anzeigt). ferner werde ich mir deine mitgesandten links zu gemuete fuehren.


ich sende dir liebe gruesse, bye heike

[grafikmurkser]

das ist keine suchmaschine  - zumindest keine "normale" also nicht google oder yahoo ( alle anderen "suchmaschinen" wie alta vista, lycos,web,de nutzen entweder  die google- oder die yahoo-datenbank ) sondern wahrscheinlich ein harvester . - ein spider der  geziehlt nach emailadressen sucht - die ja bei einigen scripten/websiten direkt in den dateien stehen ( leider auch bei pragmamx der fall ( config.php/impressum-datei) )in wie weit bottrap vor harvestern schützt weiss ich nicht . wie gsagt, ich währe vorsichtig damit den schutz "nur" solchen diensten anzuvertrauen..

ich hab mal eine htaccess-datei gebastelt  .. lad die mal in die root .
sie sollte eigentlich alles und jeden desssen IP mit 74. anfängt erstmal von deiner website fernhalten.
da davon auch andere user betroffen sein können solltest du die htaccess nur einen tag  auf dem webspace lassen . die meisten schnüffeldienste kommen nicht so schnell wieder wenn sie einmal geblockt wurden

Link zur htacess:
www.webradio-service.net/htaccess.rar

entpacken und in das hauptverzeichniss laden

[proudy]

hallo grafikmurkser,


habe schwierigkeiten das .rar-file zu oeffnen, koenntest du mir das ...

... unter umstaenden ...

... eventuell ...

... so von pragmaMX zu pragmaMX user ...

... netterweise verzippen?

sorry, dass ich hier noch ansprueche stelle 

habe auch die user-ip´s mal gechecked und konnte niemanden mit der start-ip 74. ausmachen, doch sehe ich im trackingfile viele ip´s die sich stetig aendern mit der 74. unter dem http-referrer konnte ich nur massenhaft google erlesen. doch hat google nicht die 74´iger nummer.

im root bei mir liegt nur das mod_rewrite.htaccess, die config.php habe ich gott sei dank kurz nach der install wieder auf 644 gestellt und auch die install komplett geloescht. bin hierbei schon vorsichtiger geworden, nachdem mir zwei php-nuke 6.0 versionen gehacked wurden.


vielen dank fuer deine hilfe, bye heike

[grafikmurkser]

also erstmal zu der IP die du da auf deinem bildchen hast :
74.54.45.135
das ist nicht  google , sondern eben der anbieter  "theplanet.com"
Tracing route to 74.54.45.135

Hop     Time    Host    IP      Location
1       10.167  wsip-70-183-59-1.oc.oc.cox.net  70.183.59.1     Irvine, CA, United States
2       8.793   rsmtdsrc02-gew03020996.rd.oc.cox.net    68.4.15.5       Irvine, CA, United States
3       19.281  wsip-64-58-132-114.oc.oc.cox.net        64.58.132.114   Irvine, CA, United States
4       25.461  wsip-64-58-132-101.oc.oc.cox.net        64.58.132.101   Irvine, CA, United States
5       8.804   ip68-4-13-245.oc.oc.cox.net     68.4.13.245     Irvine, CA, United States
6       9.046   rsmtdsrj02-ge600.0.rd.oc.cox.net        68.4.14.213     Irvine, CA, United States
7       52.274  dalsbbrj02-ae0.r2.dl.cox.net    68.1.0.143      Mission Viejo, CA, United States
8       48.784  vl32.dsr02.dllstx3.theplanet.com        70.85.127.62    Dallas, TX, United States
9       47.769  7a.fd.5746.static.theplanet.com 70.87.253.122   Dallas, TX, United States
10      48.256  po2.car06.dllstx6.theplanet.com 12.96.160.40    Little Elm, TX, United States
21      N/A     87.2d.364a.static.theplanet.com 74.54.45.135    Dallas, , United States

wegen dem rar /zip ich mach dir das bis heute abend fertig ok ?
warum hast du damit probleme das zu öffnen ?

wenn du deine config.php nicht durch eine htaccess schützt reicht  chmod 644 NICHT aus  -
da diese dann immer noch einlesbar ist ( meine steht - durch htacess - schutz, zb grundsätzlich auf  444, solange ich keine änderung in der "konfiguration" vornehme )

meine "mode_rewrite.htaccess" ( die du eh in .htaccess umbenennen musst)
sieht zb am anfang so aus

Code Auswählen Erweitern

DirectoryIndex index.php

<Files "config.php">
Order Allow,Deny
Deny from All
</Files>......
1.Zeile= festlung der startseite , hier könnte ich zb auch ichbinnichtbekloppt.html als erstes eintragen - das währe dann die startseite *ggg )
darunter kommt die zugriffsperre für die config.php ( durch welche diese vom server permanent auf chmod 444 gesetzt wird. bis ich dies manuell ändere)

[jogi24]

wegen dem rar /zip ich mach dir das bis heute abend fertig ok ?
warum hast du damit probleme das zu öffnen ?

hi
@ grafikmurkser

das rar-file ist zerstört, es ist mit keinem entpacker zu öffnen. 

[grafikmurkser]

oh kacke  .. hab mal eine bitte ....
könnte mal bitte jemand schauen ob er hier:
http://wallpapercom.wa.funpic.de/Downloads-cid-8.html
die selben probleme mit den rar-files hat ?


edit erledigt - hab grade selbst gemerkt das es bei der htaccess probleme gibt, bei den anderen rars aber nicht

ok machen wir es eben anders .. einfacher*gg

@ proudy  .. öffne deine mode_rewrite.htaccess mit einem editor deiner wahl ,
dann trägst du ganz oben - praktisch an erste steklle dies ein :

Code Auswählen Erweitern

Order deny,allow
Deny from 74.
Allow from all
ich hoffe das das so funktioniert und man nicht anfangen muss die  IP-sektionen vor und nach 74. frei zugeben

[jogi24]

hi

@ grafikmurkser

dort sind die rar-file entpackbar 

[grafikmurkser]

danke jogi schon gemerkt . trotzdem merci für den tollen service :-)

[grafikmurkser]

zum editieren wieder zu spät ..
also , wenn jemanden "usernamen" beim tracking / ping von IPs "spanisch" vorkommen sollten :
hier zwei listen  über die derzeit aktiven "legalen" bots ( leider ohne IP - die man allerdings zb google erforschen könnte ( so ist zb sensis eine australische suchmaschine )

[proudy]

hallo grafikmurkser und Jogi24, 



danke fuer eure hilfe, bei mir kam beim entpackversuch immer die meldung "das ist kein archiv" 

jetzt nochmal eine frage, was ist mit dem rest, der in der mod_rewrite.htaccess steht, soll ich diesen drin stehen lassen oder komplett loeschen? --->

Code Auswählen Erweitern

# pragmaMx - Web Content Management System
# Copyright by pragmaMx Developer Team - http://www.pragmamx.org
# $Revision: 1.11.2.2 $
# $Author: tora60 $
# $Date: 2007/12/22 14:11:50 $


# rename this file to .htaccess, and you will get nice and clean urls.

# Depends on your configuration, you must set RewrteBase to
# switch on Mod_rewrite. See for this the online docs:
# http://httpd.apache.org/docs/mod/mod_rewrite.html


# falls nicht funktioniert, dann die nächste Zeile wieder auskommentieren!
# (Am Anfang der nächsten Zeile ein "#" einfügen... )
Options +FollowSymLinks

# Rewrite Engine aktivieren
RewriteEngine on

# evtl. bei Bedarf Rewrite Basisordner definieren
# falls nicht funktioniert, dann die nächste Zeile wieder einkommentieren, vorher allerdings den Pfad anpassen!!!
# RewriteBase /www

# individuelle Rewrite-Regeln:
RewriteRule ^home\.htm(l?) index.php [L]

# Your_Account Modul:
RewriteRule ^register-me\.htm(l?) modules.php?name=User_Registration [L]
RewriteRule (^myaccount|^log-me-in)\.htm(l?) modules.php?name=Your_Account [L]
RewriteRule ^log-me-out\.htm(l?) modules.php?name=Your_Account&op=logout [L]
RewriteRule ^mydata\.htm(l?) modules.php?name=Your_Account&op=edituser [L]
RewriteRule ^mysettings\.htm(l?) modules.php?name=Your_Account&op=edithome [L]

# Coppermine 1.4.x:
#RewriteRule Gallery-([0-9]*)\.html modules.php?name=Gallery&cat=$1 [NC]
#RewriteRule Gallery-([0-9]*)-page-([0-9]*)\.html modules.php?name=Gallery&cat=$1&page=$2 [NC]
#RewriteRule Gallery-thumbs-([a-z0-9]*)-([0-9]*)\.html modules.php?name=Gallery&act=thumbnails&album=$1&cat=$2 [NC]
#RewriteRule Gallery-thumbs-([a-z0-9]*)-page-([0-9]*)\.html modules.php?name=Gallery&act=thumbnails&album=$1&page=$2 [NC]
#RewriteRule Gallery-thumbs-([a-z0-9]*)\.html modules.php?name=Gallery&act=thumbnails&album=$1 [NC]
#RewriteRule Gallery-image-([a-z0-9]+)-([0-9]+)-([\-]?[0-9]+)\.html modules.php?name=Gallery&act=displayimage&album=$1&cat=$2&pos=$3 [NC]
#RewriteRule Gallery-image-([a-z0-9]+)-([\-]?[0-9]+)\.html modules.php?name=Gallery&act=displayimage&album=$1&pos=$2 [NC]
#RewriteRule Gallery-image-([\-]?[[0-9]*)\.html modules.php?name=Gallery&act=displayimage&pos=$1 [NC]


# ##############################################################################
# URL's automatisch generieren fuer alles was ueber die modules.php laeuft
# die Variable $modrew_prepareauto muss in der includes/mx_modrewrite.php auf TRUE stehen!
# diese Regeln nicht verändern!!!


RewriteRule ^([^-]+)-([^/]+)\.html$ mod.php?$1&________________________$2 [L]
RewriteRule ^([^-/]+)\.html$ mod.php?$1 [L]
#RewriteRule ^([^-/]+)\.html$ mod.php?$1 [L]


dein eigener Code @grafikmurkser ist sehr interessant, denn da koennte ich der 74. verbot fuer wirklich wichtige module geben wie z.b. das forum, die bilder-galerie und der userinfo, doch wie gebe ich die diversen module an, schreibe ich die files dann jeweils untereinander oder der trenne ich per komma?

naechste frage, bringt das dann ueberhaupt noch etwas, zumal der eindringling ja gezielte topic-urls kennt. kann ich das file ueber haupt auf diese art benennen oder muss ich den pfad angeben?

Code Auswählen Erweitern

DirectoryIndex index.php

<Files "config.php", "/modules.php?name=Forum">
Order Allow,Deny
Deny from 74.
</Files>......


habe mich gestern, bzw. heute sehr frueh noch versucht durch diverse .htaccess erklaerungen im internet zu belesen, aber es wollte einfach nichts mehr in meinen schaedel rein.

@ grafikmurkser, mit google hast du mich falsch verstanden, schau mal -->

unter dem http-referrer konnte ich nur massenhaft google erlesen. doch hat google nicht die 74´iger nummer.

ich sende euch fleissigen helfern liebe gruesse, bye heike

[grafikmurkser]

also zuerst das wichtigste ..  vom mode_rewrite -code in der ....htaccess darfst du NICHTS löschen, sonst funktioniert das mode_rewrite nicht mehr . das zusätzliche , was ich gepostet hab , kommt zusätzlich- ganz oben rein ...
meine .htaccess sieht so aus :

Code Auswählen Erweitern

DirectoryIndex index.php

<Files "config.php">
Order Allow,Deny
Deny from All
</Files>

# pragmaMx - Web Content Management System
# Copyright by pragmaMx Developer Team - http://www.pragmamx.org
# $Revision: 1.11.2.2 $


# $Author: tora60 $
# $Date: 2007/12/22 14:11:50 $.............


wenn du mit der htaccess-datei in der die  74. gesperrt wird einzelne module schützen willst musst du diese datei in die jeweilgen modulverzeichnisse laden ( dahin wo auch die index-datei des modules liegt)

ob der von dir unten  geschriebene htacess-code SO überhaupt funktioniert weiss ich nicht, er sollte es aber
allerdings hat er einen grossen nachteil  - du sperrst nur ip 74. für die config.php - alle bots mit anderer ip könnten diese weiter  lesen ..
deswegen eben :

Code Auswählen Erweitern

<Files "config.php">
Order Allow,Deny
Deny from All
</Files>
wenn du zusätzlich in die modul-verzeichnisse - wie gerade erklärt, eine htaccess mit dem inhalt:

Code Auswählen Erweitern

Order deny,allow
Deny from 74.
( das allow all kannst du weglassen) legst solltest du schonmal einen besseren schutz als vorher haben;) du kannst es auch mit Deny from 74.* versuchen - wobei der Stern als "platzhalter" eingesetzt wird.
was du , wenn du dein selbstgeschrieben htaccesscode einsetzen willst NICHT machen darfst ( was aber ein gedanke von dir sein könnte) ist das Deny from74. in Deny from all ändern. Mit Deny from all schützt du zwar deine config.php schon gut gegen auslesen durch ALLE, aber auch das forum. so das dann KEINER mehr zugriff darauf hätte ( 400er fehlermeldung  " sie haben keine zugriffsrechte " oder sowas in der art käme dann wenn jemand ins forum will.
daher ist der code von dir nicht so optimal ( die config.php wird nicht ausreichend geschützt)
nachtrag : was vieleicht noch eine Überlegung wert währe
... die htaccess in der root so ab zu ändern :

Code Auswählen Erweitern

<Files "config.php">
Order Allow,Deny
Deny from All
</Files>
<Directory "modules">
Order Allow,Deny
Deny from 74.
</Directory>


# pragmaMx - Web Content Management System
# Copyright by pragmaMx Developer Team - http://www.pragmamx.org
# $Revision: 1.11.2.2 $


allerdings weiss ich nicht ob dies funktioniert, das müsste man testen, oder sich jemand anschaun der von htaccess sehr viel ahnung hat. ich glaub aber das es klappen könnte

[proudy]

hallo grafikmurkser, 


vielen dank fuer deine hilfe und information 

habe heute auch schon mal wieder meinen trackingbericht durchstoebert, seit heute waren keine ungebetenen gaeste mehr online ... dank dem restrictor, werde aber dennoch deinen code in die mod_rewrite.htaccess und in diverse modulverzeichnisse einbinden, denn sicher ist sicher!

nun habe ich wieder etwas ganz witziges, habe ja mehrere pragmaMX seiten. tja und komischerweise komme ich in eine davon nicht mehr rein "ACCESS DENIED". habe im ordner restrictor auch mal die restrictor.php durchgesehen und geschaut, ob dort eventuell meine IP als verboten aufgefuehrt ist (kann zwar im grunde nicht sein, weil auf die anderen seiten komme ich ja auch ohne probleme) ... doch ist das nicht der fall. gestern kam ich noch ohne probleme rein, musste ja als admin eingelogged sein, damit ich den restrictor check und update abrufen kann. tja und heute mag mich die site nicht mehr, ich gebe das ergebnis, bei der gefragten mathe-aufgabe ein, aber ich bekomme nur eine leere seite mit folgenden comment -->

Code Auswählen Erweitern

$forbiddenCustomMessage = << forbiddenCustomMessage;NOT OK! 

hast du eventuell eine idee, wie das moeglich sein kann?

ich werde jetzt erst mal, den restrictor runter ziehen und neu istallieren, mal sehen vielleicht gehts ja dann.



ich wuensch euch einen schoenen tag, bye heike

[Andi]

Moin


bevor das hier ausartet, mal ein paar Worte zu den aufgerufenen URL's...

Was ihr da im tracking seht, sind ganz banale Standardangriffe von halbautomatisierten Hackerseiten. Im Web gibt es massenweise Seiten, die Scripts laufen haben, wo man nur eine Ziel-URL angeben  muss und die dann versuchen alle bekannten Sicherheitslöcher von Nuke, Mambo, joomla, phpBB-Forum und weiss der Geier von welchen Webscripten noch, automatisch auf der Ziel-URL auszutesten.

Im tracking erscheinen die dann alle, weil ja immer die modules.php oder index.php mit irgendwelchen verrückten Parametern aufgerufen werden. Aber nur weil die im Tracking, oder in den Logfiles erscheinen, heisst das nicht, dass damit irgendwetwas bewirkt werden könnte.

Ruf doch eine solche URL einfach mal selbst auf und gugg was passiert. Mit Sicherheit >> garnix


Solche Einträge finden sich auch in Massen in unseren Logfiles.
Um zu guggen wie oft das passiert, habe ich seit Ende Januar eine .htaccess laufen, die solche potentiellen Angriffe rausfiltert und auf eine andere Seite umleitet, wo dieser Angriff in einer Datenbank protokolliert wird. In der Tabelle sind seitdem über 160 000 Einträge aufgelaufen. Sprich, die Angriffe finden im Sekundentakt statt, wie man auf dem Screenshot der entsprechenden phpMyAdmin Liste sehen kann.

Da könnt ihr machen was ihr wollt, gegen die Zugriffe seid ihr machtlos, die lassen sich nicht verhindern, auch nicht mit Bot-Trap. Wer das wirklich versuchen will, der hat irgendwann das ganze Internet von seiner Seite verbannt...

Ignoriert es einfach, verlasst euch auf die Sicherheit des pragmaMx.
Wenn wirklich mal eine Sicherheitslücke auftauchen sollte, die sich im pragmaMx automatisiert ausnutzen lässt, dann wird es sicher ein Update geben, bevor diese Lücke in die Hacker Scripte eingearbeitet ist....
(gilt natürlich nur für Module/Scripte von uns)


PS:
wie man im screenshot sieht, werden da Scripte aufgerufen, die es auf unserer Seite garnicht gibt, da sind z.B. joomla, mambo und vwar vertreten.

Und die Webseiten, von denen da dieser Schadcode eingeschleust werden soll, das sind meist selbst bereits gehackte Seiten und nicht die Seiten der Hacker.

[proudy]

hallo Andi, 


jetzt mal vom oberen screenshot abgesehen Andi, der witz bei der sache ist, die aufgerufenen module und deren seiten gibt es ja wirklich ... das war jetzt ja nur ein teilauschnitt dessen. es werden gezielt fuer gaeste gesperrte foren-topics aufgerufen, die wiederum alle existent sind.

zum beispiel:

16.03.08 13:02:30   64.1.215.164   080316130230       /modules.php?name=Forum&topic=125.msg227
16.03.08 13:01:24   64.1.215.164   080316130124       /modules.php?name=Forum&topic=161.msg711
16.03.08 12:59:37   64.1.215.164   080316125937       /modules.php?name=Forum&topic=27.msg%msg_id%
16.03.08 11:19:54   64.1.215.164   080316111954       /modules.php?name=Forum&board=3.0
16.03.08 10:24:19   64.1.215.164   080316102419       /modules.php?name=Forum&action=unread;board=8.0
16.03.08 08:46:23   64.1.215.164   080316084623       /modules.php?name=Forum&topic=166.msg557
16.03.08 08:27:02   64.1.215.164   080316082702       /modules.php?name=Forum&topic=56.0;prev_next=prev
16.03.08 08:24:50   64.1.215.164   080316082450       /modules.php?name=Forum&board=12.0;sort=replies
16.03.08 08:19:26   64.1.215.164   080316081926       /modules.php?name=Forum&topic=150.0;prev_next=next
16.03.08 08:17:15   64.1.215.164   080316081715       /modules.php?name=Forum&topic=111.msg151
16.03.08 06:43:23   64.1.215.164   080316064323       /modules.php?name=Forum&action=printpage;topic=102. 0
16.03.08 06:38:42   64.1.215.164   080316063842       /modules.php?name=Info2Site
16.03.08 06:37:08   64.1.215.164   080316063708       /modules.php?name=Forum&topic=133.0;prev_next=prev
16.03.08 06:16:38   64.1.215.164   080316061638       /modules.php?name=Forum&topic=116.msg199
16.03.08 06:14:35   64.1.215.164   080316061435       /modules.php?name=Forum&topic=34.0
16.03.08 06:14:20   64.1.215.164   080316061420       /modules.php?name=Forum&action=printpage;topic=20.0
16.03.08 06:06:12   64.1.215.164   080316060612       /modules.php?name=Forum&topic=27.0;prev_next=prev
16.03.08 06:05:29   64.1.215.164   080316060529       /modules.php?name=Forum&action=printpage;topic=182. 0
16.03.08 05:27:27   64.1.215.164   080316052727       /modules.php?name=Forum&topic=23.0;prev_next=prev
16.03.08 05:21:01   64.1.215.164   080316052101       /modules.php?name=Forum&topic=100.0;prev_next=prev
16.03.08 05:06:14   64.1.215.164   080316050614       /modules.php?name=Forum&board=14.0;sort=starter
16.03.08 04:51:36   64.1.215.164   080316045136       /modules.php?name=Forum&topic=70.msg70
16.03.08 04:32:13   64.1.215.164   080316043213       /modules.php?name=Forum&topic=168.msg755
16.03.08 04:24:50   64.1.215.164   080316042450       /modules.php?name=Forum&topic=135.msg309
16.03.08 04:23:09   64.1.215.164   080316042309       /modules.php?name=Forum&topic=140.msg428
16.03.08 04:22:18   64.1.215.164   080316042218       /modules.php?name=Forum&topic=24.msg24
16.03.08 04:21:01   64.1.215.164   080316042101       /modules.php?name=Forum&topic=55.msg55
16.03.08 04:19:31   64.1.215.164   080316041931       /modules.php?name=Forum&topic=181.msg751
16.03.08 04:18:49   64.1.215.164   080316041849       /modules.php?name=Forum&topic=96.msg%msg_id%
16.03.08 04:16:12   64.1.215.164   080316041612       /modules.php?name=Forum&topic=126.msg451
16.03.08 04:15:50   64.1.215.164   080316041550       /modules.php?name=Forum&topic=20.msg20
16.03.08 04:15:22   64.1.215.164   080316041522       /modules.php?name=Forum&action=printpage;topic=23.0

das ist etwas was ich eben nicht verstehen kann Andi   
wie kommt er zu den kompletten urls?


das jemand durch die header-navi, auf diverse module-startseiten kommt ... OKAY, dann auch die meldung erhaelt "nur fuer registrierte mitglieder", aber dann eben noch auf topics, posts (teilweise ganz neue auch) ... die es durchweg auch gibt, das kann kein zufall sein. auch der mx_tab block zeigt gaesten nur ein forum und zwar das, in dem sie sich gaesste erst mal vorstellen sollen ... koennen ... *raeuper*.


kannst du dir das irgendwie erklaeren?



das mit der bilder-galerie kann ich mir dadurch vorstellen, weil ich den thumbnail-random-block auf der startseite auch fuer gaeste aktiviert habe. da kann ich mir dann ausmalen, dass der versucht, ueber die bildurl rein zu kommen, wird dann aber auch die meldung "nur fuer registrierte user" bekommen. dort koennte ich eventuell, um dies zu vermeiden die bildverlinkung einfach raus nehmen ... soll ja nur ein vorschaublock fuer gaeste sein.



ich sende dir und deinen shiba´s einen lieben gruss, bye heike

[grafikmurkser]

64.1.215.164

gehört zu yahoo ( suchmaschine ) die hat wahrscheinlich durch metatags die erlaubniss alle dateien abzusuchen

zu der website beid er du access denied  bekommst  - hast du dort mal nach einer htaccess gesucht ? wenn eine da sein sollte  . die mal in x.egal.txt umbenennen, dann nochmal versuchen...
ah stop du bekommst da nach der sicherheitsabfrage keinen zugang oder wie ?
das ist übel ( deswegen hasse ich solche teile auch, da es immer wieder vorkommt das das script  wahre antworten nicht erkennt, oder  - zb bei matheaufgaben - einfach beim einstellen  ein falsches ergebniss angegeben wird ( weil sich der admin verrechnet hat*g)


@ andi : hier gehts nicht um einfachje kleine scripte theplanet ist weltweit bekannt dafür das über seinen servern harvester laufen ..

[JoergK]

Hoi

@proudy

Ruf doch eine solche URL einfach mal selbst auf und gugg was passiert. Mit Sicherheit >> garnix

Wenn Du das mal auf die URLs des letzten Beispiels als Gast anwendest, wirst Du sehen, dass da nur ne "Fehlermeldung" kommt.

Ergo gibt's keinen Grund zur Sorge. Wie, in diesem Fall, Yahoo nur genau auf diese URLs kommt, ist letztlich unerheblich. Alles, was nur als registrierter Benutzer sichtbar/aufrufbar ist, wird mit einer entsprechenden Fehlermeldung quittiert, wenn der Aufrufende nicht die erforderlichen Rechte besitzt. Oder anders gesagt, ein Gast bekommt auch nur das zu sehen/lesen, was für Gäste freigeschaltet ist.

Alternativ kannste auch mal bei, in diesem Fall, Yahoo gucken und nach den Requests suchen ... die kennt Yahoo gar nicht, sprich die Aufrufversuche waren erfolglos:
http://de.search.yahoo.com/search?p=+%2Fmodules.php%3Fname%3DForum%26topic%3D125.msg227&fr=yfp-t-501&ei=UTF-8&rd=r1

[proudy]

rehi grafikmurkser,


sobald ich mich einloggen moechte, kommt "ACCESS DENIED", stellt mir die rechenaufgabe


zum beispiel:

(2 + 9) x (-1) = -11

dennoch heisst es NOT OK!


------------------------------


ich habe jetzt den restrictor mal umbenannt, so dass ich mich zumindest mal wieder als admin einloggen kann ... dann den restrictor wieder den richtigen namen zugewiesen, den check und update nochmals ausgefuehrt. nun kann ich mich trotz ausloggen, wieder einloggen ... aber das theater hatte ich ja gestern auch. gestern ging alles, auf der einen seite und heute, zickt er rum.

bei meinen anderen seiten, hatte ich heute keine probleme, dort war das einloggen ohne der sicherheitsabfrage moeglich. 
und in der restrictor.php, finde ich auch nicht meine ip aufgelistet.



liebe gruesse, bye heike


ps: und danke fuer eure hilfe!

[proudy]

hallo JoergK,


sorry, unsere antworten muessen sich ueberschnitten haben. natuerlich, wenn ich diese seiten als gast aufrufe, bekomme ich die meldung "nur fuer registrierte user". aber so uninteressant finde ich wiederum nicht, wie diverse bot´s auf url´s kommen, die doch nur usern zugaenglich sein sollten, da sie zumal vom system her, schon auf der module-index ausgebremst werden muessten.

soll heissen, ein bot muesste schon bei folgender url ausgebremst werden --->
/modules.php?name=Forum

aber wie kann er soweit kommen? --->
/modules.php?name=Forum&topic=126.msg451

er greift ja nur auf existente topics zu, es sind ja keine numerischen hochzaehlungen, verstehst du was ich damit meine?



... ich sende dir liebe gruesse, bye heike

[Andi]

Moin

hier gehts nicht um einfachje kleine scripte theplanet ist weltweit bekannt dafür das über seinen servern harvester laufen

Ich kann nur dazu Stellung nehmen, was im ersten Screenshot zu sehen ist. Und das sind keine inteligenten Harvester oder sowas, sondern dämliche Versuche eine uralte phpNuke Sicherheitslücke auszunutzen, sonst nichts. Sogar saudämlich, weil dieser Bug in Nuke war schon in Nuke 5.2 (o.Ä.) behoben. Das war vor ca. 8 Jahren.....

In dem Thread werden jetzt auch etwas zu viele verschiedene Dinge gemixt. Der erste Post waren eindeutige Hackerangriffe, dann kam es zu bot-Trap was eigentlich nur gegen Spammer was taugt und dann geht es um url's, die eigentlich nicht bekannt sein dürften und zwischendurch wurde noch eine .htaccess Datei gebastelt....
Schwer da den Überblick zu behalten

Zu den versteckten URL's:
Hast du irgend ein zusätzliches Mod, oder irgendeinen Counter installiert, was z.B. irgendwo ne Statistik anzeigen kann, welche Yahoo entdeckt hat? Der chCounter wäre da so ein Kandidat, oder ms-analytics (oder wie das ding heisst).
Oder evtl. sogar noch ne alte URL, wo auf die gleichen Inhalte zugreift, verwaiste Module, ne Sitemap oder sonstwas?
Bei Google, habe ich z.B. nen Link zu dir mit dem Modul "Forums" gefunden, was auf irgendein Nuke (cPortal) hinweist...

ich sende dir und deinen shiba´s einen lieben gruss...

Jop, vielen Dank, was machen deine Chinesen ? 

[grafikmurkser]

Schwer da den Überblick zu behalten

öhm jo recht hast .  ich klink mich daher auch erstmal ;-)

[proudy]

rehi Andi, 


das mit dem topic-mix tut mir leid ... doch kam so viel auf 1x 


ich hatte frueher ja NUR php-nuke 6.0 im einsatz, dann habe ich vor ca. 3 jahren die hunde-seite wieder eroeffnet und zwei ganz neue internet-seiten (eine mieter-seite und eine ehemaligen-seite), die habe ich dann gleich mal mit eurem pragmaMX belegt, weil ich davon wirklich begeistert bin.

aus drei websites wurden dann 5.

von den alten nuke-sites, hatte ich ja noch das komplette php-nuke CMS incl. der sql abgespeichert und um mir arbeit zu sparen, habe ich alles nur wieder so hochgeladen. die zwei alten seiten wurden mir letztes, und dieses jahr, vom gleichen tuerkischen hacker angegriffen. das waere zwar zum ausmerzen gewesen, doch habe ich keine lust, alle daumen lang, denn muell zu beseitigen. ergo habe ich alle seiten mit pragmaMX belegt und zur sicherheit gleich auch, den hier im forum mit lob befundenen bot-trap installiert. hatte mit dem bot-trap auch nie probleme, auch konnte ich in der tracking-section nie etwas absonderliches feststellen.

wie gesagt, hats mir durch den update den restrictor geschmissen, aber egal, habe ihn nun wieder installiert und seit gestern abend auch keinen "primitiven angriff" in der tracking, mehr feststellen koennen.


zu deiner frage bzgl. der mod´s, sitemap oder counter, NEIN habe ich nicht, auch wurde die statistik ueberall deaktivert und teilweise sogar die verzeichnisse geloescht.
die nuke-site (C-N-M.de) die du in der suchmaschine gefunden hast, mit "forums", diese seite gibt es nicht mehr und wurde geloescht (dafuer gibts jetzt eben die familien-seite), weil ich einfach nicht mehr die zeit fuers verproggen habe.

ich koennte dir ja gerne mal einen admin-zugang geben (per PM),
damit du dir die diversen tracking-eintraege mal ansehen koenntest.


ich sende dir einen lieben gruss, bye heike


ps: meinen mittlerweilen schon ins alter gekommenen foo´s gehts prima