Entwickler-Ecke
Ankündigungen - Attacke gegen das Delphi-Forum.de
Tino - So 26.12.04 01:21
Titel: Attacke gegen das Delphi-Forum.de
Hallo DF´ler!
Wie einige von Euch bemerkt haben werden ist das Delphi-Forum.de vor ca. zwei Stunde massiv von Anfragen überhäuft worden welche von MySQL leider nach einer gewissen Zeit (nach dem mehr als 1.500 Gästen auf dem DF anwesend waren) nicht mehr verarbeiten konnten. Dabei war leider nicht nur eine IP- oder eine Gruppe von IP-Adressen dafür verantwortlich sondern verschiedene so das auch das Sperren einiger verdächtiger IP-Adressen nicht zum gewüschten Ziel führte.
Wir haben die Forensoftware so geändert das diese erstmal mehrfach Anfragen von gleichen IP-Adressen mit einem Hinweis blockiert.
Das kann zwar bei einigen Gästen (nicht bei eingeloggten Usern) zu Problemen führen (z. B. in Schulklassenräumen, etc) aber diese Maßnahme war nun mal nötig um das Forum wieder zu aktivieren. Wir werden aber nach einer eleganteren Lösung suchen.
Gruß
Christian & Tino
retnyg - So 26.12.04 06:07
ist ok...
schlagt mich also nicht wegen des mehrfachpostings unter Multimedia...
habe nur immer wieder auf absenden gedrückt *gg*
:lol:
Tino - So 26.12.04 11:59
Hallo!
Sorry, mir ist beim absplitten der Beiträge hier ein Fehler unterlaufen. Die sind leider jetzt weg. :-(
Gruß
Tino
Delete - So 26.12.04 12:04
Wenn es der Wurm war, dann war es kein gezielter Angriff auf das DF, sondern dann sind alle PHPBB Foren betroffen.
Tino - So 26.12.04 12:11
Kann schon sein. Hab ja nichts anderes geschrieben. Allerdings sind nicht "alle" phpBB-Foren angegriffen worden sondern nur die die der Wurm auf finden konnte.
matze - So 26.12.04 12:43
selbst ich von daheim bin durch diese änderung massiv eingeschränkt.
musst mir grad ne neue IP holen um überhaupt wieder aufs Froum zu kommen !
Tino - So 26.12.04 12:48
Das habe ich ja bereits oben beschrieben und auch das wir weiterhin daran arbeiten.
bms - So 26.12.04 12:51
Da ist man paar Tage weg und schon erlebt das Forum ein Beliebtheitssprung. Ich wette Tino beisst sich gerade in den Hintern. Warum? Könnt Ihr euch erinnern an das alte Forum? Da war unten eine wenig beachtete Statistik über den Tag und Stunde mit den meisten Besuchern. Diese nette Info hat man entfert und das hat man nun davon. Sonst würde da Unten jetzt sowas stehen:
| Zitat: |
| Der Rekord liegt bei 1500 Benutzern am 25.12.2004 |
Das wäre doch eine nette Statistik.
Aber auch jetzt ist das Forum nicht unbeliebt. 43 Gäste ist doch was ;)
matze - So 26.12.04 12:51
jaja ich wollst euch nur nochmal sagen, dass das auch bei einzelpersonen so ist und man nicht z.b. in einem klassenzimmer sitzen muss !
Tino - So 26.12.04 13:09
| matze hat folgendes geschrieben: |
| jaja ich wollst euch nur nochmal sagen, dass das auch bei einzelpersonen so ist und man nicht z.b. in einem klassenzimmer sitzen muss ! |
Kein Problem. Das von dir beschriebene Problem (IP-Wechsel) sollte jetzt auch der Vergangenheit angehören.
Christian S. - So 26.12.04 13:11
Hallo!
Wir haben eine neue Lösung von Daniel aus der DP erhalten, welche besser funktionierte als unsere Notlösung von gestern (heute?) Nacht. Das Problem mit den IPs tritt daher nicht mehr auf.
Vielen Dank an Daniel!
Frohe Weihnachten
Christian
GTA-Place - So 26.12.04 14:45
Hab gestern noch ne Mail von einem anderen Forum bekommen, dass ich mein Passwort ändern soll (auch wegen Angriffen). Und das ist kein phpBB-Forum.
Christian S. - So 26.12.04 14:48
Der Angriff war nicht auf phpBB-Foren beschränkt. Der Wurm versucht alle PHP-Skripte anzugreifen, welche Parameter per GET übergeben bekommen. Er versucht, über diese Parameter Code auf dem Server auszuführen.
Insgesamt sind wir IMHO ganz gut weggekommen, denke ich. Keine Datenverluste, der Server nicht "kontaminiert" und nur 2h offline. Dafür, dass es für uns die erste Attacke war, mit der wir klar kommen mussten, kein schlechter Schnitt.
matze - So 26.12.04 15:13
was ist dnen das genau für ein wurm und was für masnahmen wurden von euch ergriffen ??
wernn ihr das sagen wollt, micht würde das nämlich sehr interessieren !
Christian S. - So 26.12.04 15:18
Hallo!
Die nächtliche Notlösung bestand darin, dass wir mehrere Sessions von derselben IP verboten haben. Die Würmer machten teilweise pro IP ein paar hundert Sessions auf, was die DB schließlich in die Knie zwang. Mit unserer Notlösung konnten wir das unterbinden.
Daniels Lösung (die ich ohne seine Erlaubnis nicht im Detail vorstellen möchte) beruht darauf, dass die Würmer gar nicht erst bis zum phpBB kommen, sondern schon vorher abgefangen werden. Sie ist insofern besser, als dass keine IPs mehr ausgesperrt werden und die Serverlast noch geringer ist, weil nicht mehr auf die DB zugegriffen werden muss.
MfG
Christian
GTA-Place - So 26.12.04 15:25
Nur auf Foren, oder auch auch Websiten?
Christian S. - So 26.12.04 21:47
Vielen Dank!
Aber Daniels Lösung ist viel eleganter und performanter, da der Wurm phpBB gar nicht erst erreicht. :-)
Trotzdem Danke, dass Du an uns gedacht hast :-)
Pr0g - So 26.12.04 22:11
Könntest du mir sagen, wie ihr/er es gelöst habt/hat?
Christian S. - So 26.12.04 22:13
| Pr0g hat folgendes geschrieben: |
| Könntest du mir sagen, wie ihr/er es gelöst habt/hat? |
Wende Dich da bitte an Daniel in der
DP [
http://www.delphipraxis.net/], da die Lösung von ihm stammt und ich sie nicht ohne seine Erlaubnis weitergeben möchte.
Karlson - So 26.12.04 22:23
| GTA-Place hat folgendes geschrieben: |
| Hab gestern noch ne Mail von einem anderen Forum bekommen, dass ich mein Passwort ändern soll (auch wegen Angriffen). Und das ist kein phpBB-Forum. |
So ne eMail hab ich auch mal erhalten. Nachdem ich die eMail dann nochmal angeschaut habe, wurde ich allerdings skeptisch, man wies mich nämlich darauhin dass ich mein Warcraft 3 Battlenet Passwort ändern sollte...die eMail kam von
Blizzard@hotmail.com :lol: :lol:
Auf der anderen Seite kanns schon gut sein, dass sie Blizzard Entertainmet keinen eigenen FTP server mehr leisten konnte :lol: :lol:
ps: Is ja sehr nett von Daniel, dass er "uns" auch so ne gute Lösung zu kommen lässt. Dankeschön!
DanielWolf - So 26.12.04 22:28
Hättste ruhig machen können, Christian. ;-)
Der 'Witz' besteht darin, den Wurm schon am Apachen abschmieren zu lassen und nicht erst am phpBB. Der Wurm nutzt eine bestimmte Perl-Bibliothek und diese identifiziert sich eindeutig durch die Angabe eines User-Agents. In diesem Fall handelt es sich um die Zeichenfolge "lwp.", die zu Beginn des User-Agents zu finden ist. Durch das Blocken dieses User-Agents in der Datei '.htaccess' ist schon einiges erreicht.
Quelltext
1:
2:
3:
4:
| RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^(.*) - [F] |
Nun gibt es aber auch noch kriminelle Kinder, die meinen, den bösartigen Code auch so absenden zu können :roll: Diese stoppt man mit den folgenden Anweisungen, die zwar sehr spezifisch für diese Art von Wurm und seine unmittelbaren Verwandten sind, ihre Arbeit jedoch hervorragend erledigen und HTTP-Anfragen mit Fragmenten des bösartigen Codes gar nicht erst zulassen:
Quelltext
1:
2:
3:
4:
5:
6:
7:
| RewriteEngine On
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527
RewriteRule ^.*$ - [F]
RewriteCond %{QUERY_STRING} highlight=(.*)esystem\(chr\(
RewriteRule (.*) - [F] |
Diese Methode ist insofern eleganter als das, was da derzeit bei phpBB2.de versucht wird, da weder PHP noch mySQL durch diese Anfragen belastet werden und es selbst den Apachen nur einen müden Augenschlag kostet, entsprechende Abfragen abzuwehren. Der Code von phpBB2.de ist an sehr vielen Stellen im Forum einzufügen, hält sich zudem noch mit Logging und Meldungen an den Wurm (???) auf und ist daher meiner - bescheidenen - Meinung nach die schlechteste Alternative nach 'gar nichts tun'. ;-)
Grüße,
Daniel
P.S.:
| Zitat: |
| Is ja sehr nett von Daniel, dass er "uns" auch so ne gute Lösung zu kommen lässt. Dankeschön! |
Ich bin doch gar nicht soooooooo. *g* Zumindest nicht immer. :mrgreen:
P.P.S: Mein 6. Beitrag! :party:
retnyg - Mo 27.12.04 02:18
Auf das wir uns immer an diesen Moment erinnern:
Phobeus - Mo 27.12.04 02:57
Auch dank an Daniel vom DGL-Team ;)
retnyg - Mo 27.12.04 05:26
hmmmm wie wäre es mal mit einem etwas anderen gewinnspiel...
offizieller hackcontest - Pwn da d3lph1-ph0rum !
wer es schafft die seite zu defacen kriegt beispielsweise:
-einen hackerkurs in russland
-einen assemblerkurs bei intel
-delphi 8 enterprise (wer will schon das .net zeuchs bei 2k5 :twisted:)
-einen windows webserver mit 100 mbit anbindung
-ein treffen mit pamela anderson
ich wüsste da noch mehr tolle preise *eg*
Tino - Mo 27.12.04 10:44
Ich denke das Thema ist beendet. ;-)
Entwickler-Ecke.de based on phpBB
Copyright 2002 - 2011 by Tino Teuber, Copyright 2011 - 2025 by Christian Stelzmann Alle Rechte vorbehalten.
Alle Beiträge stammen von dritten Personen und dürfen geltendes Recht nicht verletzen.
Entwickler-Ecke und die zugehörigen Webseiten distanzieren sich ausdrücklich von Fremdinhalten jeglicher Art!