Hättste ruhig machen können, Christian.
Der 'Witz' besteht darin, den Wurm schon am Apachen abschmieren zu lassen und nicht erst am phpBB. Der Wurm nutzt eine bestimmte Perl-Bibliothek und diese identifiziert sich eindeutig durch die Angabe eines User-Agents. In diesem Fall handelt es sich um die Zeichenfolge "lwp.", die zu Beginn des User-Agents zu finden ist. Durch das Blocken dieses User-Agents in der Datei '.htaccess' ist schon einiges erreicht.
Quelltext
1:
2:
3:
4:
| RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^(.*) - [F] |
Nun gibt es aber auch noch kriminelle Kinder, die meinen, den bösartigen Code auch so absenden zu können
Diese stoppt man mit den folgenden Anweisungen, die zwar sehr spezifisch für diese Art von Wurm und seine unmittelbaren Verwandten sind, ihre Arbeit jedoch hervorragend erledigen und HTTP-Anfragen mit Fragmenten des bösartigen Codes gar nicht erst zulassen:
Quelltext
1:
2:
3:
4:
5:
6:
7:
| RewriteEngine On
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527
RewriteRule ^.*$ - [F]
RewriteCond %{QUERY_STRING} highlight=(.*)esystem\(chr\(
RewriteRule (.*) - [F] |
Diese Methode ist insofern eleganter als das, was da derzeit bei phpBB2.de versucht wird, da weder PHP noch mySQL durch diese Anfragen belastet werden und es selbst den Apachen nur einen müden Augenschlag kostet, entsprechende Abfragen abzuwehren. Der Code von phpBB2.de ist an sehr vielen Stellen im Forum einzufügen, hält sich zudem noch mit Logging und Meldungen an den Wurm (???) auf und ist daher meiner - bescheidenen - Meinung nach die schlechteste Alternative nach 'gar nichts tun'.
Grüße,
Daniel
P.S.:
| Zitat: |
| Is ja sehr nett von Daniel, dass er "uns" auch so ne gute Lösung zu kommen lässt. Dankeschön! |
Ich bin doch gar nicht soooooooo. *g* Zumindest nicht immer.
P.P.S: Mein 6. Beitrag!
![Antworten [gesperrt]](./graphics/navbar/reply.png)
)
