Page Index Toggle Pages: [1] 2 
Topic Tools
Hot Topic (More than 10 Replies) Angiffe (Read 6,421 times)
Dix71
YaBB Newcomer
*
Offline



Posts: 24
Angiffe
Feb 21st, 2010 at 10:15am
Post Tools
Hallo,

mein Forum wird seit gestern Mittag permanent im Minutentakt angegriffen (siehe Anhang).

Gestern Mittag hat ein Mod versucht eine PN abzuschicken, dann hat er plötzlich eine Fehlermeldung bekommen, oder besser gesagt auf der ganzen Seite war nur noch die Fehlermeldung zu sehen:
--------------------------------------------------------
Fehler: Untrapped Error :
Unmatched ) in regex; marked by <-- HERE in m/\

(hier drin stand eine monate alte Pn)

\&num=/ at ./Sources/Load.pl line 922.
---------------------------------------------------------

Mein Mod hat nur noch diese Seite angezeigt bekommen, wenn er auf das Forum zugriff.

Ich hab testweise versucht eine Pn abzuschicken, danach bekam ich die selbe wie er angezeigt, konnt aber trotzdem ganz normal auf das Forum zugreifen.

Das komische ist auch im Fehlerlog, da steht dann meine Fehlermeldung, jedoch stehe ich dort als Gast, mein Name wird also nicht angezeigt. Das selbe mit der Fehlermeldung meines Mods.

Das komische ist auch, der Angreifer txpiyn gibt es in meiner Mitgliederliste nicht, ist aber laut Log eingeloggt, siehe Anhang und greift dauernd aufs login zu.

Ich hab die YaBB.pl über Nacht umbenannt, damit der Angreifer nicht mehr zugreifen kann, habs heute Morgen dann wieder normal gemacht und kurze Zeit später war der Angreifer wieder da.

Was kann ich tun, um den loszuwerden?

Und was kann ich tun, damit die Fehlermeldung und die alte Pn nicht mehr angezeigt werden. Ich weiß ja nicht, ob das bei jedem User angezeigt wird, der versucht eine Pn zu schreiben.
« Last Edit: Feb 21st, 2010 at 11:05am by Dix71 »  
Back to top
 
IP Logged
 
Homer J. S.
God Member
*****
Offline



Posts: 1,949
Location: Germany

None
Re: Angiffe
Reply #1 - Feb 21st, 2010 at 10:25am
Post Tools
Es steht zwar im Log der Name "txpiyn" - das heißt aber nicht, dass er eingeloggt ist, sondern dass er versucht, sich unter diesem Namen einzuloggen. Was ja scheitert, wie du rechts daneben siehst.

Wenn man die IP's mal prüft, sieht man, dass die Zugriffe z. B. aus China und Indonesien kommen. Sind mit Sicherheit Spam-Bots. Sowas hab ich bei mir auch ständig, allerdings hat das noch nie das Forum irgendwie beeinträchtigt. Und in deinem Log sieht man ja auch, dass mehrere Minuten zwischen den Zugriffen liegen - wüsste nicht, wie das das Forum lahmlegen könnte.

Schau mal in den Zugriffslog vom YaBB, ob die irgend einen Referer hinterlassen, den du sperren könntest. Denn IP's sperren bringt da nichts, wie man sieht - haben ja ständig 'ne andere. Du könntest auch als Extremfall nur noch Zugriffe aus Deutschland zulassen - das müsstest dann aber manuell auf dem Server über die .htaccess machen - Infos dazu gibt's im Netz.

Ich glaub auch nicht, dass dein PN-Fehler was mit diesen Zugriffen zu tun hat. Wenn du dein Forum nicht verändert hast, lad dir das entsprechende Paket nochmal runter, und ersetze die Load.pl. Vorher trotzdem sicherheitshalber Backup der jetzigen Load.pl machen - reicht ja schon, diese umzubenennen.
« Last Edit: Feb 21st, 2010 at 10:29am by Homer J. S. »  

My Homer is not a communist. He may be a liar, a pig, an idiot, a communist, but he is not a porn star.
www.silenthill-forum.de (YaBB 1.3.1 with 150+ mods)
www.retrogamerwelt.de (YaBB 2.5.2)
Back to top
WWWICQ  
IP Logged
 
Dix71
YaBB Newcomer
*
Offline



Posts: 24
Re: Angiffe
Reply #2 - Feb 21st, 2010 at 10:36am
Post Tools
Ja nach den IP's hab ich gestern schon geguckt, die sind von weltweit, aber auch aus Deutschland waren welche dabei.

Homer J. S. wrote on Feb 21st, 2010 at 10:25am:
Schau mal in den Zugriffslog vom YaBB

Meinst du damit die Zugriffsstatistik? Dort steht nichts auffälliges.

Homer J. S. wrote on Feb 21st, 2010 at 10:25am:
Und in deinem Log sieht man ja auch, dass mehrere Minuten zwischen den Zugriffen liegen - wüsste nicht, wie das das Forum lahmlegen könnte.


Gestern waren aber auch mal drei Angriffe innerhalb einer Minute. Und noch was:

Gestern um 18:59      Guest
(79.208.75.154)      Fehler: ALARM!! Formular Manipulation' entdeckt! Mißbrauch ist von IP-Adresse: 79.208.75.154

Aber wie steht das denn mit der Fehlermeldung der PN im Zusammenhang? Und was kann ich dagegen tun? Undecided

Edit:
Nein, verändert hab ich gar nichts in letzter Zeit.

Also nur die Load.pl ersetzen? Kann ich da auch die von meinem letzen Backup nehmen?
« Last Edit: Feb 21st, 2010 at 10:41am by Dix71 »  
Back to top
 
IP Logged
 
Homer J. S.
God Member
*****
Offline



Posts: 1,949
Location: Germany

None
Re: Angiffe
Reply #3 - Feb 21st, 2010 at 10:45am
Post Tools
Ja, die Zugriffsstatistik. Oft hinterlassen die eindeutige Referer, die Dinge wie "viagra" enthalten. Sowas sperre ich dann mit dem Guardian, und gut is. Dann können die 1x zugreifen, IP wird gesperrt, und raus sind sie.

Auch mehrere Zugriffe pro Minute dürfen keinerlei Einfluss auf das Forum haben. Selbst mehrere Hundert Zugriffe pro Minute nicht. Das kann in größeren Foren ja auch ganz normal durch die Mitglieder entstehen, und da darf der Server auch nicht einknicken.

Wie gesagt, hab selbst jeden Tag -zig solcher Zugriffe im Errorlog. Gibt denke ich kein Forum, das nicht mit solchen Bots konfrontiert ist.

Auch das "Formular Manipulation" kommt von Bots, hatte ich auch schon. Alles nichts, wo man sich wirklich Sorgen machen müsste. Meistens richten sich solche Sachen sowieso gegen SQL-Datenbanken, und dagegen ist YaBB ja immun, da es Flatfile-Datenbanken nutzt. Mein YaBB läuft seit fast 6 Jahren so wie es jetzt ist, und trotz mehrerer seltsamer Zugriffe wurde da noch nie irgendwas "gehackt" oder Ähnliches. Misstrauisch sollte man sein, aber wie gesagt, ist eigentlich immer harmlos.

Denke der PN-Fehler trat zufällig zur gleichen Zeit auf. Hast du an deinem Forum irgendwas verändert? Irgendwelche Mods/Hacks installiert oder Dateien manuell geändert? Kann auch mal 'n Serverfehler sein, dass der irgend 'ne Datei zermüllt hat. Sollte nicht vorkommen, aber wenn du billigen Webspace nutzt, kann es vorkommen.

Wie gesagt, lade die Load.pl neu hoch und schau, ob das was hilft.
« Last Edit: Feb 21st, 2010 at 10:46am by Homer J. S. »  

My Homer is not a communist. He may be a liar, a pig, an idiot, a communist, but he is not a porn star.
www.silenthill-forum.de (YaBB 1.3.1 with 150+ mods)
www.retrogamerwelt.de (YaBB 2.5.2)
Back to top
WWWICQ  
IP Logged
 
Dix71
YaBB Newcomer
*
Offline



Posts: 24
Re: Angiffe
Reply #4 - Feb 21st, 2010 at 10:49am
Post Tools
Ich hatte bis jetzt noch nie solche Probleme mit solchen Bots und das Forum ist auch schon ein paar Jahre alt. Darum hat mich das ziemlich erschreckt.

Bei der Installation des Forums hab ich Mods eingebaut, ist aber jetzt auch schon ewig her. Und billigen Webspace hab ich eigentlich auch nicht.

Wenn ich die Load.pl hochlade, was passiert dann mit den Mods? Die sind weg dann?
« Last Edit: Feb 21st, 2010 at 10:52am by Dix71 »  
Back to top
 
IP Logged
 
Homer J. S.
God Member
*****
Offline



Posts: 1,949
Location: Germany

None
Re: Angiffe
Reply #5 - Feb 21st, 2010 at 10:55am
Post Tools
Es sind alle Mods betroffen, die Änderungen an der Load.pl vorgenommen haben. Sprich da du Mods installiert hast, kannst du die Load.pl nicht einfach aus einem "jungfräulichen" YaBB-Paket ersetzen. Wie sieht denn Zeile 922 deiner Load.pl aus?
  

My Homer is not a communist. He may be a liar, a pig, an idiot, a communist, but he is not a porn star.
www.silenthill-forum.de (YaBB 1.3.1 with 150+ mods)
www.retrogamerwelt.de (YaBB 2.5.2)
Back to top
WWWICQ  
IP Logged
 
Dix71
YaBB Newcomer
*
Offline



Posts: 24
Re: Angiffe
Reply #6 - Feb 21st, 2010 at 10:57am
Post Tools
if ("\|$testfolders\|" =~ m/\|$messLine[13]\|/g) { next; }
  
Back to top
 
IP Logged
 
Homer J. S.
God Member
*****
Offline



Posts: 1,949
Location: Germany

None
Re: Angiffe
Reply #7 - Feb 21st, 2010 at 11:07am
Post Tools
Kann da jetzt nichts Auffälliges sehen, das beanstandete \&num=/ kommt in der Zeile gar nicht vor. Welche YaBB-Version nutzt du überhaupt? Dann könnte man die Zeilen mal mit dem Original vergleichen. Wobei der Fehler scheinbar in einer anderen Datei liegt, die von der Load.pl geladen wird.
  

My Homer is not a communist. He may be a liar, a pig, an idiot, a communist, but he is not a porn star.
www.silenthill-forum.de (YaBB 1.3.1 with 150+ mods)
www.retrogamerwelt.de (YaBB 2.5.2)
Back to top
WWWICQ  
IP Logged
 
Dix71
YaBB Newcomer
*
Offline



Posts: 24
Re: Angiffe
Reply #8 - Feb 21st, 2010 at 11:09am
Post Tools
Ich hab die Version 2.3.1

EDIT:
Die Zeile im Original sieht gleich aus.
« Last Edit: Feb 21st, 2010 at 11:15am by Dix71 »  
Back to top
 
IP Logged
 
Homer J. S.
God Member
*****
Offline



Posts: 1,949
Location: Germany

None
Re: Angiffe
Reply #9 - Feb 21st, 2010 at 11:17am
Post Tools
Darum wie vermutet, der Fehler wird in einer anderen Datei liegen. Aber in welcher, das kann ich dir so auch nicht sagen.

Jedenfalls kannst du dein Forum wieder freigeben, denn die paar Zugriffe von Bots alle paar Minuten stellen mit Sicherheit keine Gefahr dar.
« Last Edit: Feb 21st, 2010 at 11:18am by Homer J. S. »  

My Homer is not a communist. He may be a liar, a pig, an idiot, a communist, but he is not a porn star.
www.silenthill-forum.de (YaBB 1.3.1 with 150+ mods)
www.retrogamerwelt.de (YaBB 2.5.2)
Back to top
WWWICQ  
IP Logged
 
Dix71
YaBB Newcomer
*
Offline



Posts: 24
Re: Angiffe
Reply #10 - Feb 21st, 2010 at 11:23am
Post Tools
Ja ok, danke für deine schnelle Hilfe.

Problem ist eben nur diese besagte PN, die auftaucht. Ich weiß eben nicht, ob die jeder User angezeigt bekommt, der sich einloggen bzw. eine Pn schreiben will.

Mein Mod konnte sich ja gar nicht mehr richtig einloggen, da sofort diese Pn auftauchte. Und ein anderer User hatte das selbe auch, sagte mir mein Mod vorhin. Das ist echt komisch und ich bin ziemlich ratlos.
  
Back to top
 
IP Logged
 
Jet Li
Legacy Dev Team
Development Team
****
Offline



Posts: 6,588
Location: Hong Kong
Re: Angiffe
Reply #11 - Feb 21st, 2010 at 11:26am
Post Tools
Hallo Dix71,
diesen Fehler hatte ich auch im YaBB 2.3.1
Lösche per ftp die PN mit dem Fehler im /Members von einem User. username.msg mit dem Editor öffnen und dann nach dem Speichern wieder hochladen.

Diesen Feher trat beim update von 2.1 auf 2.3/2.3.1 auf.

Ich hoffe ich konnte Dir helfen.
« Last Edit: Feb 21st, 2010 at 11:28am by Jet Li »  

PM me for YaBB Installation Service
Back to top
WWWGTalkFacebook  
IP Logged
 
Dix71
YaBB Newcomer
*
Offline



Posts: 24
Re: Angiffe
Reply #12 - Feb 21st, 2010 at 11:30am
Post Tools
Hallo Jet Li!

Danke für die Antwort. Ich gucke gleich nach.
« Last Edit: Feb 21st, 2010 at 11:31am by Dix71 »  
Back to top
 
IP Logged
 
Jet Li
Legacy Dev Team
Development Team
****
Offline



Posts: 6,588
Location: Hong Kong
Re: Angiffe
Reply #13 - Feb 21st, 2010 at 11:34am
Post Tools
Gern geschehen. Wenn die PN im auch im Postausgang mit dem Fehler ist. Dann auch im username.outbox editieren.
  

PM me for YaBB Installation Service
Back to top
WWWGTalkFacebook  
IP Logged
 
Homer J. S.
God Member
*****
Offline



Posts: 1,949
Location: Germany

None
Re: Angiffe
Reply #14 - Feb 21st, 2010 at 11:46am
Post Tools
Jaja, die bösen Updates  Grin
  

My Homer is not a communist. He may be a liar, a pig, an idiot, a communist, but he is not a porn star.
www.silenthill-forum.de (YaBB 1.3.1 with 150+ mods)
www.retrogamerwelt.de (YaBB 2.5.2)
Back to top
WWWICQ  
IP Logged
 
Page Index Toggle Pages: [1] 2 
Topic Tools
 
  « Board Index ‹ Board  ^Top