Page Index Toggle Pages: 1 [2] 
Topic Tools
Hot Topic (More than 10 Replies) Angiffe (Read 6,392 times)
Homer J. S.
God Member
*****
Offline



Posts: 1,949
Location: Germany

None
Re: Angiffe
Reply #3 - Feb 21st, 2010 at 10:45am
Post Tools
Ja, die Zugriffsstatistik. Oft hinterlassen die eindeutige Referer, die Dinge wie "viagra" enthalten. Sowas sperre ich dann mit dem Guardian, und gut is. Dann können die 1x zugreifen, IP wird gesperrt, und raus sind sie.

Auch mehrere Zugriffe pro Minute dürfen keinerlei Einfluss auf das Forum haben. Selbst mehrere Hundert Zugriffe pro Minute nicht. Das kann in größeren Foren ja auch ganz normal durch die Mitglieder entstehen, und da darf der Server auch nicht einknicken.

Wie gesagt, hab selbst jeden Tag -zig solcher Zugriffe im Errorlog. Gibt denke ich kein Forum, das nicht mit solchen Bots konfrontiert ist.

Auch das "Formular Manipulation" kommt von Bots, hatte ich auch schon. Alles nichts, wo man sich wirklich Sorgen machen müsste. Meistens richten sich solche Sachen sowieso gegen SQL-Datenbanken, und dagegen ist YaBB ja immun, da es Flatfile-Datenbanken nutzt. Mein YaBB läuft seit fast 6 Jahren so wie es jetzt ist, und trotz mehrerer seltsamer Zugriffe wurde da noch nie irgendwas "gehackt" oder Ähnliches. Misstrauisch sollte man sein, aber wie gesagt, ist eigentlich immer harmlos.

Denke der PN-Fehler trat zufällig zur gleichen Zeit auf. Hast du an deinem Forum irgendwas verändert? Irgendwelche Mods/Hacks installiert oder Dateien manuell geändert? Kann auch mal 'n Serverfehler sein, dass der irgend 'ne Datei zermüllt hat. Sollte nicht vorkommen, aber wenn du billigen Webspace nutzt, kann es vorkommen.

Wie gesagt, lade die Load.pl neu hoch und schau, ob das was hilft.
« Last Edit: Feb 21st, 2010 at 10:46am by Homer J. S. »  

My Homer is not a communist. He may be a liar, a pig, an idiot, a communist, but he is not a porn star.
www.silenthill-forum.de (YaBB 1.3.1 with 150+ mods)
www.retrogamerwelt.de (YaBB 2.5.2)
Back to top
WWWICQ  
IP Logged
 
Dix71
YaBB Newcomer
*
Offline



Posts: 24
Re: Angiffe
Reply #2 - Feb 21st, 2010 at 10:36am
Post Tools
Ja nach den IP's hab ich gestern schon geguckt, die sind von weltweit, aber auch aus Deutschland waren welche dabei.

Homer J. S. wrote on Feb 21st, 2010 at 10:25am:
Schau mal in den Zugriffslog vom YaBB

Meinst du damit die Zugriffsstatistik? Dort steht nichts auffälliges.

Homer J. S. wrote on Feb 21st, 2010 at 10:25am:
Und in deinem Log sieht man ja auch, dass mehrere Minuten zwischen den Zugriffen liegen - wüsste nicht, wie das das Forum lahmlegen könnte.


Gestern waren aber auch mal drei Angriffe innerhalb einer Minute. Und noch was:

Gestern um 18:59      Guest
(79.208.75.154)      Fehler: ALARM!! Formular Manipulation' entdeckt! Mißbrauch ist von IP-Adresse: 79.208.75.154

Aber wie steht das denn mit der Fehlermeldung der PN im Zusammenhang? Und was kann ich dagegen tun? Undecided

Edit:
Nein, verändert hab ich gar nichts in letzter Zeit.

Also nur die Load.pl ersetzen? Kann ich da auch die von meinem letzen Backup nehmen?
« Last Edit: Feb 21st, 2010 at 10:41am by Dix71 »  
Back to top
 
IP Logged
 
Homer J. S.
God Member
*****
Offline



Posts: 1,949
Location: Germany

None
Re: Angiffe
Reply #1 - Feb 21st, 2010 at 10:25am
Post Tools
Es steht zwar im Log der Name "txpiyn" - das heißt aber nicht, dass er eingeloggt ist, sondern dass er versucht, sich unter diesem Namen einzuloggen. Was ja scheitert, wie du rechts daneben siehst.

Wenn man die IP's mal prüft, sieht man, dass die Zugriffe z. B. aus China und Indonesien kommen. Sind mit Sicherheit Spam-Bots. Sowas hab ich bei mir auch ständig, allerdings hat das noch nie das Forum irgendwie beeinträchtigt. Und in deinem Log sieht man ja auch, dass mehrere Minuten zwischen den Zugriffen liegen - wüsste nicht, wie das das Forum lahmlegen könnte.

Schau mal in den Zugriffslog vom YaBB, ob die irgend einen Referer hinterlassen, den du sperren könntest. Denn IP's sperren bringt da nichts, wie man sieht - haben ja ständig 'ne andere. Du könntest auch als Extremfall nur noch Zugriffe aus Deutschland zulassen - das müsstest dann aber manuell auf dem Server über die .htaccess machen - Infos dazu gibt's im Netz.

Ich glaub auch nicht, dass dein PN-Fehler was mit diesen Zugriffen zu tun hat. Wenn du dein Forum nicht verändert hast, lad dir das entsprechende Paket nochmal runter, und ersetze die Load.pl. Vorher trotzdem sicherheitshalber Backup der jetzigen Load.pl machen - reicht ja schon, diese umzubenennen.
« Last Edit: Feb 21st, 2010 at 10:29am by Homer J. S. »  

My Homer is not a communist. He may be a liar, a pig, an idiot, a communist, but he is not a porn star.
www.silenthill-forum.de (YaBB 1.3.1 with 150+ mods)
www.retrogamerwelt.de (YaBB 2.5.2)
Back to top
WWWICQ  
IP Logged
 
Dix71
YaBB Newcomer
*
Offline



Posts: 24
Angiffe
Feb 21st, 2010 at 10:15am
Post Tools
Hallo,

mein Forum wird seit gestern Mittag permanent im Minutentakt angegriffen (siehe Anhang).

Gestern Mittag hat ein Mod versucht eine PN abzuschicken, dann hat er plötzlich eine Fehlermeldung bekommen, oder besser gesagt auf der ganzen Seite war nur noch die Fehlermeldung zu sehen:
--------------------------------------------------------
Fehler: Untrapped Error :
Unmatched ) in regex; marked by <-- HERE in m/\

(hier drin stand eine monate alte Pn)

\&num=/ at ./Sources/Load.pl line 922.
---------------------------------------------------------

Mein Mod hat nur noch diese Seite angezeigt bekommen, wenn er auf das Forum zugriff.

Ich hab testweise versucht eine Pn abzuschicken, danach bekam ich die selbe wie er angezeigt, konnt aber trotzdem ganz normal auf das Forum zugreifen.

Das komische ist auch im Fehlerlog, da steht dann meine Fehlermeldung, jedoch stehe ich dort als Gast, mein Name wird also nicht angezeigt. Das selbe mit der Fehlermeldung meines Mods.

Das komische ist auch, der Angreifer txpiyn gibt es in meiner Mitgliederliste nicht, ist aber laut Log eingeloggt, siehe Anhang und greift dauernd aufs login zu.

Ich hab die YaBB.pl über Nacht umbenannt, damit der Angreifer nicht mehr zugreifen kann, habs heute Morgen dann wieder normal gemacht und kurze Zeit später war der Angreifer wieder da.

Was kann ich tun, um den loszuwerden?

Und was kann ich tun, damit die Fehlermeldung und die alte Pn nicht mehr angezeigt werden. Ich weiß ja nicht, ob das bei jedem User angezeigt wird, der versucht eine Pn zu schreiben.
« Last Edit: Feb 21st, 2010 at 11:05am by Dix71 »  
Back to top
 
IP Logged
 
Page Index Toggle Pages: 1 [2] 
Topic Tools
 
  « Board Index ‹ Board  ^Top