Nikonianer?

Canonianer?

Jedenfalls freue ich mich, daß es wieder läuft!

Da sieht man halt wieder, wie beliebt diese Forum hier ist. Alle wollen mitlesen! Hoffentlich nich nur die Spezies von KoMi!! :D

also erstmal danke für die arbeit von denen, die das forum wieder zum laufen gebracht haben.

aber ganz so lustig find ich solche aktionen nicht. erstens läßt man nicht einfach ohne zu fragen irgendeine website abstürtzen und zweitens erzeugen die deppen die sowas machen auch erheblichen traffic, der nebenbei auch noch geld kostet. es wäre echt netter im netz wenn's nicht laufend son par spinner gäbe, die meinen irgendwas zerstören zu müssen.
das fängt an bei irgendwelchen kleinen kindern, die mal einen nicht gepatchten windows rechner abschmieren lassen bis zu wurm programierern, die offensichtlich mit ihrem wissen nix besseres anzufangen wissen als der allgemeinheit auf die nerven zu gehen.
wenn ich mir bloß die log's aus der firewall auf meinem server anschau die in einer woche erzeugt werden kann einem echt schlecht werden.
sicher ich bekomme davon direkt erstmal nix mit wenns geblockt wird - aber irgendwo haben die typen halt mal erfolg und finden sich dann irre cool.
wenn jemand unbedingt wissen will wie man sowas macht soll er sich doch zuhause einen rechner einrichten und den angreifen - ist keine witz hab ich testhalber auch schon gemacht.
aber sowas in "freier wildbahn" zu machen ist echt voll daneben.

so, um es mal kurz ein wenig zusammenzufassen. Der heutige Angriff basiert auf einer Lücke die in einer älteren Version von phpBB vorhanden ist. Diese Lücke wurde Ende des vergangenen Jahres schon erfolgreich dazu benutzt unserem Forum einen Trojaner unterzujubeln.
Diese Lücke wird durch Eingabe einer überlangen URL ausgenutzt, das veranlasst den Server von einer anderen URL eine php Datei zu holen und diese in seinem lokalen Sicherheitskontext auszuführen.
Unser Forensoftware ist auf dem aktuellen Stand, wer einmal so etwas durchgemacht hat passt eben besonders auf. Trifft so eine Überlange URL auf unseren Server produziert dieser einfach nur eine Fehlerseite. Wenn jetzt aber gezielt sehr viel Rechner in kurzer Zeit sehr oft eine solch unsinnige Anfrage machen ist der Rechner nur noch damit beschäftigt Fehlerseiten auszuliefern. Dabei wird der Inhalt nicht verändert, es findet also kein "Hack" an sich statt, die Seite ist nur über lange Zeit eben nicht oder nur sehr langsam erreichbar.
Als Sysadmin ist es sehr schwer solch usinnige Anfragen von wirklichen Useranfragen auseinanderzuhalten. Hierzu kann man eine Firewall zwischenschalten, die mit folgenden drei Regeln bestückt Herr der Lage geworden ist:
Von jeder Anfragenden IP dürfen nur x Anfragen im Zeitraum y gestellt werden
Von jedem Subnetz aus dürfen nur x Verbindungen gleichzeitig offen sein
Innerhalb einer Anfrage darf eine bestimmte Zeichenkette (aus der überlangen URL) nicht vorkommen
So, ich hoffe das konnte euren Wissensdurst ein wenig stillen ;-)
LG
Basti

Hallo Basti,

zunächst Dir und allen Mitstreitern, die es geschafft haben das Forum wieder für uns zugänglich zu machen, ein ganz dickes DANKESCHÖN! :top:

Und denen, die meinen sich durch solche Aktionen profilieren zu können, wünsche ich persönlich die P... an den Hals. :flop: :shock:

Gruß
Jürgen

Ich schließe mich an!

Jepp, Danke sehr!!! :top: :top: :top:

Das war schon komisch heute, so ohne Forum. Ich hatte mir schon fast so etwas gedacht. Die letzte Attacke ist ja noch nicht sooo lange her.

Es ist schlimm geworden, überall wird nach Sicherheitslücken gesucht, um potentiellen Schaden anzurichten.

Ein dicken Lob ans Team, dass wieder alles läuft!

Tja, viele Menschen haben halt momentan jede Menge Zeit, sich so einen Sch...ß auszudenken! :flop:

Unsere Regierung und Hartz IV lassen grüssen... :flop:

Endlich seid Ihr wieder da, hatte schon Entzugserscheinungen... :roll: