Thread Author: Panter
Thread ID: 3954
Thread Info
Es gibt 6 Beiträge zu diesem Thema, und es wurde 3242 mal angesehen.
Wer ist hier? 1 Gäste
 Thema drucken
Hack? Bot? oder was ist das?
Panter
Hallööölleee an alle

Also ich habe mal nach langer Zeit mal wieder ein Problemchen >.<
ich weiß nicht ganz genau wo ich es rein schreiben soll deshalb hier.

Also um was handelt sich es

Diesmal mit einem Websapce,
ich habe seid ein paar Tagen immer und immer wieder
kommische zugriefe... hier mal ein auszug aus der logfile.

Code 


77.38.12.98 - - [04/Feb/2012:23:59:38 +0100] "GET /muieblackcat HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:41 +0100] "GET //admin/index.php HTTP/1.1" 200 1276 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:42 +0100] "GET //admin/pma/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:42 +0100] "GET //admin/phpmyadmin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:42 +0100] "GET //db/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:42 +0100] "GET //dbadmin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:47 +0100] "GET //myadmin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:47 +0100] "GET //mysql/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:48 +0100] "GET //mysqladmin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:48 +0100] "GET //typo3/phpmyadmin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:53 +0100] "GET //phpadmin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:53 +0100] "GET //phpMyAdmin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:53 +0100] "GET //phpmyadmin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:53 +0100] "GET //phpmyadmin1/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:53 +0100] "GET //phpmyadmin2/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:53 +0100] "GET //pma/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:53 +0100] "GET //web/phpMyAdmin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:53 +0100] "GET //xampp/phpmyadmin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:56 +0100] "GET //php-my-admin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:56 +0100] "GET //websql/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:57 +0100] "GET //phpmyadmin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:57 +0100] "GET //phpMyAdmin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:57 +0100] "GET //phpMyAdmin-2/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:57 +0100] "GET //php-my-admin/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:57 +0100] "GET //phpMyAdmin-2.2.3/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:57 +0100] "GET //phpMyAdmin-2.2.6/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:57 +0100] "GET //phpMyAdmin-2.5.1/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [04/Feb/2012:23:59:57 +0100] "GET //phpMyAdmin-2.5.4/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [05/Feb/2012:00:00:00 +0100] "GET //phpMyAdmin-2.5.5-rc2/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [05/Feb/2012:00:00:00 +0100] "GET //phpMyAdmin-2.5.5/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [05/Feb/2012:00:00:00 +0100] "GET //phpMyAdmin-2.5.5-pl1/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [05/Feb/2012:00:00:00 +0100] "GET //phpMyAdmin-2.5.6-rc1/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [05/Feb/2012:00:00:00 +0100] "GET //phpMyAdmin-2.5.6-rc2/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [05/Feb/2012:00:00:04 +0100] "GET //phpMyAdmin-2.5.7/index.php HTTP/1.1" 302 498 "-" "-"
77.38.12.98 - - [05/Feb/2012:00:00:04 +0100] "GET //phpMyAdmin-2.5.7-pl1/index.php HTTP/1.1" 302 498 "-" "-"



Die IP ist ein Proxy.

es werden immer wieder auf die gesagten links aufgerufen und immer wieder von unterschiedlichen ip´s aus der ganzen Welt verstreut.

Die ganzen IP´s wie ich schon geschrieben habe sind alle sammt Proxy´s.

ich habe mich dann mal Schlau gegoogelt.

Zitat 
muieblackcat ist script / bot, angeblich ukrainischer Herkunft, die auf PHP-Schwachstellen oder Fehlkonfigurationen auszunutzen versucht. .........

Wenn Sie sich nicht mit PHP und deaktiviert haben mod_php , bist du sicher. Allerdings kann ein Antrag auf / muieblackcat bedeuten, dass der Bot bereits, vielleicht erfolgreich, besucht Ihre Website. Ich schlage vor, Sie sorgfältig überprüfen Sie Ihre Konfiguration und Web-Inhalte (wenn möglich, alles löschen und neu installieren von einer vertrauenswürdigen Quelle-Set).


Nicht wundern Google übersetzer weil ich auf Deutsch nix dazu gefunden habe.

Nun meine Frage ist was kann ich tun was muss ich machen?

Ich habe gestern alle Daten des Server gelöscht backups druff gespielt usw. aber es kommt immer wieder.
nun möchte ich das irgend wie bannen oder blocken oder so ist das möglich wenn ja was muss ich machen?

Ich hoffe auf hilfe.

Lg. Panter
Mein Rechner:

AMD Athlon 2 X4 630
4 GB Ram
NIVIDIA GeForce 9500 GT 1024 MB
8 TB Festplatten Speicher

Und nein ich bin kein Zokker so was ist luxus rofl
 
SC-Ad-Bot
 
Panter
Hallo an alle.

Also ich habe nun mich bisschen Schlau gemacht und habe folgendes Gefunden.

Code 


RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_USER_AGENT} ^MeinAgent [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]



Dies soll ich in die htaccess packen.

Dieser Eintrag blockt ja den User Agent, nur ich frage mich gerade was ich von meinem Eintrag benutzen soll.

Code 

77.38.12.98 - - [04/Feb/2012:23:59:38 +0100] "GET /muieblackcat HTTP/1.1" 302 498 "-" "-"



muss ich dann z.b. das so eintragen

Code 

RewriteCond %{HTTP_USER_AGENT} ^"-" "-" [NC]



oder wie??????

Würde mich um hilfe sehr freuen und vor allem auch auf noch andere beispiele.

Lg. Panter
Mein Rechner:

AMD Athlon 2 X4 630
4 GB Ram
NIVIDIA GeForce 9500 GT 1024 MB
8 TB Festplatten Speicher

Und nein ich bin kein Zokker so was ist luxus rofl
 
Dat Tunes
Moin ,

kurze erklärung zu diesen "muieblackcat" :

Das ist eigendlich nur ein Script, was irgendwo in Russland, China oder sonst wo auf der Welt auf einen Server liegt und Webseiten/Server nach schwachstellen absucht, um danach ggf. eine Hack Attacke zu starten.
Er findet bei dir unter anderen die Dateien für die Datenbank (PMA) und will einen versuch starten , in diese auch einzudringen. Schaft er aber nicht, da die Fehlermeldung 302.
Diese steht für einen Übertragungsfehler.

Eigendlich macht jeder mal bekanntschaft mit einen solchen Scrip oder auch BOT bezeichnet.
Man unterscheidet einfach nur in Gute (Google, Yahoo usw) und in Böse.
Diese kann man als Böse einordnen, aber wenn ein Server immer Aktuell gehalten wird und auch ordentlich gesichert ist, dann bleibt diese vor der Tür.

Wie du diesen aber jetzt gezielt aussperren kannst, kann ich dir aussen Kopf grade auch nicht sagen, da hilft dir eher Google weiter oder versuch mal deinen Hoster zu fragen.

Intressantes zu Lesen dazu:
http://serversupportforum.de/forum/dedizierte-server/46823-hackerversuch-ist-passiert.html
Leute ohne Macke, sind Kacke Dickeslachen
Oh Herr, schmeiss Grundwissen von Himmel !
 
Panter
Hallo BabyTunes

Erst mal danke für deinen Beitrag.

Das was du geschrieben hast habe ich schon raus gefunden.
und weis nach meiner Forschungen das dieser Bot keine Gefahr für mich ist, da es keine Sicherheitslügen (nach den er sucht) bei mir nicht gibt.

Allerdings muss ich sagen nervt es tirisch, ich habe so ca zwischen 100 und 200 diser zugriefe von diesem Bot pro Tag!!!!
Zum einem habe ich das gefühl das dadurch meine Seite am larmen ist, und es spammt mir meine Logs voll.

Das was ich gepostet habe habe ich schon so mit Google herraus gefunden also das.

Code 


RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_USER_AGENT} ^MeinAgent [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]



Das soll ja nur so viel heißen wie wenn jemand mit der erkenung versucht auf der Domain zuzugreifen wird er automatisch zu localhost also http://127.0.0.1 geleitet.

Zum einem habe ich dann in der Log nur 1 Zugrief von den Bot und nicht mehr pro ankommen 10 oder 20 (kp wie viele es sind unten ist ja ein auszug)

Wenn ich nun einen Proxy benutze wo z.b. als erkenung stehst

Code 


"Proxyname"



und ich habe in meiner htaccess folgendes eintrage:

Code 


RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_USER_AGENT} ^Proxyname [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]



Dann werde ich zu der seite geschickt von wo der proxy kam.


nur da der bot ja

Code 


77.38.12.98 - - [04/Feb/2012:23:59:38 +0100] "GET /muieblackcat HTTP/1.1" 302 498 "-" "-"



Funzt das überhaubt weil egal was ich rein schreibe funzt nicht der bot kann dennoch zugrief drauf nehmen, oder mache ich was falsch????

Lg. Panter
Mein Rechner:

AMD Athlon 2 X4 630
4 GB Ram
NIVIDIA GeForce 9500 GT 1024 MB
8 TB Festplatten Speicher

Und nein ich bin kein Zokker so was ist luxus rofl
 
DeeoNe
.htaccess IP Sperre

Code 

order allow,deny
allow from all
deny from **.**.**.**
deny from ***.***.***.***



Sie bekommen dan eine Error 403 Seite.

Oder man macht eine eigene oder leidet Sie sonst wo hin ;) auch mit der .htaccess

Code 


ErrorDocument 403 http://www.google.de



=

Code 

order allow,deny
allow from all
deny from **.**.**.**
deny from ***.***.***.***

ErrorDocument 403 http://www.google.de


Bearbeitet von DeeoNe am 07.02.2012 um 15:25
www.deeone.de/images/linkus/deeonde1.png
 
Panter
Hallo DeeoNe

Erst mal danke für dein Post. diese Metode benutze ich auch schon es bringt mir aber rein garnix.
in meinem Ersten Post habe ich geschrieben.

Zitat Panter schrieb:

Die ganzen IP´s wie ich schon geschrieben habe sind alle sammt Proxy´s.

Lg. Panter



Wenn ich die ip´s bannen würde würde es mir
1. nix bringen weil es immer und immer wieder neue Ip´s sind.
2. währe ich nur noch mit eintragen beschäftigt und würde zu nix anderes mehr kommen.

Also fällt diese Metode schonmal leider aus.

Lg. Panter
Mein Rechner:

AMD Athlon 2 X4 630
4 GB Ram
NIVIDIA GeForce 9500 GT 1024 MB
8 TB Festplatten Speicher

Und nein ich bin kein Zokker so was ist luxus rofl
 
Springe ins Forum:

 Ähnliche Themen 

TEST
Thema Forum Antworten Letzter Beitrag
Portierung Wordpress oder Joomla Design auf PHP Fusion Allgemeine Support Fragen 3 17.07.2015 um 14:14
Verlinkung in Edit_profile oder User info Pannel(avatar rezizer) Infusionen 16 28.05.2014 um 00:01
Anfrage zu einem Hack/erweiterung der PHP-Fusion7 MODS & Hacks vorstellen 10 14.01.2012 um 23:42
Chat-CCommunity wie Facebook oder Co Allgemeine Support Fragen 3 30.07.2011 um 11:06
Panel NUR für Gäste, nicht für Mitglieder oder Admins Allgemeine Support Fragen 3 10.07.2011 um 07:09
SGI Fusion