Überlasteter Server durch UCP-Aufrufe von Gästen - Hacker

[Nuramon]

Wie meinst du das mit Useragent?
IP-Bereich ist größtenteils von 84 bis 87, aber da kommen auch viele User her.
Er benutzt aber auch ganz andere IP-Adressen zum Teil.
Die einzige Gemeinsamkeit, die ich wirklich festgestellt habe, ist eben der Aufruf dieser ucp-Seite.

[cpg]

Moin,

wenn ich wüsste, wo ich das gelesen habe...
... eine Funktion, die prüft, ob der Aufruf der Datei "von außen" vorgenommen wird - und wenn, dann gibt's Mecker.

"forum"/ucp.php?i=pm&mode=compose&action=post

Eigentlich sollte der Aufruf aus dem Foren-Bereich kommen...

Gruß
CPG

[Nuramon]

Ja, das stimmt, man könnte überpüfen, ob der Aufruf dieses Links aus dem Forenkontext kommt oder von außerhalb?
Aber wie?

Ih hab im Internet folgendes gefunden:

Code: Alles auswählen

Mit PHP können wir auch erfahren, woher der Besucher kommt:

<?php
$seite = $_SERVER["HTTP_REFERER"];
echo $seite;
?>

Dieser Befehl funktioniert aber nur, wenn wir durch einen Link oder ähnliches auf die Seite kommen sind.
Manche Browser unterdrücken diese Information.

Im Moment hat die Gastzahl abgenommen, aber es geht immer noch weiter. Ich bin ein wenig hilflos.

[modernist]

Referrerprüfung kann man auch im ACP unter Allgemein -> Server-Konfiguration -> Sicherheit einstellen:

Referrer prüfen:
Wenn aktiviert, wird der Referrer von POST-Anfragen gegen die Einstellungen des Hostnamen/Skript-Pfads geprüft. Dies kann bei Boards zu Problemen führen, die mehrere Domains oder eine externe Anmeldung nutzen.

Aber dann solltest du die Nutzer warnen, daß der Browser den Referrer mitsenden muß, wenn sie was schreiben wollen.

[Nuramon]

Und ein erneuter Zugriff des Hackers, nun auf der neuen Domain.
Wieder über die UCP, nun auf den persönlichen Bereich mit 20 Gästen.
Referrer-Einstellung hat nichts gebracht.

Code: Alles auswählen

Gast
IP: 195.110.209.22 » Whois
SSJMaster/7.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.3) Gecko/20100401 SSJMaster/7.8.3

Also doch der werte SSJMaster-Hacker oder was darf mir das sagen? Dann sollte ich mich ja geehrt fühlen

Was kann ich jetzt genau tun?
Hab mal wieder die ucp.php umbenannt temporär, aber das KANN ja nicht die Lösung sein -.-
Das ganze Forum hängt wieder,
ich bräuchte schnell mal Hilfe...

[BNa]

Öffne

ucp.php

Finde

Code: Alles auswählen

// Start session management
$user->session_begin();
$auth->acl($user->data);
$user->setup('ucp'); 

Dahinter füge ein

Code: Alles auswählen

// block each referrer which not coming from your domain
$referrerr = @$_SERVER['HTTP_REFERER'];
if (strpos($referrerr, 'domain.com')) 
{
// do nothing
}
else
{
exit;
}
// block each referrer which not coming from your domain   

domain.com mit der eigenen Real Web Adresse ersetzen. Keine V- oder Sub-Domain.

Dieser Code blockt alle Zugriffe auf das UCP, die von ausserhalb der Domain ausgeführt werden (zum Beispiel via Script).
Geht der User vorab zum Beispiel auf den Index domain.com/index.php kann er auf das UCP zugreifen.

Dann mal gucken, wie schlau dein Hacker(!) ist. Mach daher diese Lösung nicht publik, denn, falls er es schnallt, gibt es weitere, effektivere Methoden.
Ich hoffe nur, der liest hier nicht mit

[Mahony]

Hallo

Also doch der werte SSJMaster-Hacker oder was darf mir das sagen?

Es kann natürlich auch sein, dass sich jemand (oder mehrere User) aus deinem Forum einen Trojaner eingefangen haben der dein Forum (die ucp.php) nun permanent aufruft.

P.S. Eventuell hat jemand bösartiges einen Trojaner-Link gepostet und deine User haben ihn angeklickt?

Grüße: Mahony

[Nuramon]

Öffne

ucp.php

Finde

Code: Alles auswählen

// Start session management
$user->session_begin();
$auth->acl($user->data);
$user->setup('ucp'); 

Dahinter füge ein

Code: Alles auswählen

// block each referrer which not coming from your domain
$referrerr = @$_SERVER['HTTP_REFERER'];
if (strpos($referrerr, 'domain.com')) 
{
// do nothing
}
else
{
exit;
}
// block each referrer which not coming from your domain     

domain.com mit der eigenen Real Web Adresse ersetzen. Keine V- oder Sub-Domain.

Dieser Code blockt alle Zugriffe auf das UCP, die von ausserhalb der Domain ausgeführt werden (zum Beispiel via Script).
Geht der User vorab zum Beispiel auf den Index domain.com/index.php kann er auf das UCP zugreifen.

Dann mal gucken, wie schlau dein Hacker(!) ist. Mach daher diese Lösung nicht publik, denn, falls er es schnallt, gibt es weitere, effektivere Methoden.
Ich hoffe nur, der liest hier nicht mit

Wo ist hier der Danke-Button?
Ich würde den jetzt 10mal für dich klicken!
Danke
Das funktioniert, und zwar einwandfrei ^.^
Mal sehen, was er sich jetzt einfallen lässt


Achja, und zu der Sache wegen Trojanern, eher nicht, ich kannte viele seiner IPs auf proxys und merkwürdige Server zurückverfolgen.
Hatte übergangsweise ein paar seiner IPs in der .htaccess geblockt, das ging auch vorerst.

EDIT://
Kann wohl gut sein, da war mal was....
Aber die Datei war binnen zwei Minuten gelöscht.
Naja viel kann man da ja nicht machen, oder?