[verplaatst] Virus alert en phpbb?

KevinS · Bericht door **KevinS** » 27 dec 2004, 10:40

Hoe zit het verder met jullie dataverkeer?

Kaza · Bericht door **Kaza** » 27 dec 2004, 11:13

Kevinos schreef:Hoe zit het verder met jullie dataverkeer?

Die is iets hoger dan normaal, niet zorgwekkend hoger dus

headout · Bericht door **headout** » 27 dec 2004, 11:28

Kevinos schreef:Hoe zit het verder met jullie dataverkeer?

Ik merk over het algemeen ook niet zo heel veel van hoger verbruik, slechts enkelen lijken wat meer te verbruiken dan normaal.

FlorisD · Bericht door **FlorisD** » 27 dec 2004, 14:05

Op phpBB.com is een .htaccess-bestand te vinden waarmee je de grote hoeveelheid bandbreedte die de santy-wormen genereren (bij een aantal forums, niet allemaal) kan laten stoppen/afnemen.

Zie voor meer informatie http://www.phpbb.com/phpBB/viewtopic.ph ... 78#1369278

Bas · Bericht door **Bas** » 28 dec 2004, 14:32

Heeft er al eens iemand deze MOD gezien?

This hack blocks all known worm attacks dynamically from your phpBB. The cracking action gets locked. This hack doesn't create a session if someone tries to hack your site and safes and prevents it from affecting your phpBB.

LazyTiger · Bericht door **LazyTiger** » 28 dec 2004, 14:35

die heb ik al op 2 plaatsen ergens gepost hier ja

(andere topics overigens )

Kaza · Bericht door **Kaza** » 28 dec 2004, 14:47

Ok maar werkt het?

VGM · Bericht door **VGM** » 28 dec 2004, 15:22

FlorisD schreef:Op phpBB.com is een .htaccess-bestand te vinden waarmee je de grote hoeveelheid bandbreedte die de santy-wormen genereren (bij een aantal forums, niet allemaal) kan laten stoppen/afnemen.

Zie voor meer informatie http://www.phpbb.com/phpBB/viewtopic.ph ... 78#1369278

ik zit met hetzelfde probleem ,ik heb gisteren geupgrade en heb nog steeds veel gasten ,ik heb vandaag zelfs die googlebot even geblockt ,hoe moet ik nu bovenstaande installeren?

ElbertF · Bericht door **ElbertF** » 28 dec 2004, 17:13

Je moet die tekst in een tekstbestand plaatsen, uploaden naar de root van je site er en hernoemen naar .htacces (dus zonder iets voor de punt).

VGM · Bericht door **VGM** » 28 dec 2004, 17:34

en nu komt mijn tweede domme vraag ,wat is mijn root ?

Bas · Bericht door **Bas** » 28 dec 2004, 17:38

Root is bijvoorbeeld map forum op de server (of phpBB2)...

En het moet niet .htacces heten, maar .htaccess

The Sting · Bericht door **The Sting** » 28 dec 2004, 17:38

VGM schreef:en nu komt mijn tweede domme vraag ,wat is mijn root ?

waar je config.php staat.

VGM · Bericht door **VGM** » 28 dec 2004, 17:49

oke aangepast bedankt

The Sting · Bericht door **The Sting** » 28 dec 2004, 18:26

Spambot schreef:Je moet die tekst in een tekstbestand plaatsen, uploaden naar de root van je site er en hernoemen naar .htacces (dus zonder iets voor de punt).

Bij mij staat er nu

Files 403.shtml>
order allow,deny
allow from all
</Files>

deny from XX.225.XXX.XX
deny from XX.234.XXX.XX

Wat moet erbij of af?.

KevinS · Bericht door **KevinS** » 28 dec 2004, 18:57

Wij hebben het onderstaande in een .htaccess bestand geplaatst in onze root. De worm is weg of dit help het voor een groot deel tegen te houden!

RewriteEngine On

# prevent access from santy webworm a-e
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent pre php 4.3.10 bug
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

The Sting · Bericht door **The Sting** » 29 dec 2004, 23:05

Spambot schreef:Je moet die tekst in een tekstbestand plaatsen, uploaden naar de root van je site er en hernoemen naar .htacces (dus zonder iets voor de punt).

Maar had ik iets moeten veranderen?, was gelijk offline.

RewriteEngine On

# prevent access from santy webworm a-e
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent pre php 4.3.10 bug
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

KevinS · Bericht door **KevinS** » 29 dec 2004, 23:10

De worm maakt gebruik van een perl script, wij hebben alle perl scripts geblokkeerd en geen last meer van de worm

Bas · Bericht door **Bas** » 31 dec 2004, 18:30

Mijn server heeft het ook...

http://btweb.no-ip.biz/sig/

Bee · Bericht door **Bee** » 03 jan 2005, 17:17

Ik las net weer dat er weer een tegenaanval is tegen het oorspronkelijke virus, dat je viewtopic.php patcht, en daarna een secure.php bestand erbij maakt op de server. Maar eigenlijk maakt het geen moer uit, het gebruikt hetzelfde securityhack.

djrandall · Bericht door **djrandall** » 04 jan 2005, 09:13

bee schreef:Ik las net weer dat er weer een tegenaanval is tegen het oorspronkelijke virus, dat je viewtopic.php patcht, en daarna een secure.php bestand erbij maakt op de server. Maar eigenlijk maakt het geen moer uit, het gebruikt hetzelfde securityhack.

http://www.tweakers.net/nieuws/35594