Statistik |
Beiträge: 144.534 (Täglich: 19,19 )
Themen: 16.701
Mitglieder: 13.209
Neuestes Mitglied: zitronentee.
Ausl. d. letzten Minute: 470%
Ausl. d. letzten 5 Minuten: 405%
Ausl. d. letzten 15 Minuten: 385%
Aktulle Uhrzeit: 12:47
Freier Webspace: 4.03 TB
PHP-Version: 7.4.33
|
|
|
|
|
Hackerangriff oder Bot, der CT-System lahmlegt?! |
Patty Halliwell
Eroberer
Dabei seit: 16.06.2019
Beiträge: 72
0 Filebase-Einträge
Alter: 33 Jahre
Herkunft: CH wBB-Version: wBBLite PHP-Version: 8.2 (sofern möglich) MySQL-Version: 5.7 / MyOOS [Dumper]
Mitglied bewerten
Level: 27 [?]
Erfahrungspunkte: 125.892
Nächster Level: 157.092
|
|
Hackerangriff oder Bot, der CT-System lahmlegt?! |
|
Hallo zusammen
Ich habe gerade ein ziemliches Problem:
In den letzten 3h habe ich knapp 2300(!) E-Mail bekommen, die ausnahmslos alle den gleichen Inhalt haben (s. Bild). Die werden offenbar alle vom CT Security System versendet, als ob es immer wieder Hackerangriffe abwehren würde. Es werden auch im Minutentakt mehr! Auch der Rekord ist erheblich gestiegen, vor 2 Stunden hat es offenbar sogar 256 Besucher angezeigt (normalerweise sind wir so 2-3 Leute plus 1-2 Bots). Momentan hat es auch wieder nur die beiden Bots im wiw drin.
Das CT-System ist meines Wissens nach schon etwas veraltet, da es wohl nicht mehr weiterentwickelt wird, aber bisher ist sowas noch nie vorgekommen. Ich habe aber echt keine Ahnung, ob da wirklich jemand etwas Böses versucht oder ob das einfach einer dieser beiden Bots ist, die das durch irgendeine Aktion auslösen. Im ACP habe ich auch nichts Auffälliges entdeckt.
Kann mir irgendwer helfen und mir sagen, wie ich das herausfinden kann? Und gibt es vielleicht einen neueren Hack, der CT ablösen könnte, falls es wirklich nur das ist, das rumspinnt?
Dateianhänge: |
E-Mails.png (7,02 KB, 109 mal heruntergeladen) Rekord.png (5,25 KB, 108 mal heruntergeladen) wiw.png (25,43 KB, 109 mal heruntergeladen)
|
|
|
27.10.2021 12:59 |
|
|
knudd
Foren As
Dabei seit: 22.09.2006
Beiträge: 84
0 Filebase-Einträge
Alter: 43 Jahre
Herkunft: Bremen wBB-Version: wBBLite PHP-Version: 7.0 MySQL-Version: 5.0.8 Wo bist du gehostet?: all-inkl
Mitglied bewerten
Level: 33 [?]
Erfahrungspunkte: 537.466
Nächster Level: 555.345
|
|
Das hab ich auch gehabt damit versuchen Hacker Emails (bestell Bestätigungen , Versand Bestätigungen ) zu vertuschen...
Ich bekomme heute nochmals an 1 tag kamen 10000 ..
man hat mein Baur.de account geheckt du solltest also alles prüfen !
Amazon Versandhäuser PAYPAL !!! usw ...
__________________
|
|
27.10.2021 18:52 |
|
|
Patty Halliwell
Eroberer
Dabei seit: 16.06.2019
Beiträge: 72
0 Filebase-Einträge
Alter: 33 Jahre
Herkunft: CH wBB-Version: wBBLite PHP-Version: 8.2 (sofern möglich) MySQL-Version: 5.7 / MyOOS [Dumper]
Mitglied bewerten
Level: 27 [?]
Erfahrungspunkte: 125.892
Nächster Level: 157.092
Themenstarter
|
|
Das glaube ich jetzt eher weniger ehrlich gesagt. Die Mails kamen ja alle vom CT-Security Hack und es sind auch nur diese E-Mails gekommen und nichts anderes. Und im Forum selbst haben wir nichts, was mit Geld laufen würde. Das Passwort von dort benutze ich auch sonst nirgends und PayPal habe ich über diese E-Mail-Adresse gar nicht.
Ich habe bisher leider noch nicht herausfinden können, ob CT so eine Macke gehabt, sich ein Bot "verlaufen" oder ob tatsächlich jemand versucht hat, ins Forum einzudringen.
|
|
27.10.2021 19:36 |
|
|
Patty Halliwell
Eroberer
Dabei seit: 16.06.2019
Beiträge: 72
0 Filebase-Einträge
Alter: 33 Jahre
Herkunft: CH wBB-Version: wBBLite PHP-Version: 8.2 (sofern möglich) MySQL-Version: 5.7 / MyOOS [Dumper]
Mitglied bewerten
Level: 27 [?]
Erfahrungspunkte: 125.892
Nächster Level: 157.092
Themenstarter
|
|
Hey Viktor
Was mir bei CT einfach Sorgen bereitet, ist dass der Code dafür schon etwas veraltet ist. Das ist auch boch eine Knacknuss, die mir bezüglich PHP-Upgrade Sorgen bereitet. Aber schon mal gut zu hören, dass er wohl richtig zu funktionieren scheint.
Was hast du denn genau eingebaut?
Das mit der SQL-Injektion will ich mir mal genauer anschauen, ich habe immer mal wieder etwas darüber gelesen, aber nie ganz kapiert, was das eigentlich genau ist.
Das mlt der Anpassung wäre sicher eine gute Idee, das schaue ich mir morgen noch an. Das heute ist jetzt echt krass gewesen, normalerweise bekomme ich alle paar Wochen so um die 10 Mails und dann ist wieder ruhig. Sowas habe ich bisher noch nie erlebt.
Ich habe schon einmal versucht, alle Bots über das robots.txt File auszusperren, was insofern geklappt hat, dass nur noch der Bot des Hosters herumgeistert. Es würde mich allerdings echt interessieren, woher das gekommen ist.
Dankeschön.
|
|
27.10.2021 21:43 |
|
|
Viktor
Administrator
Zeige Viktor auf Karte
Dabei seit: 15.08.2003
Beiträge: 31.570
363 Filebase-Einträge
Alter: 66 Jahre
Herkunft: NRW wBB-Version: wBB2.3 PHP-Version: 7.4.33 MySQL-Version: 10.5.19-MariaDB Wo bist du gehostet?: eigener Server
Bewertung:
Level: 71 [?]
Erfahrungspunkte: 237.778.000
Nächster Level: 266.777.854
|
|
|
Zitat: Original von Patty Halliwell
Hey Viktor
Was mir bei CT einfach Sorgen bereitet, ist dass der Code dafür schon etwas veraltet ist. Das ist auch boch eine Knacknuss, die mir bezüglich PHP-Upgrade Sorgen bereitet. Aber schon mal gut zu hören, dass er wohl richtig zu funktionieren scheint.
Was hast du denn genau eingebaut?
Das mit der SQL-Injektion will ich mir mal genauer anschauen, ich habe immer mal wieder etwas darüber gelesen, aber nie ganz kapiert, was das eigentlich genau ist.
Das mlt der Anpassung wäre sicher eine gute Idee, das schaue ich mir morgen noch an. Das heute ist jetzt echt krass gewesen, normalerweise bekomme ich alle paar Wochen so um die 10 Mails und dann ist wieder ruhig. Sowas habe ich bisher noch nie erlebt.
Ich habe schon einmal versucht, alle Bots über das robots.txt File auszusperren, was insofern geklappt hat, dass nur noch der Bot des Hosters herumgeistert. Es würde mich allerdings echt interessieren, woher das gekommen ist.
Dankeschön.
|
|
|
Hallo.
das der CT veraltet ist ist schon richtig aber solange er noch unter der eingesetzten PHP-Version läuft ist alles gut.
Bei einem PHP-Upgrade wird er wahrscheinlich nicht mehr laufen.
Ich haben den "ctracker" bei mir eingebaut den es mal gab.
Der blockiert nur SQL-Injektion aber das reicht aus.
Gruß
Viktor
__________________
Ein kluger Mann widerspricht keiner Frau. Er wartet, bis sie es selbst tut.
... beim Käfer (WBB2) konnte man noch selber schrauben,
beim neuen Golf (WBB3) muß man fast schon in die Werkstatt wenn man das "Wischwasser" nachfüllen muss!
Da fast keiner mehr hier Postet gibt es ab sofort keinen Support mehr per PN.
|
|
27.10.2021 22:17 |
|
|
Tappi
wBB2-User
Zeige Tappi auf Karte
Dabei seit: 30.05.2007
Beiträge: 1.704
2 Filebase-Einträge
Alter: 43 Jahre
Herkunft: Ostwestfalen wBB-Version: wBB2.3 PHP-Version: 7.4 und 8.0 MySQL-Version: MariaDB 10.5.19 Wo bist du gehostet?: Rootserver von www.ip-projects.de
Bewertung:
Level: 50 [?]
Erfahrungspunkte: 10.475.899
Nächster Level: 11.777.899
|
|
Leider wird CT Security nicht mehr aktualisiert .... Frank macht diesbezüglich nichts mehr leider
__________________
Ich bin Ostwestfale: STUR . HARTNÄCKIG . KÄMPFERISCH
|
|
27.10.2021 23:16 |
|
|
Patty Halliwell
Eroberer
Dabei seit: 16.06.2019
Beiträge: 72
0 Filebase-Einträge
Alter: 33 Jahre
Herkunft: CH wBB-Version: wBBLite PHP-Version: 8.2 (sofern möglich) MySQL-Version: 5.7 / MyOOS [Dumper]
Mitglied bewerten
Level: 27 [?]
Erfahrungspunkte: 125.892
Nächster Level: 157.092
Themenstarter
|
|
Hey Viktor
Ja, unter PHP7.4 scheint er bisher noch zu gehen, höher bin ich mir nicht mehr sicher. Ich glaube, ich habe es mal mit 8.0 versucht, aber da habe ich sonst noch so viele andere Probleme gehabt (z.B. der Profilfelder-Hack, der wohl auch eine Aktualisierung benötigen würde, im WBB Coderforum antwortet leider niemand), dass ich das damals wieder zur Seite gelegt gehabt habe.
Einen ctracker hab ich jetzt nach kurzer Suche nirgends gefunden, aber vielleicht sind die Funktionen davon ja (hoffentlich) auch im CT Security drin.
Bzgl SQL-Injektionen gibt es ja hier von Schrimm noch eine Anleitung, wie man Lücken schliessen kann. Ich habe mal stichprobenartig geschaut und festgestellt, dass das bei uns wohl beim Aufsetzen des Boards nicht gemacht worden ist und ich mich danach wohl auch nie befasst habe. Das wäre wohl noch gut, wenn ich das noch nachholen kann.
Hoffentlich finde ich auch noch heraus, ob und wo man das mit den Mails bei CT ändern kann, bei meinen Recherchen habe ich nämlich vorhin herausgefunden, dass der eigentliche "Angriff" (wenn man dies so nennen kann) nur von 09:14 bis 09:39 Uhr gedauert hat. Aber das System ist so überlastet gewesen, dass es bis 13:10 Uhr gebraucht hat, bis es alle Mails verschickt gehabt hat.
Der meiste Traffic ist da übrigens über die Shoutbox gelaufen, vielleicht wäre es eine Überlegung wert, diese auszubauen.
@Tappi Ja, das stimmt leider. Ich habe gerade nochmals geschaut, immer noch die gleiche Version wie damals beim runterladen vor zwei oder keine Ahnung wie vielen Jahren.
|
|
29.10.2021 21:38 |
|
|
Viktor
Administrator
Zeige Viktor auf Karte
Dabei seit: 15.08.2003
Beiträge: 31.570
363 Filebase-Einträge
Alter: 66 Jahre
Herkunft: NRW wBB-Version: wBB2.3 PHP-Version: 7.4.33 MySQL-Version: 10.5.19-MariaDB Wo bist du gehostet?: eigener Server
Bewertung:
Level: 71 [?]
Erfahrungspunkte: 237.778.000
Nächster Level: 266.777.854
|
|
|
Zitat: Original von Patty Halliwell
Hey Viktor
Ja, unter PHP7.4 scheint er bisher noch zu gehen, höher bin ich mir nicht mehr sicher. Ich glaube, ich habe es mal mit 8.0 versucht, aber da habe ich sonst noch so viele andere Probleme gehabt (z.B. der Profilfelder-Hack, der wohl auch eine Aktualisierung benötigen würde, im WBB Coderforum antwortet leider niemand), dass ich das damals wieder zur Seite gelegt gehabt habe.
|
|
|
Ja mit PHP 8 muss einiges angepasst werden.
|
Zitat:
Einen ctracker hab ich jetzt nach kurzer Suche nirgends gefunden, aber vielleicht sind die Funktionen davon ja (hoffentlich) auch im CT Security drin.
|
|
|
Ja der ist mit drin. Die Datei heißt da "ct_ctracker.php".
|
Zitat:
Hoffentlich finde ich auch noch heraus, ob und wo man das mit den Mails bei CT ändern kann, bei meinen Recherchen habe ich nämlich vorhin herausgefunden, dass der eigentliche "Angriff" (wenn man dies so nennen kann) nur von 09:14 bis 09:39 Uhr gedauert hat. Aber das System ist so überlastet gewesen, dass es bis 13:10 Uhr gebraucht hat, bis es alle Mails verschickt gehabt hat.
Der meiste Traffic ist da übrigens über die Shoutbox gelaufen, vielleicht wäre es eine Überlegung wert, diese auszubauen.
|
|
|
Ich habe den CT-Securitie 3.04 gefunden und da wird alles in der Datei "ct_blocker.php" geregelt.
Da wird die Mail versendet wenn die max. Loganzahl überschritten ist.
Im ACP kann man es einstellen "Anzahl der Logs (Standard 100)".
Es muss bei Dir im Hauptverzeichnis 3eine Datei Namens "ctrackeripbot.log" geben.
Da drin wird alle geschrieben was gemacht wurde.
Gruß
Viktor
__________________
Ein kluger Mann widerspricht keiner Frau. Er wartet, bis sie es selbst tut.
... beim Käfer (WBB2) konnte man noch selber schrauben,
beim neuen Golf (WBB3) muß man fast schon in die Werkstatt wenn man das "Wischwasser" nachfüllen muss!
Da fast keiner mehr hier Postet gibt es ab sofort keinen Support mehr per PN.
|
|
30.10.2021 20:42 |
|
|
Patty Halliwell
Eroberer
Dabei seit: 16.06.2019
Beiträge: 72
0 Filebase-Einträge
Alter: 33 Jahre
Herkunft: CH wBB-Version: wBBLite PHP-Version: 8.2 (sofern möglich) MySQL-Version: 5.7 / MyOOS [Dumper]
Mitglied bewerten
Level: 27 [?]
Erfahrungspunkte: 125.892
Nächster Level: 157.092
Themenstarter
|
|
|
Zitat: Ja mit PHP 8 muss einiges angepasst werden. |
|
|
Freude herrscht in der ganzen Community...
Aber hey, ich hab gerade meine Probleme mit dem Profilfelder-Hack lösen können, und das ganz alleine!
Wehe, der will auf PHP 8 wieder Änderungen.
|
Zitat: Ja der ist mit drin. Die Datei heißt da "ct_ctracker.php".
|
|
|
Wie überaus ungewöhnlich. Bei mir finde ich die Datei nicht. Ich habe jetzt sogar extra alle Versionen des CT Security heruntergeladen, die ich hier gefunden habe, und die einzige Version, bei der ich die Datei gefunden habe, ist die für Woltlab BurningBook Version 3.0.7, ich habe allerdings die Woltlab wbblite 1.x Version 8.0.7 drin.
Ist die Version 3.0.7 überhaupt mit dem wbblite kompatibel?
|
Zitat: Ich habe den CT-Securitie 3.04 gefunden und da wird alles in der Datei "ct_blocker.php" geregelt.
Da wird die Mail versendet wenn die max. Loganzahl überschritten ist.
Im ACP kann man es einstellen "Anzahl der Logs (Standard 100)".
Es muss bei Dir im Hauptverzeichnis 3eine Datei Namens "ctrackeripbot.log" geben.
Da drin wird alle geschrieben was gemacht wurde. |
|
|
Ah ja, da ist bei mir 0 drin gewesen, kein Wunder habe ich so viele Mails bekommen.
Die "ctrackeripbot.log" hat es auch nur bei der BurningBook 3.0.7, also brauch ich wohl gar nicht weiterzusuchen.
|
|
31.10.2021 01:12 |
|
|
Patty Halliwell
Eroberer
Dabei seit: 16.06.2019
Beiträge: 72
0 Filebase-Einträge
Alter: 33 Jahre
Herkunft: CH wBB-Version: wBBLite PHP-Version: 8.2 (sofern möglich) MySQL-Version: 5.7 / MyOOS [Dumper]
Mitglied bewerten
Level: 27 [?]
Erfahrungspunkte: 125.892
Nächster Level: 157.092
Themenstarter
|
|
|
Zitat: oh dann habe ich noch eine sehr alte Version gefunden.
Da heißen die Log-Files noch ganz anders. |
|
|
Das könnte gut sein, ja.
Aber das "ct_ctracker.php" (und die dazugehörigen Dateien) von Woltlab BurningBook Version 3.0.7 kann ich wohl nicht bei mir im wbblite installieren, da es nicht die gleiche Forensoftware ist, oder? Etwas Vergleichbares ist ja leider bei der Woltlab wbblite 1.x Version 8.0.7 nicht dabei.
|
|
31.10.2021 20:24 |
|
|
Patty Halliwell
Eroberer
Dabei seit: 16.06.2019
Beiträge: 72
0 Filebase-Einträge
Alter: 33 Jahre
Herkunft: CH wBB-Version: wBBLite PHP-Version: 8.2 (sofern möglich) MySQL-Version: 5.7 / MyOOS [Dumper]
Mitglied bewerten
Level: 27 [?]
Erfahrungspunkte: 125.892
Nächster Level: 157.092
Themenstarter
|
|
|
Zitat: Original von Viktor
Hallo,
ich muss mir mal die Version 8.0.7 mal ansehen.
Vielleicht ist da die Funktion vom "ct_ctracker.php" enthalten.
Gruß
Viktor
|
|
|
Das wäre super, wenn du das machen könntest!
Ich habe nichts gefunden gehabt, aber du hast natürlich viel erfahrenere Augen als ich.
|
|
31.10.2021 20:49 |
|
|
|
|
|
|