Casper Bot

"Sikerült elcsípni a DDOS támadást okozó Casper perl scriptjét...

A lényege a scriptnek, hogy egy (talán olasz) autókereskedős joomla-s oldalon kialakított a bot egy e107_images könytárat, amelyben tárolódnak a script filejai, amelyet tovább másol (valamilyen módon , de ügyes technikával) a megfertőzött server temp -jébe , majd onnan megfuttatja a perl-scriptet PHP-n keresztül...

Igazándiból minket nem is a kód és a futtatás aggaszt, mert azt meg lehet fogni jó beállításokkal és jogokkal, hanem az a trükk, ahogy egyáltalán felkerül a server temp-jébe..."

Hawk

A script okulásként egy tömörített fájlban letölthető és megtekinthető a fenti linken! Jelszó: hawk

Forrás: e107.org

Úgy döntöttem megírom ezt a hozzászólást, mert sokan kérnek segítséget a fórumban és vádolják az e107 rendszerét a támadásokkal kapcsolatban. A fejlesztő csapat megpróbálta lecsökkenteni az ezzel foglalkozó témák számát (látsd: septor által létrehozott Flood Attack információ), mégis sokan nyitnak új témát, melyek csak a pánikot növelik.
Sokszor olvasni dühös hozzászólást, hogy az e107 nem tudja kezelni ezt a problémát. Ne hibáztasd az e107 rendszert, azért hogy a szerverek nem tudják kezelni a bot támadásokat. Ne keress e107/php megoldást a probléma elleni harcra.
Sok időt töltöttem azzal, hogy egy részletes információt írjak a blogomban a szerver eszközökről, melyek megállítják a támadó bot-okat mielőtt azok elérnék a PHP motort. Az is segíthet, ha a rootkit már telepítve van a megtámadott szerveren. Az információkat hasznosítania kell a dedikált szerver tulajdonosának, de meg lehet mutatni a megosztott tárhelyszolgáltatónak is, ha szükséges. Az információk, melyeket átadok, a saját tapasztalatomon alapul, számos támadást sikerült megoldani és a visszaállítani a szervereket a normál működési állapotba (nincs CPU túlterhelés, nagyon sok FW blokkolva IP alapján).
Azon szerver tulajdonosok számára, akik nem ismerik megfelelően a szerver üzemeltetést, küldtem egy linket egy társaság nevével, mely alacsony költségen megoldja ezen biztonsági beállításokat. Ha nem vagy elég tapasztalt, akkor mindenképpen egy szakemberhez kell fordulnod. Meggyőződésem, hogy ez az egyetlen módja, hogy megakadályozzuk az újabb támadásokat.

A teljes cikk: Biztonságos szerver konfiguráció - megállítani ezt az őrületet

Sok szerencsét!
SecretR

Ismert támadási célok: contact.php; kontakt.php; help_us.php; top.php; search.php
Mit kell tenned:
- mindig a legújabb verziót használd, jelen esetben a 0.7.22
- biztonságosabb e107 telepítés (fórum téma itt ez a wiki oldal több információt adhat
- nézd meg a ZB Block SpambotSecurity eszközt, ez is enyhíthati a támadásokat
- módosítsd a .htaccess file-t (Fórum téma itt)
- ellenőrizd a web szervert, nem kerültek-e rá illegális tartalmak a tudtod nélkül
- tájékoztatni a kiszolgálót és kérni arra, hogy tegyen meg minden óvintézkedést
- ha már megtámadták az oldaladat, akkor haladéktalanul változtasd meg az FTP jelszót, ellenőrizd le a számítógépedet egy anti-malware/virus ellenőrző programmal
- ellenőrizd le az oldaladat a Unmask Parasites programmal, hogy az oldalad fertőzött-e

További kapcsolódó témák:
Contact Form - Attack - Fixes

When is this going to end?

Getting attacked

UDP Attack

DDoS resistant web hosting?

new attacks again??

Good read on Botnets

ZB Block and e107

Mint bizonyára tapasztaltátok, a napokban nem volt elérhető az e107hungary.org. Az oka a DDOS támadások voltak. Rengeteg lekérdezés érkezett az oldalra, mely megbénította a szervert (25x nagyobb terhelés, mint a normál). A wsb.hu üzemeltetőjével együtt úgy néz ki sikerült elhárítani ezt. Most megy az oldal és folyamatosan ellenőrizzük. Több megoldást is találtunk az e107.org fórum oldalán és kipróbáltuk őket. A számunkra megfelelő a következő lett:

Hozz létre a root könyvtárban egy .htaccess file-t.
A tartalma a következő legyen:

IndexIgnore *

<IfModule mod_rewrite.c>RewriteEngine On
  
RewriteCond %{HTTP_USER_AGENT} ^Mozilla/4\.76\ \[ru\]\ \(X11;\ U;\ SunOS\ 5\.7\ sun4u\) [OR]
RewriteCond %{HTTP_USER_AGENT} ^Casper\ Bot\ Search
RewriteRule ^(.*)$ <a href="http://fuck.off" >- link - </a>
 
</IfModule>SetEnvIfNoCase user-agent "^Mozilla/4.76 \[ru\] \(X11; U; SunOS 5.7 sun4u\)" bad_bot=1
SetEnvIfNoCase user-agent "^Casper\ Bot\ Search" bad_bot=1
<FilesMatch "(.*)">Order Allow,Deny 
Allow from all
Deny from env=bad_bot
</FilesMatch> 

Ezzel úgy néz ki, sikerül elhárítani a problémát.
Akinek a wsb.hu-n van oldala, ellenőrizze le, hogy létezik-e ez a file, mert az üzemeltetővel megpróbáltuk a nála lévő e107 oldalakba beilleszteni (amelyiket gyorsan megtaláltuk).

Remélem mindenkinél működni fog ez a file és nem lesznek problémái az oldallal.
Ha valakinek nem sikerülne megoldani a file létrehozását és beillesztését az vegye fel a kapcsolatot a szerver üzemeltetőjével.

Szerk. JoniPeti:
Az általunk beillesztett kód módosul a code bb kód közé zárva, ezért egy txt fájlba beillesztve itt megnézhetitek, ill. kimásolhatjátok a kódot. Elnézést kérünk a problémáért!