CP hikjes

    Nee hoor, ik heb een script geschreven dat bepaalde aanvalsvectoren bant.
    Verder copy paste ik gewoon de access logs in excel, filter de aanval er binnen de 10 seconden uit en ban zo 100'en ip's ineens.


    Momenteel al honderden ip's verbannen ^^



    Iptables kan inderdaad wel maargoed.. Als je scripting zuigt dan moet je dat fixen en niet naar lompe oplossingen zoeken aangezien ip adressen vaak dynamisch zijn waardoor je in de toekomst misschien wel ontschuldigen verbant.

    Best wel triest, de eigenaar van deze site is dezelfde eigenaar van de hosting.
    Ik hoor altijd veel over dat je beveiligings expert bent, toch gebeurt er zoiets.


    Valt het niet op dat al die IP's dezelfde browser teruggeven ?
    Daarnaast, proxies niet kunnen verbannen is een kut excuus, je kan zo erachterkomen of iemand een proxy gebruikt.
    Voorbeeld: http://www.teachmejoomla.net/c…p-detection-with-php.html


    Dus houd alsjeblieft daad bij woord en ga voortaan niet meer opscheppen over wat je niet kan.
    En waarom is Lars trouwens verbannen, lijkt me sterk dat hij hier iets mee te maken heeft, zelfs als dat wel zo was, zou dat eerder de zwakte van de server aanduiden.

    Statement van Lars: een vriend heeft mijn computer gebruikt terwijl ik even weg was om CP aan te vallen...
    Niet professioneel.


    Ik zeg niet dat ik expert ben, ik werkte als auditor om beveiliging te testen, dat is iets heel anders.
    En de link naar jou script is gewoon iets om een ip met zekerheid te achterhalen. Iets wat in dit geval niet van toepassing was, want het waren allemaal anonieme proxies, een grote lijst zelfs.


    Verder is het onmogelijk om alle proxies zomaar opeens te bannen.

    ik denk niet dat lars hier iets mee temaken zou kunnen hebben
    ik ken hem verder niet maar goed


    als ik alles zo lees denk ik persoonlijk dat het een foutje is van Goolge of met Google en heeft lars er niks mee tedoen

    Is het niet mogelijk dat die linkpartner (http://www.drugscompany.net/) via een wel goed bekeken forum leden wil zoeken voor een goeie klikrate vanaf hier?


    [offtopic]Niet dat ik die beschuldig maar is wel goed mogelijk.[/offtopic]


    En dan nog dit stukje:

    PHP
    [Mon Oct 18 19:58:22 2010] [error] [client 77.251.233.xxx] File does not exist: /home/criminalsp/domains/criminalspoint.nl/public_html/alert('Jo
[Mon Oct 18 19:58:28 2010] [error] [client 77.251.233.xxx] File does not exist: /home/criminalsp/domains/criminalspoint.nl/public_html/alert("Jo
[Mon Oct 18 19:58:43 2010] [error] [client 77.251.233.xxx] File does not exist: /home/criminalsp/domains/criminalspoint.nl/public_html/koen is een beetje ***.html


    Ze kennen je dus persoonlijk en is nederlands (Gezien het koen is een ***)


    Maar snap niet echt wat lars ze account hiermee te maken heeft.
    Of was die nog ingelogd toen de aanval werd gestart (Omdat zijn pc vermoedelijk is gebruikt)

    Het is gebeurd met een account die was ingelogd als Lars, zo staat het in onze admin logs.
    In de server access logs vind ik ook verwijzingen naar zijn ip.


    Google is niet degene die het verkeer stuurde, de header (referrer) was gewoon vervalst.
    Verder waren enkele van de ip's proxy servers en ga ik er dus vanuit dat het allemaal proxy servers waren (ook al kon ik er veel van niet terugvinden).
    Vermoedelijk iemand die een grote privé proxy lijst heeft gekocht ergens.


    Nog even benadrukken dat het voor ons onmogelijk is om te weten of iemand voor 100% betrouwbaar is of niet, we hebben onze sollicitatie vragen en een proefweek, waarbij we de logs van deze personen volgen, maar het is niet alsof we ze live en persoonlijk gaan bezoeken...
    Is ook niet haalbaar voor een internet forum.

    @Koen
    Als je kijkt naar http://www.teachmejoomla.net/c…p-detection-with-php.html dan zie je allemaal ip ranges staan die intern worden gebruikt, wat heeft dit te maken met anonieme proxies.


    Jij zei in het begin ook dat je het verdacht vond dat er als referer ingevuld stond (ik citeer):

    Citaat

    Het valt mij op dat alle verzoeken (buiten de aanvallen) kwamen vanuit Google:
    http://www.google.com/search?Language=NL


    Hierbij had je ook niet nagedacht dat dit gewoon klinkklare onzin is aangezien de gebruiker dit kan aanpassen. Mooi dat je mij nu dan opeens na praat ;)

    Een goede proxy lekt geen informatie en in dat geval ben je niets met je script dat kijkt naar ip ranges die intern worden gebruikt ^o)


    Niels: hoe kun jij nu weten of ik over iets nadenk of niet?
    Natuurlijk was ik er over aan het nadenken, anders meldde ik het niet in het topic. Als het een doodgewone log was en niet zo verdacht was, had ik er gewoon niets van gezegd op deze site. Wat mij betreft was het vrij snel duidelijk dat het Google Bom scenario niet kon.
    En vanzodra ik een ip vond dat een proxy server was, heb ik dit hier ook meteen bevestigd.
    Je uitspraak maakt insinuaties over hoe ik denk - en dat kun jij niet weten tenzij ik het je expliciet vertel...

    Koen even eerlijk, je probeerd je zelf altijd rechtop te praten, maar ik heb nog nooit iets van je gezien dat mij een keer laat denken, "het is waar wat ie zegt".
    Dat ligt bij Niels heel anders, kan je ook zien omdat hij nooit onzin neerzet en altijd met complete antwoorden komt of dat nou simpele vragen zijn of iemand die een probleem heeft met een script.
    Daarnaast is deftig woordengebruik meer een poging om slim te lijken, dan het te zijn.

    Dit is trouwens ook best grappig
    *snipsnapsnop*


    Kun je gewoon heen als je aan sommige voorwaarden voldoet die ik hier niet ga opsommen. Uitdaging aan jullie om uit te zoeken waar de fout zit, aangezien dit best wel een domme fout is eigenlijk. Leer je er ook nog eens wat van.


    Yoichi, even ergens anders negatief doen. Dankjewel.

Participate now!

Heb je nog geen account? Registreer je nu en word deel van onze community!

Maak een account aan Login