nph-proxy.cgi owns YOU! Kann DC und Hijacking ausloesen

[alph]

Hallo

Für gizli auch
208.101.5.140
208.101.5.141
208.101.5.142
blocken. (Logfile von gestern)

hey Kristian, danke für die neuen IPs! Habe sie auch gerade ausgesperrt

gruß
alph

[MCQ]

Hab jetzt nicht die ganzen 9 Seiten durchgelesen (nur die ersten 3), aber ich hab zu diesem thema folgende Idee:

Wieso bindet ihr nicht ein JavaScript in alle eure Seiten ein, welches die URL auf die Zeichenkette "nph-proxy.cgi" durchsucht und bei positiver Prüfung auf die Orginalseite weiterleitet? So könnten diese Proxies vielleicht sogar nützlich sein
Am besten baut Ihr noch einen Link auf die eigene Seite mit ein, so werden die geklauten Contents gleich noch als Backlink genutzt (sofern der link nicht entfernt wird)

Korrigiert mich bitte wenn ich mich irre, hab (zum Glück) noch keine Erfahrungen mit diesen Proxies sammeln dürfen.

Edit:
hab bei google auch die datei nph-proxy.pl gefunden, daer sollte man die suche vielleicht besser auf "/nph-proxy." beschränken

[Jörg]

Am besten baut Ihr noch einen Link auf die eigene Seite mit ein, so werden die geklauten Contents gleich noch als Backlink genutzt (sofern der link nicht entfernt wird)

Die Links werden nicht entfernt, aber die darin enthaltenen URLs in die entsprechenden Proxy-URLs umgewandelt

[SloMo]

> Wieso bindet ihr nicht ein JavaScript in alle eure Seiten ein, welches die URL auf die Zeichenkette "nph-proxy.cgi" durchsucht

Normale Skripte werden per default entfernt. Das ist ja das Doofe: der Proxy entscheidet, wie die Seiten dargestellt werden. Er lässt eigentlich nur Design und Content übrig.

Ich glaube es gibt einen Bug, dank dessen man JavaScript ausführen kann. Aber dazu muss man den Bug schon kennen. Wurde ja vielleicht schon gepostet, frohes Suchen im Thread!

[Kristian]

Hallo

@SloMo
Ja, Nein, Jein, Falsch.

Zum "Bug":
Man gibt im HTTP-HEADER als Content-Type 'text/xml' an.
Solcher Content wird nicht verändert.
Laut RFC hat eine valide XHTML-Datei ein gültiges XML-Format, passt also zum Header; eine so formatierte Datei kann man nach Belieben gestalten.

Gruss
Kristian

[SloMo]

Sag ich doch, es gibt da einen Bug. Danke für die Info, Kristian! Man kann dem Gizliweb also nach belieben Links unterjubeln, es also für den Linkaufbau nutzen... nur schade, dass Googlebots inzwischen bei seiner Startseite Halt machen.

[alph]

hallo

falls es jemanden interessiert - habe noch einen gefunden, von dem auch wieder meine Seite betroffen ist:

https://securebar.secure-tunnel.com/cgi ... domain.com

die Abgrabber-IP kenne ich zwar nicht, aber wenn man folgendermaßen aussperrt, dann gehts auch (momentan):

Deny from 38.119.107.0/24

IP von https://securebar.secure-tunnel.com ist 38.119.107.111

gruß
alph

[KHD]

Die komplette Gizliweb IP Ranges

https://openrbl.org/query?208.101.5.140

https://www.completewhois.org/cgi-bin/w ... .101.5.140
Unten wird es interessant.

https://openrbl.org/query?75.126.95.162

https://www.completewhois.org/cgi-bin/w ... 126.95.162
Unten wird es interessant.

[hard_pollux]

@Kristian @Airport1,

Danke für euer hilfloses Engagement, was wohl nur als billige Selbstdarstellung zu werten ist, sowie eure Listen, die gewisse hier verkehrende "Halbkriminelle", mit wachsender Begeisterung nutzen.
Kostet mich - geschätzt - drei Monate Arbeit, ich bin schweinesauer auf euch.

Ich habe heute eine Liste mit ca. 6.000 verschiedenen NPHs für mich erstellt, und dies nur im Zusammenhang mit einer einzigen Domain.
Dies zeigt, wie sinnlos es ist, diebezgl. mit Listen gegen NPHs zu operieren. Ich schätze mal, daß es min. 100.000 solcher Teile gibt, ohne die, die andere Bezeichner haben.

Und seid versichert, daß das 950er-Problem dieser Quelle zuzuordnen ist!

Bei Dir, Airport, war ich heute via NPH, ohne, daß da irgendeine Trap zugeschlagen hätte - viel Spaß beim aufstocken der Liste auf - geschätzt - 500.000 Einträge für eine akzeptable Sicherheit. Für die Eigensicherheit bedarf es da ganz anderer Stukturen!
Beim abarbeiten je Anfrage, wird Dein Server abschmelzen.

Leider muß ich mich bei euch beiden für Angriffe hier entschuldigen, die auf meine irrige Annahme der Unschädlichkeit von NPHs beruhte.

GG

[Hobby-SEO]

Wie könnte eine Lösung für dieses Problem aussehen? Und wie sicher bist Du etwa in Bezug auf den Zusammenhang mit dem 950er-Problem?

[hard_pollux]

edit

[Hobby-SEO]

Ich finde es auch widerlich, was da zum Teil abgeht. Schätze mal, dass man als Hobby-Webmaster wie ich letzten Endes sowieso nur wenig Chancen hätte. Ich bin nur heilfroh, dass ich von meinen Seiten nicht leben muss.

Wünsche Dir alles Gute im Kampf gegen die [zensiert]
LG, Wolfgang

[Airport1]

hi hardpollux,

kannst du das ganze genauer erlaeutern? wer sind insbes. die die hier mitlesen und dann ihre nph-proxys "verlagern"? gerne auch per pm. oder email.

wenn das stimmt, dann werde ich hier keine listen mehr veroeffentlichen!

bei dem ganzen muessen wir uns aber auch in einem im klaren sein: klar kann jeder der heutzutage 256^4 (bald ^6) ips einen nph proxy cgi beherbergen, und wir schwerlich alle aussperren. das waere auch getraeume. von diesem rundum schutz kann man zwar traeumen, aber eben auch nur das, und versprochen habe ich den nie ebenso wie es keinen 100% schutz vor email spam gibt..

dennoch wuerde und werden wir weiterhin alle nph proxys sperren, die irgendwann bekannt werden (das definiere ich jetzt nicht genauer). die sind ja offensichtlich stark genug und "verdienen" damit die sperrung.

ich habe ebenfalls eine gute idee, wie man zukuenftig diese plage "on-the-fly" in den griff bekommen koennte, ohne jegliches vorwissen bezuegl. ip usw., die frage ist nur die machbarkeit und die performance. die idee wird aber hier nicht ausgebreitet.

dass man im abakus forum vor nichts warnen kann, ohne dass gleich zig miese trittbrettfahrer OHNE GEWISSEN entstehen, ist doch nix neues. das war genauso beim gespiegelten pr. aber klappe halten ist ja auch nicht die bessere loesung, oder

[Kristian]

Hallo

Ich komme heute wohl gar nicht mehr zum Arbeiten, mir tut der Bauch schon weh vor Lachen, Kinders macht weiter so. Ich liebe es.

> Danke für euer hilfloses Engagement, was wohl nur als billige Selbstdarstellung zu werten ist,
Jau, sorry da hast du mich erwischt. Ich habe halt nichts anständiges gelernt und muss mich mit so nem Sch... profilieren.

> sowie eure Listen, die gewisse hier verkehrende "Halbkriminelle", mit wachsender Begeisterung nutzen.

Stimmt, aber die nutzen die Liste IMHO nur als Kontent für Ihre eigenen Seiten.
Wenn wir nebst den IP's auch die URL's posten würden, am Besten so, dass man seine Lieben nur noch anhängen muss, das wäre böse und dann könnte ich dich verstehen.
Du magst mir aber gerne genau erläutern, warum du stinksauer bist.

Gruss
Kristian

[Airport1]

Ich hatte mal ne Liste mit URLs gepostet, aber schon so zensiert, dass es nicht moeglich war einfach seine Konkurrenten dran zu haengen.

Insbes. handelte es sich um eine Liste, bei der man die URLs nicht im Klartext dran haengen konnte, sondern diese wohlgemerkt PER HASH-WERT aus der dortigen DB gezogen wurden. Der Aufrufparameter sah ungefaehr so aus:

url?q=fa42dd178cab8198

Das wurde aber durch die Zensur wohl nicht offensichtlich. Beispiel:

url?q=***zensiert***

Vielleicht ist dadurch der Eindruck entstanden man koennte einfach eine URL dranhaengen, das ist aber nicht (zumindest nicht bei diesen) der Fall.