nph-proxy.cgi owns YOU! Kann DC und Hijacking ausloesen

[mikkido]

Hallo Kristian,

ich will ja auch nicht die Domain erreichen sondern nur prüfen ob auf der IP-Adresse ein solches Script liegt, damit ich die IP-Adresse gleich sperren kann.

Wie ich gerade festgestellt habe sind bei Abrufen über die nph-Proxys fast immer folgende Variablen nicht belegt:

HTTP_ACCEPT_********
HTTP_ACCEPT_********

Zumindest der normale Surfer sollte aber diese Variablen belegen

Liebe Gruesse
Michael

[Kristian]

Hallo

Auf der IP-Adresse meldet sich wenn überhaupt der Default-Server, der erste Named-Virtual-Host oder Confixx und Co.
Da auf einer IP schonmal 250 Domains liegen und du nicht weisst welche das sind, ist der Ansatz ungut.

Gruss
Kristian

[mikkido]

Hallo Kristian,

was hältst Du denn von der Abprüfung dieser Variablen:

HTTP_ACCEPT_********
HTTP_ACCEPT_********

?

Hatte gerade meinen Beitrag entsprechend aktualisiert, jedoch warst Du mit dem Antworten schneller

Michael

[Kristian]

Hallo

Dabei kommt zumindest rum, dass ich gerade feststelle, dass diese Biester kein gz können.
Somit geziemt es sich jetzt also für die Gattung Mensch auch zu wissen wie man die Dinger zuverlässig aussperrt.

Gruss
Kristian

[mikkido]

Hallo Kristian,

bei meinen Tests waren diese beiden Variablen leer sofern über einen dieser Proxies gegangen wurde. Wenn also ein User-Agent "Mozilla" daherkommt mit den leeren Variablen müsste man die IP eigentlich kicken - Das trifft auch auf Besucher ohne User-Agent zu

Allerdings: Nur die Variablen alleine abfragen nützt nichts - der User-Agent sollte auch abgefragt werden

Ich werde diese Abprüfung mal ein oder zwei Tage laufen lassen und die entsprechenden IP-Adressen jeweils temporär für wenige Minuten sperren. Mal schauen was passiert Vielleicht kann man damit auch ein paar Grabber zusätzlich aussperren

Liebe Gruesse
Michael

[champ65]

Hallo Mikkido,

also das kannste alles vergessen. Ich habe mit ein paar Codern zusammen ein System entwickelt, dass sehr komplex ist und nun perfekt funktioniert. Da oft IPs und auch die nph-scripte laufen wechseln und weiter ausgebaut werden, kannst Du die Hinweise von obigen Möchtegern-Programmieren in die Tonne treten. Zudem sind jetzt ganz neue und besser Varianten von den Scripten auf dem Markt, wovon ich mal gleich 2 getestet habe. Einfache Sahnestücke. Damit kannst Du alles aushebeln und man kann diese noch nicht mal ausperren, es sei denn man hat die IP. Aber von denen sind meines Wissens an die 100 im WWW im Umlauf, mit denen man auf jede Domain zugreifen kann, egal ob die einen Schutz haben oder nicht. Das heisst, das die ganz neue agressive Sahnestücke in der Lage sind, Seiten aus Google zu kicken. Mit den nph-scripten geht das nicht, aber die neue mutierten Versionen haben wieder was ganz neues und mächtiges. Du glaubst Du siehst Deine Seite, aber es ist nicht Deine Seite....
Und ich habe mich jetzt schon gegen diese Mutationen geimpft bzw. in der Betaphase teste ich das jetzt noch an einigen ausgewählten Seiten.
Ich kann Dir nur sagen, das mit NPH ist vorbei, wobei da Google auch schon stark nachgeholfen hat. Wenn Du mal in so einem NPH stecken solltest, brauchst Du Dir keine Sorgen zu machen. Das bereinigt sich nach ein paar Wochen in der Regel von alleine, dank Google. Es gibt aber eine neue und aggressivere Variante, darauf muss man sich bald konzentrieren. Hier in Deutschland kennt die kaum jemand. Die erste Version hatte ich in Japan gesichtet. Bald kommen Sie zu uns... na dann Mahlzeit.... Warum ich jetzt nicht genauere Infos rausgebe? Ganz einfach: Es gibt hier einige böse Buben, die würden das Script missbrauchen. Man kann es in einigen Ländern kostenlos runterladen. Naja, vieleicht blockt Google diese Pest auch. Mal sehen...

Gruss

[SloMo]

> Warum ich jetzt nicht genauere Infos rausgebe? Ganz einfach: Es gibt hier einige böse Buben, die würden das Script missbrauchen.

Das heißt also, dass Du hier einen Roman über etwas schreibst, das es nicht gibt. Ganz einfach.

[Airport1]

Habe auch gestern eine Loesung entwickelt, die ist von der Idee her obersimpel, aber sie funzt. Geht einen ganz anderen Ansatz. Vielleicht kann ich ja mit Dir, champ65, "tauschen" ?

[Nullpointer]

ich benutze dagegen einfach das hidden feature in den webmaster tools. ist eigentlich immer am zuverlässigsten.

[hard_pollux]

edit

[SloMo]

Ein Chinese besucht in regelmäßen Abständen eines meiner Projekte (2 - 3 Tage). Da ich ihn nun gesperrt habe, dachte ich mir, ich schaue mir mal an, was ihn so brennend interessiert.
Zu meinem Erstaunen besucht er eine Seite, die es garnicht gibt, und produziert einen Statistikeintrag, obwohl das Statistiktool nur in existierenden Seiten eingebunden ist. Fehlerseiten sind vom Provider.

Wenn das wirklich so ist, wie Du schreibst, dann manipuliert da jemand Deine Statistiken direkt. Zum Beispiel, indem er Dein Statistikskript direkt anspricht. Wenn es einen Referer dazu gibt, würde ich auf Referer-Spam tippen. Oder Dein Statistikskript ist fehlerhaft. Oder (falls Du einen Statistikservice benutzt) ist der vielleicht fehlerhaft oder wird angegriffen.

Solange der konkrete Fall nicht lückenfrei dokumentiert ist, kann man nur rätselraten.

Mir fällt rund um dieses Thema übrigens immer wieder auf, dass einige Leute sich mit vagen Aussagen sehr wichtig machen. Etwas mehr Substanz wäre angebracht.

[hard_pollux]

edit

[SloMo]

Wenn es keine Seite "Post" gibt, wie kommt Dein Skript dann darauf? Das müsste sich relativ einfach nachvollziehen lassen, wenn der Code vorliegt.

[hard_pollux]

edit

[Kristian]

Hallo

Könnte Post von der Request-Methode (GET / POST / HEAD) stammen?
Machst du in PHP? PHP kann von Haus aus kombinierte GET & POST - Requests verabeiten.

Gruss
Kristian