nph-proxy.cgi owns YOU! Kann DC und Hijacking ausloesen

Beitrag von **Kristian** » 22.03.2007, 15:29

Hallo

Es wird der UA durchgereicht, der den Proxy aufruft.
Wenn es ein Firefox ist wird der die XML-Daten die man mitausgibt und die vom Proxy nicht gefiltert werden, interpretieren, anzeigen und daraufhin den JS einbinden.
Der Referer ist beim JS die URL des Proxy.
Wenn man jetzt den Referer mit dem erwarteten abgleicht weiss man das etwas faul ist und hat auch gleich die URL des bis dahin unbekannten Proxys.

Jetzt klar?

Gruss
Kristian

von **Anzeige von ABAKUS** »

Beitrag von **SloMo** » 22.03.2007, 15:50

LOL, Dein Verfahren wird nicht besser, je häufiger Du es wiederkaust. Nee, also es ist ja nicht schlecht. Aber wenn Du den richtigen UA schon kennst, wozu dann der Akt? Denk mal drüber nach, vielleicht kommste drauf.

Beitrag von **Kristian** » 22.03.2007, 20:41

Hallo

> Denk mal drüber nach, vielleicht kommste drauf.

Sorry nein ich bin wohl zdzd (zu dumm zu das).
Wie ich über den UA zur IP komme - die ich sperren will - ist mir absolut nicht klar.
Gib mir mal nen kleinen Tipp.

Gruss
Kristian

von **Anzeige von ABAKUS** »

Content Erstellung von ABAKUS Internet Marketing
Ihre Vorteile:

einzigartige Texte
suchmaschinenoptimierte Inhalte
eine sinnvolle Content-Strategie
Beratung und Umsetzung

Jetzt anfragen: 0511 / 300325-0

Beitrag von **SloMo** » 23.03.2007, 06:51

Die IP liegt ja auch schon vor, die macht ja den Zugriff.

PS: Es gibt eine Reihe von Möglichkeiten, anhand UA und IP (und des Zeitverhaltens) festzustellen, ob ein Zugriff bösartig ist. Ich baue mir gerade eine Bot-Trap auf dieser Basis, die völlig automatisch arbeitet. Ein Hand voll hardcodierter Positiv- und Negativlisten braucht die eigentlich nur für die Standardfälle (z.B. bekannte Archiver-UAs), und als Indikatoren zur automatischen Erkennung der Schädlinge. Die Entwicklung geht gut voran. Wenn es fertig ist, mache ich es vielleicht frei verfügbar.

Beitrag von **Kristian** » 23.03.2007, 09:23

Hallo

> Die IP liegt ja auch schon vor, die macht ja den Zugriff.

Wenn ich gewusst hätte das es so einfach ist...

> PS:......

Viel Erfolg!

Gruss
Kristian

Beitrag von **SloMo** » 23.03.2007, 09:47

> Wenn ich gewusst hätte das es so einfach ist...

Da klingt ja wieder der gewohnte Hohn durch. Aber Du hast Recht, ja, das ist wirklich sehr einfach. Es geht ja nie darum, die IP herauszufinden. Du kennst die Protokolle. Es geht darum, den Angreifer zu erkennen. Oder (etwas allgemeiner) es geht darum, die richtigen Fragen zu stellen.

Beitrag von **Kristian** » 23.03.2007, 09:57

Hallo

Ironie nicht Hohn.

> Es geht darum, den Angreifer zu erkennen

Hier stimme ich zu, ansonsten reden wir aneinander vorbei.
Lassen wir es gut sein.

Gruss
Kristian

Beitrag von **Fox Mulder** » 28.06.2007, 12:53

Hi,

habe mir den Thread nicht komplett durchgelesen, möglich das dies schon gesagt wurde.

Lösung gegen nph-Proxys und dadurch verursachen DC.

1) In Abhängigkeit der Proxy IP beim Aufruf der Seite einen 410-Gone senden
(Notfall-IP-Cloaking, Google verzeih mir)

2) Die in Google eingetragene Proxy URL über Webmaster Tools löschen.

Leider muss mann dies pro Proxy IP und URL wiederholen.

Gruss

Beitrag von **Unifex** » 28.06.2007, 18:57

Fox Mulder hat geschrieben: 2) Die in Google eingetragene Proxy URL über Webmaster Tools löschen.

Wie?