nph-proxy.cgi owns YOU! Kann DC und Hijacking ausloesen

Beitrag von **Michael1967** » 31.08.2006, 23:21

Kann auch der komplette IP-Rang ausgesperrt werden?

202.212.0.0 - 202.215.255.255

????

von **Anzeige von ABAKUS** »

Beitrag von **Kristian** » 01.09.2006, 11:43

Hallo

RewriteCond %{REMOTE_ADDR} ^202\.21[2-5]
RewriteRule ^.* - [F]

oder

Deny from 202.212.0.0/20

Gruss Kristian

Beitrag von **Airport1** » 01.09.2006, 12:04

Danke fuer die IP 202.212.112.2 , das ist uebrigens etwas genauer:

inetnum: 202.212.0.0 - 202.215.255.255
netname: JPNIC-NET-JP
descr: Japan Network Information Center
country: JP

von **Anzeige von ABAKUS** »

Beitrag von **Kristian** » 01.09.2006, 13:40

Hallo

Nicht nur drüben auch nebenan gibt es Helden die sowas veranstalten...
https://www.google.de/search?q=site%3Aw ... uche&hl=de

Angeblich ein "defektes" CMS und ganz ohne Willen oder Wissen des Betreibers, der die Schuld auf G. schiebt

RewriteCond %{REMOTE_ADDR} ^217\.160\.219\.94 [OR]

Gruss Kristian

Beitrag von **Redback** » 01.09.2006, 14:59

scheint so, daß er es wohl gerade herausgenommen hat, heute morgen gings noch

Beitrag von **Kristian** » 01.09.2006, 15:23

Hallo

> scheint so, daß er es wohl gerade herausgenommen hat, heute morgen gings noch

Jo, die mache ich seit gestern abend "rund".
Schade das ich die Mails nicht posten darf, ich habe heute schon Tränen gelacht über die Leute vom Berg.

Gruss Kristian

Beitrag von **Kristian** » 05.09.2006, 16:25

Hallo

Airport1 hat geschrieben:Schaut mal hier:
https://www.google.de/search?q=inurl:np ... art=0&sa=N
Gibts ne Seite die diese Mistviecher auflistet?

Das bedeutet:
1000 Suchergebnisse sichten, unique NPH-Proxys testen und das Ergebnis aufbereiten.
Das klingt aber sehr mühsam...
Besser, wenn man das nicht selber machen muss

Ich habe heute was zum Feiern / Freuen, also gebe ich einen aus:

Code: Alles auswählen

   # NPH-Proxy's 05.09.2006
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^38\.100\.31\.31$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^62\.149\.13\.110$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^64\.14\.72\.60$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^64\.92\.167\.250$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^64\.111\.111\.138$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^64\.111\.120\.4$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^64\.111\.120\.14$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^65\.98\.99\.34$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^65\.99\.213\.198$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^65\.110\.43\.170$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^66\.7\.193\.183$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^66\.90\.101\.213$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^66\.96\.95\.140$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^66\.225\.253\.130$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^66\.226\.72\.67$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^66\.246\.252\.231$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^67\.19\.50\.234$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^67\.185\.171\.250$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^68\.178\.206\.47$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^69\.17\.116\.4$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^69\.50\.208\.4$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^69\.57\.190\.138$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^69\.73\.185\.58$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^69\.93\.173\.100$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^69\.94\.56\.8$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^70\.87\.114\.98$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^70\.98\.54\.12$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^72\.9\.100\.74$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^72\.22\.71\.39$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^72\.22\.71\.65$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^72\.36\.154\.210$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^72\.36\.195\.155$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^72\.232\.69\.220$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^74\.52\.47\.82$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^80\.68\.93\.13$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^80\.237\.180\.242$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^81\.31\.160\.22$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^82\.138\.6\.154$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^85\.234\.139\.177$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^88\.198\.41\.103$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^88\.198\.244\.202$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^137\.189\.4\.1$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^143\.225\.204\.50$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^193\.164\.131\.57$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^193\.196\.41\.39$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^193\.235\.148\.19$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^194\.126\.200\.22$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^195\.69\.95\.56$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^202\.142\.220\.65$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^202\.212\.112\.2$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^205\.134\.245\.34$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^205\.234\.98\.111$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^206\.51\.229\.186$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^207\.36\.196\.10$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^207\.36\.196\.108$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^207\.44\.156\.107$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^207\.210\.70\.162$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^207\.210\.82\.74$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^208\.53\.131\.232$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^208\.101\.10\.50$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^208\.101\.10\.51$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^208\.101\.10\.53$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^208\.102\.107\.126$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^209\.85\.21\.136$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^209\.126\.148\.50$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^210\.245\.87\.51$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^212\.112\.241\.159$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^213\.251\.135\.49$ &#91;OR&#93;
   RewriteCond %&#123;REMOTE_ADDR&#125;        ^216\.40\.225\.203$
   RewriteRule ^.*     		     -		&#91;F&#93;

Gruss Kristian

Beitrag von **Airport1** » 05.09.2006, 17:00

Wieso - Biste etwa schwanger

?

Sind das alles IPs von nph-proxies ??

Beitrag von **Kristian** » 05.09.2006, 17:12

Hallo

Schwanger? Nee, weder ich noch meine Frau. Bei mir wäre es auch sensationell.
Die Ips sind - wie es dransteht - die nph-proxys, die sich bei G. heute finden (API) und die nachweislich noch arbeiten.

Das geht mit:

Suche bei G.
Aufruf des Proxy mit Ziel welches logt
Auswertung des Logfiles
Aufbereiten der Daten

Gruss Kristian

Beitrag von **Airport1** » 05.09.2006, 18:50

ACHTUNG Feind schlaeft nicht!
Die gizliweb Abgrab IP hat sich offensichtlich auf folgende geaendert:

217.20.117.50

und wer ist das ..? Mal wieder der selbe:

inetnum: 217.20.117.0 - 217.20.117.255
netname: NETDIRECT-NET
descr: netdirekt e. K.
country: DE

Mittlerweile melden sich dadurch DC und Hijacking Betroffene bei mir, das ist aber nicht richtig so, meldet Euch lieber hier, um zu zeigen was da abgeht an der Front, hier gibts noch genug Schnarchnasen die aufgeweckt werden moechten

Beitrag von **woody** » 05.09.2006, 22:13

mich hats auch erwischt

eine index.html meiner domains.

allerdings sieht die url bei mir folgendermaßen aus:

www.safe-surf.org/nph-proxy.cgi/010110A ... .domain.at

wie kann man dem typen das handwerk legen? sollt man vielleicht auch auf paar anderen boards publik machen. wird sich wohl der eine oder andere finden der den server "bearbeitet".

greetz woody

/EDIT MALAKA

Beitrag von **Kristian** » 05.09.2006, 22:30

Hallo

woody hat geschrieben: allerdings sieht die url bei mir folgendermaßen aus:

www.safe-surf.org/nph-proxy.cgi/010110A ... .domain.at

Das ist ja kaum zu glauben. Von den 1000 die G. ausgibt haben höchstens 950 diesen Aubau und du bist dabei? Wahnsinn! Sagenhaft! Sensationell!

woody hat geschrieben: wie kann man dem typen das handwerk legen? sollt man vielleicht auch auf paar anderen boards publik machen. wird sich wohl der eine oder andere finden der den server "bearbeitet".

Na das nenne ich mal ne gute Idee.
Sag Bescheid wenn es los geht, nicht dass wir da was verpassen.

SCNR Kristian

Beitrag von **woody** » 05.09.2006, 22:39

anstatt mich zu verarschen, könntest du erklären wie es technisch abläuft.
dass der aufbau der urls gleich ist, ist ja nicht zu üersehen, trotzdem sind sie unterschiedlich.

ist also offensichtlich ein script das jeder benutzen kann der will.
wie kann ich also verhindern daß darüber zugriffe auf meine seiten stattfinden?

greetz woody

Beitrag von **Airport1** » 05.09.2006, 23:32

Lies mal Seite 1 dieses Threads, da hab ich eine Loesung vorgeschlagen und die wurde auch umgesetzt. Im Grunde halt die IP in der Seite ausgeben lassen und dann die "Gefangenen-URL" aufrufen und dort dann die zu sperrende IP ablesen.

Leider schicken diese Viecher i.d.R. keinen Referer mit, es bleibt einem also offensichtlich nur die IPs bzw. IPRanges zu erforschen und zu sperren.

Kristian hat da ja schon ne ganze Menge gepostet - die uebernehm ich natuerlich dankend gerne nach drueben in unsere Forschungsarbeiten

Beitrag von **Kristian** » 07.09.2006, 18:40

Hallo woody

woody hat geschrieben:anstatt mich zu verarschen, könntest du erklären wie es technisch abläuft.
dass der aufbau der urls gleich ist, ist ja nicht zu üersehen, trotzdem sind sie unterschiedlich.

ist also offensichtlich ein script das jeder benutzen kann der will.
wie kann ich also verhindern daß darüber zugriffe auf meine seiten stattfinden?

Ich kann will und werde hier nicht erklären, wie es technisch abläuft. Dies wäre in etwa so, als würde ich eine Anleitung zum Bombenbauen posten.

Wenn du mit der Lösung von Airport wegen des PHP nicht glücklich bist hilft nur der Weg der .htaccess dazu findet sich hier in der Suche einiges.
Vier Beiträge über deinem stehen die aktuellen Einträge (05.09.2006) für deine .htaccess im Zusammenhang nph-proxy.

Gruss Kristian