nph-proxy.cgi owns YOU! Kann DC und Hijacking ausloesen

Beitrag von **Kristian** » 14.11.2006, 18:38

Hallo

> ist die Liste noch aktuell

Die Liste entsteht, wenn man bei G**gle nach allinurl:nph-proxy sucht, die 1000 Ergebnisse, die angeboten werden kontrolliert und die gefundenen aktiven Proxis listet.
Wenn man das über einen längeren Zeitraum macht kann man auch alte nph-proxys die bei G. schon raus sind auf Funktion testen.
Die aktuelle Liste - alles was ich bei G. jemals fand und was noch am Start ist - habe ich vorgestern unter https://www.abakus-internet-marketing.d ... 33448.html gepostet, gar nicht so weit weg...
Wichtig! gizli läuft bei uns auf ner anderen Schiene und ist dort nicht vertreten, muss also von Hand nachgebessert werden (fast) wie oben zu sehen, das RewriteCond %{REMOTE_ADDR} ^217\.20\.117\.0$ macht IMHO keinen Sinn und das letzte [OR] ist klaro unsinnig, da keine Condition mehr folgt.

Gruss Kristian

von **Anzeige von ABAKUS** »

Beitrag von **Golfbobbie** » 26.11.2006, 22:10

hallo, überraschung Gizliweb Partnerseite ist unser bekannte Swoogle.org
habe alle wer sind getroffen ein link bei swoogle?

Beitrag von **Ventianer** » 11.12.2006, 22:17

Airport1 hat geschrieben:Dazu musst Du aber die IP die das abgraebt herausfinden, das ist oefters nicht unbedingt die IP des WebServers, leider.

Am besten Du baust unten auf Deine Seite ein kleines PHP ein, was in einer schwachen Farbe Dir anzeigt:

IP
nslookup
UserAgent
Referer

Sobald der nph-proxy das frisst, kannst Du dann dort darueber die IP auslesen.

PS: Schoen dass wenigstens einer aufgewacht ist. Der Rest pennt noch, bis es zu spaet ist

Hallöchen Leidensgenossen,

ich bin kein PHP-Freak. Kann mir jemand den Code posten, den ich in eine PHP-Seite einfügen muss um die IP zum sperren dieser nph-proxy´s rauszufinden?

Bei mir sind`s trotz htaccess-Sperrung aller in diesem Thread genannten IP`s z.B. noch folgende "Schmarotzer":
https://www.surfindark.com/index.cgi/00 ... -domain.de
www.proxy7.com/nph-proxy4.cgi/000000A/h ... -domain.de
www.browseatcollege.com/nph-browser.cgi ... -domain.de
www.totalupload.com/surf/index.php?qq=a ... ZGUuZGU%3D
https://www.freeproxyserver.net/index.p ... ZGUuZGU%3D
www.ninjaproxy.com/cgiproxy/nph-proxy.p ... -domain.de
(Meine Urls und Zahlenkombinationen geändert)

Das heißt auch die Suche nach "nph-proxy" bringt nicht mehr allzuviel. Man siehe o.g. Urls!

Wie gesagt, ich bräuchte lediglich den Code für die Server-IP, den ich auf meiner Seite einfüge. Danke Euch!

von **Anzeige von ABAKUS** »

Content Erstellung von ABAKUS Internet Marketing
Ihre Vorteile:

einzigartige Texte
suchmaschinenoptimierte Inhalte
eine sinnvolle Content-Strategie
Beratung und Umsetzung

Jetzt anfragen: 0511 / 300325-0

Beitrag von **Ventianer** » 19.12.2006, 07:38

Das Thema nph-proxies scheint hier nicht viele zu interessieren. Schade eigentlich...

Beitrag von **SloMo** » 19.12.2006, 08:03

Code: Alles auswählen

<?php
$ip_array = array&#40;
 '217.20.117.',
 '89.149.194.'
&#41;;

foreach&#40; $ip_array as $ip &#41;&#123;
 if&#40; strpos&#40;$_SERVER&#91;'REMOTE_ADDR'&#93;, $ip&#41;===0 &#41;&#123;
  die&#40;'gesperrt'&#41;;
 &#125;
&#125;
?>

Damit lassen sich ganze IP-Bereiche abdecken. Die vorgegebenen IPs helfen gegen Gizlishit.

Beitrag von **Anonymous** » 19.12.2006, 09:19

Danke SloMo und alle, die hier interessante Beiträge gepostet haben. Mir war der Thread allerdings bisher völlig entgangen.

Soweit ich das bisher gesehen habe ist folgendes zu machen:
Kristians Auflistung in die .htaccess ODER
SloMos PHP-Script in die index.php ODER
Airports Bot-Trap in die index.php einbinden UND
Google Spam-Report

Damit gibts ja schon eine ganze Menge Massnahmen. Ich ziehe dann dabei mit auf das Thema aufmerksam zu machen. Danke fürs wecken, Kristian!

Beitrag von **SloMo** » 19.12.2006, 09:29

Alle genannten PHP-Skripte gehören nicht unbedingt nur in die index.php, sonder müssen bei jedem Aufruf ausgeführt werden (auch bei Unterseiten). Das hängt also sehr von den jeweiligen Gegebenheiten ab.

Beitrag von **Anonymous** » 19.12.2006, 10:18

Danke für den Hinweis. Da dürfte dann auf jeden fall die Konfigurationsdatei infrage kommen. Schon die Funktionen sind bei vielen CMS in diverse Dateien verlegt. Na ich guck mal.

Beitrag von **Kristian** » 19.12.2006, 10:19

Hallo

Ich bin mir gar nicht mehr so sicher, dass es gut war auf diese Dinger hinzuweisen.
Ein Grossteil des Schaden ist wohl dadurch entstanden, da etliche Leute Ihre Mitbewerber über einen solchen Dienst, vorrangig Gizli verlinkt haben. Hätten wir die Schnauze gehalten, hätten die die so etwas nötig haben die Gelegenheit nie bekommen.
Naja, jetzt ist es zu spät. Wenn ich mir die Zahlen des Autors anschaue, sehen wir bei G. ohnenhin nur die Spitze des Eisberges.

@Regine
Schau bei Airport (Bot-Trap) vorbei, das scheint mir für die PHP-Schiene eine sinvolle Lösung.
Da jedes vernünftige PHP-Script beim Start eine "Initialisierungs-Datei" included dürfte das der richtige Ort sein um mit einer Änderung alle Seiten dicht zu machen.

Gruss
Kristian

Beitrag von **n3m0** » 19.12.2006, 10:54

Regine hat geschrieben:Schon die Funktionen sind bei vielen CMS in diverse Dateien verlegt.

Erfahrungsgemäß stehen die Zugangsdaten zur DB (fast) immer an einer Stelle und werden includiert.

Eine gute Stelle um derartige Hacks anzutackern ...

Beitrag von **SloMo** » 19.12.2006, 11:35

Inzwischen machen auch schon einige SEOs Werbung damit. "Wussten Sie, dass Sie ein Problem haben? Wir können helfen..." - gar nicht blöd!

Beitrag von **Kristian** » 19.12.2006, 12:05

Hallo

Jau, Markt ist nicht - Markt macht man, das gilt wohl auch für airport und mich.
Das gefährliche dabei ist in diesem Fall das der Netzwerkeffekt nicht mit eingeplant wurde und wir bei der Lawine die da anrollt jetzt wohl die sechs Wochen zwischen Weihnachten und Neujahr locker mit dieser Sch.... verbringen könnten.
Die normalen NPH-Proxies kann man recht einfach blamieren.
Bei GizliWeb versucht man sich zu wehren - wäre ja auch schade um die Werbeeinnahmen gelle - da werden wir wohl noch etwas mehr Zeit investieren müssen. so sad...

Gruss
Kristian

Beitrag von **Airport1** » 19.12.2006, 12:09

Bist Du das mit "Experimente in Ada95" ?? Das musste ich auch "erleiden", nebst Modula 2.

// Fands aber gar nich so schlimm, Prolog waer wohl schlimmer

>> Der erste Computer...
...war ein C64. Mit viel Mühe setzte sich die Erkenntnis durch, daß ein solcher Computer eigentlich nur die Menschen verarscht, indem er aufs Wort gehorcht und dabei die Ungenauigkeiten des menschlichen Geistes bloßstellt.

Auch der C64 war manchmal ungenau. Gib mal ein
?9^2
Wenn ich mich nicht irre kam da NICHT 81 raus

Beitrag von **Anonymous** » 19.12.2006, 12:15

Kristian hat geschrieben: @Regine
Schau bei Airport (Bot-Trap) vorbei, das scheint mir für die PHP-Schiene eine sinvolle Lösung.
Da jedes vernünftige PHP-Script beim Start eine "Initialisierungs-Datei" included dürfte das der richtige Ort sein um mit einer Änderung alle Seiten dicht zu machen.

Ja das hatte ich nach Deiner Ermunterung gleich getan aber ich bin so im Arbeitsstress dass ich mir das noch nicht in Ruhe anschauen konnte, ich hoffe ich kriege das heute gebacken. Die Rechenaufgabe ist genial *g*.

Beitrag von **Anonymous** » 19.12.2006, 12:31

Ehm Airport ist das eigentlich gewollt dass der Link zum "Beschwerdeforum" in der Trap auch innerhalb einer Gizliweb-URL läuft und dort dann der Bot-Trap auftaucht?