Ankündigung

Einklappen
Keine Ankündigung bisher.

Hackerangriff - Wie mein Downloadverzeichnis schützen?

Einklappen
X
Einklappen
 
  • Seite von 2
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 template Weiter
  • #1

    Hackerangriff - Wie mein Downloadverzeichnis schützen?

    Hallo,

    meine Homepage wird in letzter Zeit von Hackern angegriffen, die einen hohen Traffic verursachen. Am Freitag wurden beispielsweise 2TB übertragen, was weit über dem Durchschnitt eines Monatsvolumens liegt. Da mir mein Provider schon mit der Kündigung droht, habe ich mir Gedanken gemacht, wie ich mein Downloadverzeichnis schützen kann:
    • Möglichkeit 1: Regelmäßiges Umbenennen des Downloadverzeichnis und Aktualisierung der Links
    • Möglichkeit 2: Simpler Passwortschutz per .htaccess. Benutzername und Passwort sind auf meiner HP dann in Form einer Grafik enthalten.
    • Möglichkeit 3: IP-Sperre, die den Download einer Datei nach X Versuchen erst nach X Minuten wieder freigibt.


    Zu 1: Der Angriff dauerte nur 6 Stunden, man müsste die Ordner also mindestens stündlich umbenennen. Manuell ist das nicht mehr zu schaffen. Ist es mit PHP möglich, Ordner jede Stunde automatisch umzubenennen und die Links zu aktualisieren?

    Zu 2: Wahrscheinlich am sichersten allerdings optisch nicht so schön und auch für die Besucher etwas umständlich. Kann man das so anpassen, dass anstatt des Benutzernamens nur ein Passwort eingegeben werden muss (wie bei rapidshare)?

    Zu 3: Eine IP-Sperre würde ich bevorzugen, weil der Besucher von dieser Sicherung nicht gestört wird. Allerdings habe ich mal dieses Downloadskipt getestet und musste leider feststellen, dass man die IP-Sperre umgehen kann, wenn man den direkten Pfad zu der Datei kennt. Kann man mit PHP eine (nahezu) Hackersichere IP-Sperre realisieren?


    Für Eure Hilfe bin ich wirklich sehr, sehr dankbar! Wenn Ihr bessere Schutzmöglichkeiten kennt, immer her damit


    Nachtrag:

    Um den Traffic in den Griff zu bekommen, habe ich zuvor schon eine .htaccess-Datei angelegt, die fremde Referrer auf eine Fehlerseite umleitet. Der Hacker hatte aber wohl keinen Referrer mitgesendet. Der Schutz war also nutzlos.
    Zuletzt geändert von Murmeltier; 05.05.2008, 17:10.
    Stichworte: -
  • #2
    AW: Hackerangriff - Wie mein Downloadverzeichnis schützen?

    1) Wie "angegriffen"? Viele Aufrufe?
    2) "Kann man mit PHP eine (nahezu) Hackersichere IP-Sperre realisieren?" - nein. Mit dem richtigen Pfad komtm man an fast alles. (oder evtl. doch mit 0000 auf chmod und include?)

    Kommentar

    • #3
      AW: Hackerangriff - Wie mein Downloadverzeichnis schützen?

      Zitat von rami Beitrag anzeigen
      1) Wie "angegriffen"? Viele Aufrufe?
      Laut der log-Datei des Servers hat die IP "83.20.41.155" zwischen 12 und 22 Uhr ca. 10.000mal die Datei "Flugshow.mpg" angefordert (ein Video, das ich mal erstellt habe).

      2) "Kann man mit PHP eine (nahezu) Hackersichere IP-Sperre realisieren?" - nein. Mit dem richtigen Pfad komtm man an fast alles. (oder evtl. doch mit 0000 auf chmod und include?)
      Leider hören da meine Kenntnisse auf...

      Kommentar

      • #4
        AW: Hackerangriff - Wie mein Downloadverzeichnis schützen?

        Hallo

        Ich habe zwar nicht so viel Ahnung,
        aber dieses Download skript hat eine Datentransfer-Sperre,
        vielleicht hielt das ja oder mal danach suchen.

        Michael

        Kommentar

        • #5
          AW: Hackerangriff - Wie mein Downloadverzeichnis schützen?

          Zitat von eloms Beitrag anzeigen
          Hallo

          Ich habe zwar nicht so viel Ahnung,
          aber dieses Download skript hat eine Datentransfer-Sperre,
          vielleicht hielt das ja oder mal danach suchen.

          Michael
          Wie bereits weiter oben geschrieben, kann die IP-Sperre bei diesem Script umgangen werden, wenn man den direkten Link zu der Datei kennt.
          Zuletzt geändert von Murmeltier; 05.05.2008, 18:41.

          Kommentar

          • #6
            AW: Hackerangriff - Wie mein Downloadverzeichnis schützen?

            hi,

            zunächsteinmal: rechtlich ist das so kein angriff sondern eine normale abfrage öffentlicher daten, weswegen der provider auch kein sonderkündigungsrecht besitzt. stellt er unlimitierten traffic zur verfügung, muss er schauen, das dem auch so ist. am besten mit der verbraucherzentrale einen netten brief schreiben, der ihm das verdeutlicht. das hat dann wahrscheinlich den schönen nebeneffeckt, das er dir vielleicht helfen könnte.

            deine möglichkeiten sind leider mit den sachen die du geschrieben hast, erschöpft. ich weiß nicht, in wieweit es dir zuzumuten ist, den ordner wirklich umzubenennen, die problematik (unter unix uä systemen) ist das laufende downloads abgebrochen werden. bei bildern ist das kein problem, bei großen dateien allerdings schon. deswegen könntest du eigentlich den ordner maximal nachts umbenennen.

            ich würde jetzt eigentlich versuchen 1+2 zu kombinieren, also nachts den ordner umbenennen, tagsüber 1x pro stunde das password ändern, weil ich der meinung bin, das ein geändertes password den download nicht unterbricht. allerdings kann ich mich hier irren, also am besten mal testen!

            möglichkeit 3 müsste über einen skript wrapper, also php, gemacht werden. das schränkt den server allerdings noch stärker ein, weswegen ich davon abraten möchte.
            AC/DC Fanpage www.ifyouwantblood.de
            Nein zur Zensur im Internet und anderswo - Anonymous

            Kommentar

            • #7
              AW: Hackerangriff - Wie mein Downloadverzeichnis schützen?

              => Mit cronjob.de kann er/sie es machen...
              => ... in Verbindung mit einem PHP-Script.

              MfG
              Dieser User hat nie existiert.
              Und Sie haben das nie gelesen.

              Kommentar

              • #8
                AW: Hackerangriff - Wie mein Downloadverzeichnis schützen?

                hmm geht readfile auch, wenn auf dem Verzeichnis eine htaccess mit "Deny from all"? Dann gingen solche Scripte.

                Kommentar

                • #9
                  AW: Hackerangriff - Wie mein Downloadverzeichnis schützen?

                  Ich hätte auch noch eine kleine Idee, wie man dir helfen könnte. Du machst ein für den User nicht sichtbares Feld rein, dass du dann z.B. passwort nennst. In die PHP-Datei schreibst du dann, dass dieses Feld immer leer bleiben muss. Die meisten Angriffe fallen darauf rein.

                  Eine Alternative, falls nichts anderes hilft, wäre Captcha zu verwenden.

                  Kommentar

                  • #10
                    AW: Hackerangriff - Wie mein Downloadverzeichnis schützen?

                    => Mit cronjob.de kann er/sie es machen...
                    => ... in Verbindung mit einem PHP-Script.
                    Aaaahhhhh... Ich wusste bisher nicht wozu Cronjob gut ist. Es ist gut zu wissen, dass so was geht.

                    Hier habe ich schon die nötigen Grundlagen für ein Umbenennen der Ordner gefunden (siehe 4. Beitrag): http://www.php-resource.de/forum/sho...threadid=31277

                    Ich werde erstmal versuchen, ob ich das selber hin bekomme.


                    hmm geht readfile auch, wenn auf dem Verzeichnis eine htaccess mit "Deny from all"? Dann gingen solche Scripte.
                    Was genau meinst du damit?


                    die problematik (unter unix uä systemen) ist das laufende downloads abgebrochen werden.
                    Daran habe ich gar nicht gedacht. Nein, dann macht das wohl keinen Sinn mit dem Umbenennen der Ordner.

                    Es wäre wohl doch ein Passwort besser, dass sich täglich oder öfter ändert. Wie funktioniert das mit den Captchas? Ich habe bisher nur Beispiele für Gästebücher oder Email-Formulare gefunden. Ich wüsste nicht wie man Captchas (so wie bei rapidshare meint Ihr doch?) auf ein Verzeichnis anwenden kann.
                    Zuletzt geändert von Murmeltier; 05.05.2008, 19:36.

                    Kommentar

                    • #11
                      AW: Hackerangriff - Wie mein Downloadverzeichnis schützen?

                      Zitat von Murmeltier Beitrag anzeigen
                      hmm geht readfile auch, wenn auf dem Verzeichnis eine htaccess mit "Deny from all"? Dann gingen solche Scripte.
                      Was genau meinst du damit?
                      er meint, in die .htaccess zu schreiben "deny from all". damit würde der apache jedwegen zugriff von außen blockieren. dann müsste ein php script ran. allerdings hat das, wie gesagt, große performance technische nachteile. nein, nicht unbedingt langsamere downloads, aber langsamerer seitenaufbau anderer seiten zudem auch PHP timeout sowie das, nur beim Apache 1.3 aufzuhenebende, timeout des apache welches normalerweise 300 sekunden beträtgt.

                      Zitat von Murmeltier Beitrag anzeigen
                      Daran habe ich gar nicht gedacht. Nein, dann macht das wohl keinen Sinn mit dem Umbenennen der Ordner.


                      Es wäre wohl doch ein Passwort besser, dass sich täglich oder öfter ändert. Wie funktioniert das mit den Captchas? Ich habe bisher nur Beispiele für Gästebücher oder Email-Formulare gefunden. Ich wüsste nicht wie man Captchas (so wie bei rapidshare meint Ihr doch?) auf ein Verzeichnis anwenden kann.
                      captchas funktionieren nur wenn du ein php script vorschaltest. rapidshare benutzt eine session gesteuerte rewrite engine die mit einem immer aktuellen ip erkennungsmechanismus (wegen AOL usern) gekoppelt ist. diese sind allerdings teuer. zudem hat rapidshare den vorteil eine relativ unbegrentzte anzahl von servern einzusetzen die komplett unter deren kontrolle stehen. also kein vergleich für dich.

                      dennoch könnte rapidshare dir helfen: lad deine sachen bei rapidshare + mirrors hoch (also andere upload dienste)-
                      AC/DC Fanpage www.ifyouwantblood.de
                      Nein zur Zensur im Internet und anderswo - Anonymous

                      Kommentar

                      • #12
                        AW: Hackerangriff - Wie mein Downloadverzeichnis schützen?

                        Ein Captcha ist doch im Prinzip ein Passwort, das übertragen wird. Gibt es dann nicht das Problem, dass sich jemand einmal einloggen kann und aber beliebig oft Dateien runterladen kann? Deshalb bräuchte ich praktisch ein Script, das nach jedem Download einen neuen Login verlangt. Langsam wird mir das zu unübersichtlich.

                        Nachtrag:
                        Ich habe das mit dem Ordner umbenennen mal getestet. Der Download wird nicht abgebrochen.


                        Edit (autom. Beitragszusammenführung):

                        Angenommen ich mache das mit dem Ordner umbenennen wie hier beschrieben (4. Beitrag): http://www.php-resource.de/forum/sho...threadid=31277

                        Wenn das Script aufgerufen wird und den Ordner in einen zufälligen Namen umgewandelt hat, woher weiß das Script dann welchen Ordner es beim 2. Durchlauf umbenennen soll? Den neuen Dateinamen muss ich doch irgendwo abspeichern?


                        Edit (autom. Beitragszusammenführung):

                        Ich habe mir trotz meiner mangelden PHP-Kenntnisse mal was zusammengebastelt:

                        Umbenennen.php:
                        PHP-Code:
                        <?php
                          
                          icnlude                         "includedateimitverzeichnisname.inc.php";   #$alterordnername wird geladen.

                                                  $neuerordnername md5(rand());                     #Neuer Ordnername wird generiert.

                                                  rename("$alterordnername""$neuerordnername");

                                                  #Hier fehlt noch was (siehe unten)

                        ?>
                        Wie speichere ich nun $neuerordnername als $alterordnername = "blabla" in der includedateimitverzeichnisname.inc.php ab?


                        includedateimitverzeichnisname.inc.php:
                        PHP-Code:
                        <?php
                          $alterordnername                         "blabla"
                        ?>

                        index.php
                        PHP-Code:
                        <?php

                        icnlude                         "includedateimitverzeichnisname.inc.php";
                        echo                         '<a href="/'.$alterordnername.'/download.exe">hier klicken zum downloaden</a>';

                        ?>
                        Zuletzt geändert von Murmeltier; 06.05.2008, 09:07. Grund: Antwort auf eigenen Beitrag innerhalb von 24 Stunden!

                        Kommentar

                        • #13
                          AW: Hackerangriff - Wie mein Downloadverzeichnis schützen?

                          ~beitrag bitte löschen~

                          Kommentar

                          • #14
                            AW: Hackerangriff - Wie mein Downloadverzeichnis schützen?

                            Ich habe die Spript.php noch mal abgeändert. So wie es aussieht scheint es zu funktionieren. Der Ordnername wird einwandrei in die txt geschrieben:

                            PHP-Code:
                            <?php
                              
                              $datei                             fopen("ordnername.txt","r+");
                                                          $alterordnername fgets($datei40);   # Wie viele Zeichen sollten gelesen werden?

                                                          $neuerordnername md5(rand());

                                                          rename("$alterordnername""$neuerordnername");

                              echo                             $neuerordnername;
                                                          rewind($datei);
                                                          fwrite($datei$neuerordnername);
                                                          fclose($datei);

                            ?>
                            Allerdings erhalte ich beim Ausführen der Datei auf dem Server die Fehlermeldung "[function.rename]: Permission denied ...". Habe ich irgendwelche Rechte vergessen?
                            EDIT: Hat sich erledigt. Der Root-Ordner braucht auch Schreibrechte. Das Umbenennen funktioniert jetzt wunderbar.
                            Zuletzt geändert von Murmeltier; 06.05.2008, 12:36.

                            Kommentar

                            • #15
                              AW: Hackerangriff - Wie mein Downloadverzeichnis schützen?

                              777 aufm root? Ob das so toll ist...

                              Kommentar

                              Vorherige 1 2 template Weiter

                              homepage-forum.de - Hilfe für Webmaster! Statistiken

                              Einklappen
                              Themen: 57.195   Beiträge: 431.990   Mitglieder: 29.634   Aktive Mitglieder: 29
                              Willkommen an unser neuestes Mitglied, GinaKing.

                              Online-Benutzer

                              Einklappen

                              858 Benutzer sind jetzt online. Registrierte Benutzer: 2, Gäste: 856.

                              Mit 9.939 Benutzern waren am 17.05.2023 um 21:38 die meisten Benutzer gleichzeitig online.

                              Die neuesten Themen

                              Einklappen
                              Alle anzeigen

                              Die neuesten Beiträge

                              Einklappen
                              Alle anzeigen
                              Lädt...
                              X