Wurm Angriff???

[wflorian]

Hallo.

Ich glaube das ein Wurm meine Gallerie angreift:

[Fri Sep 16 19:12:10 2005] [error] [client 84.171.43.36] unable to include "include/top.html" in parsed file /usr/share/apache2/error/HTTP_SERVICE_UNAVAILABLE.html.var, referer: http://www.sexy-gifs.de/
[Fri Sep 16 19:12:10 2005] [error] [client 84.171.43.36] unable to include "include/bottom.html" in parsed file /usr/share/apache2/error/HTTP_SERVICE_UNAVAILABLE.html.var, referer: http://www.sexy-gifs.de/
[Fri Sep 16 19:12:10 2005] [error] [client 84.171.43.36] unable to include "include/top.html" in parsed file /usr/share/apache2/error/HTTP_SERVICE_UNAVAILABLE.html.var, referer: http://www.sexy-gifs.de/
[Fri Sep 16 19:12:10 2005] [error] [client 84.171.43.36] unable to include "include/bottom.html" in parsed file /usr/share/apache2/error/HTTP_SERVICE_UNAVAILABLE.html.var, referer: http://www.sexy-gifs.de/
[Fri Sep 16 19:12:10 2005] [error] [client 84.171.43.36] unable to include "include/top.html" in parsed file /usr/share/apache2/error/HTTP_SERVICE_UNAVAILABLE.html.var, referer: http://www.sexy-gifs.de/
[Fri Sep 16 19:12:10 2005] [error] [client 84.171.43.36] unable to include "include/bottom.html" in parsed file /usr/share/apache2/error/HTTP_SERVICE_UNAVAILABLE.html.var, referer: http://www.sexy-gifs.de/
[Fri Sep 16 19:12:10 2005] [error] [client 84.171.43.36] unable to include "include/top.html" in parsed file /usr/share/apache2/error/HTTP_SERVICE_UNAVAILABLE.html.var, referer: http://www.sexy-gifs.de/
[Fri Sep 16 19:12:10 2005] [error] [client 84.171.43.36] unable to include "include/bottom.html" in parsed file /usr/share/apache2/error/HTTP_SERVICE_UNAVAILABLE.html.var, referer: http://www.sexy-gifs.de/
[Fri Sep 16 19:12:10 2005] [error] [client 84.171.43.36] unable to include "include/top.html" in parsed file /usr/share/apache2/error/HTTP_SERVICE_UNAVAILABLE.html.var, referer: http://www.sexy-gifs.de/
[Fri Sep 16 19:12:10 2005] [error] [client 84.171.43.36] unable to include "include/bottom.html" in parsed file /usr/share/apache2/error/HTTP_SERVICE_UNAVAILABLE.html.var, referer: http://www.sexy-gifs.de/


Das geht nun schon einige Tage so....und legt alle anderen HPs die sich auf dem Server bzw auf dem Webpack bei Hosteurope mit befinden lahm...

Habe folgenden Thread gefunden:
http://www.rootforum.de/forum/viewtopic.php?t=31941&postdays=0&postorder=asc&start=0

Was kann ich nun wirksam gegen den Wurm tun?

Danke.
Grüsse

[wflorian]

habe jetzt selber ein wenig recherchiert aber leider nicht die komplette ahnung mit php.

habe in der header.html folgendes ganz oben eingefügt:

<?php
 ini_set("allow_url_fopen", "0");
?>

htaccess sieht so aus:

#################################
SetEnvIfNoCase User-Agent "^LWP::Simple" bad_bot

<Limit GET POST>
Order Allow,Deny
Allow from all
Deny from env=bad_bot
</Limit>
#################################

ErrorDocument 404 http://www.sexy-gifs.de/404.html

RewriteEngine On
#RewriteBase /is/htdocs/wp1023301_6NXU2ERN4S/www/sexy-gifs/
RewriteRule ^lightbox\.html$ lightbox.php?%{QUERY_STRING}
RewriteRule ^lightbox\.([0-9]+)\.html$ lightbox.php?page=$1&%{QUERY_STRING}

RewriteRule ^search\.html$ search.php?%{QUERY_STRING}
RewriteRule ^search\.([0-9]+)\.html$ search.php?page=$1&%{QUERY_STRING}

RewriteRule ^cat\.html$ categories.php?%{QUERY_STRING}
RewriteRule ^cat([0-9]+)\.([0-9]+)\.html$ categories.php?cat_id=$1&page=$2&%{QUERY_STRING}
RewriteRule ^cat([0-9]+)\.html$ categories.php?cat_id=$1&%{QUERY_STRING}

RewriteRule ^img([0-9]+)\.html$ details.php?image_id=$1&%{QUERY_STRING}
RewriteRule ^img([0-9]+)\.([a-zA-Z0-9]+)\.html$ details.php?image_id=$1&mode=$2&%{QUERY_STRING}

RewriteRule ^postcard([a-zA-Z0-9]+)\.html$ postcards.php?postcard_id=$1&%{QUERY_STRING}
RewriteRule ^postcard\.img([0-9]+)\.html$ postcards.php?image_id=$1&%{QUERY_STRING}


# prevent payloads via wget
RewriteCond %{QUERY_STRING} ^(.*)wget\%20 [NC]
RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]

# prevent access from santy webworm
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [NC]
RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]

# prevent pre php 4.3.10 bug
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b [NC]
RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]


bringen diese sachen überhaupt etwas...wäre wirklich über hilfe dankbar:(

[wflorian]

bitte, bitte, kann mir denn wirklich niemand weiterhelfen? kann doch nicht sein, das nur meine gallerie damit probleme hat...wurde heute schon wieder ca. 4 std von dem wurm oder was auch immer es ist angegriffen...falls ihr einen tipp habt wäre ich mehr als dankbar dafür...

grüsse

[Acidgod]

Hast Du einen ROOT Server?
Wenn nicht dann melde es in jedemfall deinen Provider!

Wenn Du hier hilfe in anspruch nehmen willst, und auch möchtest das jemand antwortet, schreibst du am besten in englisch. (o:


Das sollte Dir helfen:
http://www.webservertalk.com/archive54-2004-2-131078.html

[wflorian]

nein habe ein ganz normales webpack...werde den text jetzt nochmal in englisch verfassen.

danke:)

[Acidgod]

DAs ist kein WURM! Haste das Thema net gelesen? Melde das deinem Hoster und der soll das Abschalten oder Du hast eigene dynamische Fehlerseiten definiert?

[wflorian]

Doch habe den Thread eben erneut gelesen, habe den 404 Error in der htaccess defeniert:

ErrorDocument 404 http://www.sexy-gifs.de/404.html

Aber in der 404.html benutze ich kein Include...

Sehe ich das jetzt richtig?

[Acidgod]

Frage mal deinen Provider was dort falsch läuft. Das liegt aber in jedemfall an den Fehlerseiten... (o:

[wflorian]

alles klar werde ich machen...vielen vielen dank:)