Veel unieke bezoekers op mijn site met vreemde request

Paul_ · Bericht door **Paul_** » 12 feb 2005, 12:10

Mijn unieke bezoekers zijn de laatste dagen flink gestegen volgens mijn webalizer. Ik heb nu 50-100 unieke bezoekers meer per dag maar mijn nedstatteller registreerd ze niet.

Het is niet de googlebot of de msn bot.

En in mijn logfiles zie ik:

62.26.185.3 - - [12/Feb/2005:05:14:05 +0100] "GET /viewtopic.php?p=1260&highlight=%2527%252Esystem(chr(112)%252Echr(101)%252Echr(114)%252Echr(108)%252Echr(32)%252Echr(45)%252Echr(101)
%252Echr(32)%252Echr(34)%252Echr(112)%252Echr(114)%252Echr(105)%252Echr(110)%252Echr(116)%252Echr(32)%252Echr(113)%252Echr(40)
%252Echr(106)%252Echr(83)%252Echr(86)%252Echr(111)%252Echr(119)%252Echr(77)%252Echr(115)%252Echr(100)%252Echr(41)%252Echr(34))%252E%2527 HTTP/1.0" 200 9202 "-" "Mozilla/4.0"

64.136.58.149 - - [12/Feb/2005:05:14:20 +0100] "GET /viewtopic.php?p=2299&highlight=%2527%252Esystem(chr(112)%252Echr(101)%252Echr(114)%252Echr(108)%252Echr(32)%252Echr(45)%252Echr(101)
%252Echr(32)%252Echr(34)%252Echr(112)%252Echr(114)%252Echr(105)%252Echr(110)%252Echr(116)%252Echr(32)%252Echr(113)%252Echr(40)
%252Echr(106)%252Echr(83)%252Echr(86)%252Echr(111)%252Echr(119)%252Echr(77)%252Echr(115)%252Echr(100)%252Echr(41)%252Echr(34))%252E%2527 HTTP/1.0" 200 11729 "-" "Mozilla/4.0"

216.55.105.103 - - [12/Feb/2005:05:35:49 +0100] "GET /viewtopic.php?p=2244&highlight=%2527%252Esystem(chr(112)%252Echr(101)%252Echr(114)%252Echr(108)%252Echr(32)%252Echr(45)%252Echr(101)
%252Echr(32)%252Echr(34)%252Echr(112)%252Echr(114)%252Echr(105)%252Echr(110)%252Echr(116)%252Echr(32)%252Echr(113)%252Echr(40)
%252Echr(106)%252Echr(83)%252Echr(86)%252Echr(111)%252Echr(119)%252Echr(77)%252Echr(115)%252Echr(100)%252Echr(41)%252Echr(34))%252E%2527 HTTP/1.0" 200 18596 "-" "Mozilla/4.0"

212.123.5.7 - - [12/Feb/2005:05:37:26 +0100] "GET /viewtopic.php?p=2280&highlight=%2527%252Esystem(chr(112)%252Echr(101)%252Echr(114)%252Echr(108)%252Echr(32)%252Echr(45)%252Echr(101)
%252Echr(32)%252Echr(34)%252Echr(112)%252Echr(114)%252Echr(105)%252Echr(110)%252Echr(116)%252Echr(32)%252Echr(113)%252Echr(40)
%252Echr(106)%252Echr(83)%252Echr(86)%252Echr(111)%252Echr(119)%252Echr(77)%252Echr(115)%252Echr(100)%252Echr(41)%252Echr(34))%252E%2527 HTTP/1.0" 200 10405 "-" "Mozilla/4.0"

Wie zijn dit? En beter nog: wat kan ik er aandoen?

Bee · Bericht door **Bee** » 12 feb 2005, 12:50

Dit zijn aanvallen van scriptkiddies of de santy worm die je forum willen kraken. Je kan op http://phpbb-amod.com een mod vinden die dit soort dingen tegenhoud.

Paul_ · Bericht door **Paul_** » 12 feb 2005, 12:56

bee schreef:Dit zijn aanvallen van scriptkiddies of de santy worm die je forum willen kraken. Je kan op http://phpbb-amod.com een mod vinden die dit soort dingen tegenhoud.

Oke, bedankt.

Ik vond net ook dat het de Santy A Worm is.

Dan zal deze .htaccess file het moeten oplossen?

Code: Selecteer alles

RewriteEngine On

# prevent access from sanity webworm a-e
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent pre php 4.3.10 bug
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

/edit
Hier op phpbb.nl nu ook dat script gevonden (link)

Dus het zal wel goed zijn.

PS Hoe weet ik dat de RewriteEngine op On staat?

Paul_ · Bericht door **Paul_** » 12 feb 2005, 16:47

Ik heb 3 uur geleden bovenstaande .htaccess file in mijn root gezet. Maar ik heb nog steeds dezelfde gekke bezoeken in mijn weblog bestanden staan?

Weet iemand hoe dat komt?