PhilippK hat geschrieben:Hallo zusammen,
in der letzten Woche konnten vermehrt Angriffsversuche auf phpBB-Boards festgestellt werden. Dabei wurde versucht, die Passwörter von Benutzers durch Probieren zu knacken. Weitere Informationen finden sich in der Meldung auf phpBB.com: http://www.phpbb.com/community/viewtopi ... &t=1947925
phpBB 3 hat verschiedene Schutzmechanismen, um solche Angriffe abzuwehren. Dazu zählt insbesondere die Funktion, die nach einer bestimmten Anzahl von erfolglosen Anmeldeversuche die Eingabe eines Sicherheitscode (CAPTCHA) erforderlich machen. Auch die Nutzung der Möglichkeit, neu registrierten Benutzern den Zugang zur Mitgliederliste zu untersagen, kann entsprechende Angriffe erschweren. Es wird daher empfohlen, die entsprechenden Einstellungen zu überprüfen.
Wir werden in den kommenden Tagen weitere Informationen veröffentlichen. Bis dahin sein auf die oben verlinkte Ankündigung verwiesen. Bei Fragen könnt ihr ggf. das Forum phpBB 3.0: Administration und Benutzung nutzen.
Viele Grüße,
Philipp
Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"
Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"
Hier könnt ihr über die Bekanntmachung Brute-Force-Angriffe auf phpBB-Boards diskutieren:
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
-
Flashen-us
- Gesperrt
- Beiträge: 17
- Registriert: 16.01.2010 14:43
Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"
Ist bekannt, ob nur auf phpBB-Boards Angriffe versucht wurden oder auch auf andere Foren? Nicht, dass die irgendeine Sicherheitslücke gefunden haben. 
Ich habe eine MOD eingebaut, die mir fehlgeschlagene Loginversuche im Benutzerprotokoll anzeigt, kann ich nur empfehlen. In der letzten Woche konnte ich nichts Außergewöhnliches beobachten.
Ich habe eine MOD eingebaut, die mir fehlgeschlagene Loginversuche im Benutzerprotokoll anzeigt, kann ich nur empfehlen. In der letzten Woche konnte ich nichts Außergewöhnliches beobachten.
Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"
Was passiert denn, wenn ich jetzt nachträglich die Passwort-Komplexität von "keine Erfordernisse" auf einen anderen Wert stelle? Müssen dann alle Nutzer deren Passwörter neuen Erfordernissen nicht entsprechen, ihre Passwörter ändern?
Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"
Nein das geht ja nicht, weil das Passwort verschlüsselt ist und man keinerlei Rückschlüsse auf das Orginal gibt.
Standart: Am besten mit beiden Beinen auf dem Boden
Standardmäßig antworte ich nicht auf PMs
Standardmäßig antworte ich nicht auf PMs
Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"
Boecki91 hat geschrieben:Nein das geht ja nicht, weil das Passwort verschlüsselt ist und man keinerlei Rückschlüsse auf das Orginal gibt.
doch es geht
man kann das PW wieder entschlüsseln
bzw. wenn man sich in die DB hackt das PW ganzleicht ändern
hab mein PW mal vergessen und da ich ja admin bin und auch zugriff
auf die DB habe hab ich einfach darüber mein PW wieder geändert und
konnte somit wieder in das Forum
-
nickvergessen
- Ehrenadmin
- Beiträge: 11559
- Registriert: 09.10.2006 21:56
- Wohnort: Stuttgart, Germany
- Kontaktdaten:
Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"
Wenn du aus der kryptischen Kombination wirklich auf das Passwort zurück kommst kannste n Haufen Geld damit machen. 
Ich glaube nicht das du das wirklich kannst.
Ich glaube nicht das du das wirklich kannst.
kein Support per PN
Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"
D.h. ich kann dann problemlos die Anforderungen hochstellen, ohne das es zu Problemen kommt?
Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"
Du beschreibst das Ersetzen eines Passwortes, nicht das Auslesen des ursprünglichen Passwortes.Phoenix hat geschrieben:doch es geht
man kann das PW wieder entschlüsseln
bzw. wenn man sich in die DB hackt das PW ganzleicht ändern
hab mein PW mal vergessen und da ich ja admin bin und auch zugriff
auf die DB habe hab ich einfach darüber mein PW wieder geändert und
konnte somit wieder in das Forum
Boecki91 hat Recht. Der in der DB gespeicherte Hash gibt weder Informationen über die Länge noch den Inhalt des Passworts, siehe http://de.wikipedia.org/wiki/Hashfunktion. Klar kann man einen neuen Hash aus einem neuen Passwort erstellen und den alten Hash ersetzen. Das gleiche passiert ja auch wenn man sein Passwort regulär ändert.
Was ginge ist das Passwort beim Login auf Länge zu überprüfen und dem Benutzer die Anmeldung zu verweigern bis er sein Passwort geändert hat, das macht phpBB aber nicht.BlackHawk87 hat geschrieben:D.h. ich kann dann problemlos die Anforderungen hochstellen, ohne das es zu Problemen kommt?
Powered by Coffee
Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"
Ich will ja nur wissen, wenn ich jetzt die Passwort-Komplexität von "keine Erfordernisse" auf einen anderen Wert stelle, kann es dann zu Problemen mit den schon existierenden Benutzerpasswörtern kommen, ja oder nein?
Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"
Oh, sorry. Darauf wollte ich auch noch antworten. Prizipiell sollte es zu keinen Problemen kommen.BlackHawk87 hat geschrieben:Ich will ja nur wissen, wenn ich jetzt die Passwort-Komplexität von "keine Erfordernisse" auf einen anderen Wert stelle, kann es dann zu Problemen mit den schon existierenden Benutzerpasswörtern kommen, ja oder nein?
Powered by Coffee
