Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"

Projekte der phpBB.de-Community und Feedback zu phpBB.de.
Benutzeravatar
nickvergessen
Ehrenadmin
Beiträge: 11559
Registriert: 09.10.2006 21:56
Wohnort: Stuttgart, Germany
Kontaktdaten:

Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"

Beitrag von nickvergessen » 01.02.2010 14:41

Die Angriffe gingen nicht gezielt auf Admins. Der Grund dafür ist auch relativ einfach erklärbar. Die Captchas in 3.0.6 sind zu schwer, da geht es leichter per Passwort-Raten zu versuchen dahinter zukommen, als zu versuchen das "doofe" Captcha zu knacken.
kein Support per PN

P7BB
Mitglied
Beiträge: 383
Registriert: 15.07.2008 19:40

Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"

Beitrag von P7BB » 01.02.2010 16:14

nickvergessen hat geschrieben:Der Grund dafür ist auch relativ einfach erklärbar. Die Captchas in 3.0.6 sind zu schwer, da geht es leichter per Passwort-Raten zu versuchen dahinter zukommen, als zu versuchen das "doofe" Captcha zu knacken.
Werden nicht nach einigen fehlgeschlagenden Login-Versuchen auch die Captchas angezeigt, um eben sowas zu verhindern? o.O

wolfman24
Mitglied
Beiträge: 892
Registriert: 25.09.2005 13:17

Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"

Beitrag von wolfman24 » 01.02.2010 16:14

Nicht, wenn es nicht eingestellt ist.

Benutzeravatar
nickvergessen
Ehrenadmin
Beiträge: 11559
Registriert: 09.10.2006 21:56
Wohnort: Stuttgart, Germany
Kontaktdaten:

Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"

Beitrag von nickvergessen » 01.02.2010 18:37

Ja im Normalfall nach 3, deswegen sieht man in den meisten Logs auch nur 2 Versuche pro Namen.
kein Support per PN

P7BB
Mitglied
Beiträge: 383
Registriert: 15.07.2008 19:40

Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"

Beitrag von P7BB » 01.02.2010 18:45

Dann ist das ganze ja schon fast lächerlich... 2 zufällige Wörter pro Benutzernamen... Also das dürfte in der Tat nicht alzu viel bringen ;)

4seven
Mitglied
Beiträge: 5869
Registriert: 21.04.2007 06:18

Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"

Beitrag von 4seven » 02.02.2010 01:30

phpbb.com machts schon nach einem fehlversuch..

Benutzeravatar
Wuppi
Mitglied
Beiträge: 719
Registriert: 14.05.2002 23:04
Wohnort: Köln
Kontaktdaten:

Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"

Beitrag von Wuppi » 09.02.2010 14:46

Hi
nickvergessen hat geschrieben:Die Angriffe gingen nicht gezielt auf Admins. Der Grund dafür ist auch relativ einfach erklärbar. Die Captchas in 3.0.6 sind zu schwer, da geht es leichter per Passwort-Raten zu versuchen dahinter zukommen, als zu versuchen das "doofe" Captcha zu knacken.
ja sind in der tat zu schwer :( beim registrieren jetzt bei 2 phpBB3s schon passiert: ein eigentlich sehr einfaches, kurzes, eindeutiges Captcha - falsch. Nach ca. 30 Versuchen (verschiedene Browser/PCs, IPs ... so wg. Sperre nach x Registrierungen) hats dann endlich geklappt. Mir graust es davor bei meinem 3er das ich die Tage online bringe. Clientel ist vorwiegend älter ... freu mich schon auf die "kann mich nicht registrieren"-eMails :(

WEEDman hat geschrieben:
Edit: okay habs grad auf phpBB.com gelesen: > This attack was facilitated by a query for "powered by phpbb" on a search engine. also phpBB-only
in wieweit darf ich die Zeile da unten abändern? darf ich das als Grafik da unten hinsetzen? Übersetzen?

Ein weiteres Anzeichen sind viele POST-Anfragen auf ucp.php?mode=login
wie ist der Aufwand diese Datei umzubennen? Dann könnte man ucp.php nach ucp-irgendwas.php ändern. Dann erstellt man sich noch eine dummy ucp.php mir redirect auf 127.0.0.1 - für die Bots. So würde man doch die automatisch generierten Loginversuche im Sande verlaufen lassen. Hätte dann auch gleich einen Effekt aufs registrieren (läuft ja über gleiche Datei). Automatisch versuchte Anmeldungen klappen nicht mehr, weil die Datei nicht mehr existiert. Damit könnte man auch die Captchas etwas entschärfen und muss nicht das Hardcore-Programm laufen lassen - womit insbesondere ältere Mitmenschen Ihre Probleme haben ... oder auch welche die das gut lesen können ... sie oben :|

Alternativ könnte man die ucp.php auch lassen - allerdings wird die nur abgearbeitet wenn noch eine weitere Variable übergeben wird: ucp.php?mode=login&bot=noe ... am Anfang dann eine Abfrage: ist bot = noe? wenn nicht = redirect hölle oder so ;) ... wenn doch, gehts normal weiter. Das bot=noe müsste ich dann überalls ins Template reinbasteln. Oder ist das umbennen der Datei dann doch die bessere Lösung?


Gruß

Benutzeravatar
Mahony
Ehemaliges Teammitglied
Beiträge: 12014
Registriert: 17.11.2005 22:33
Wohnort: Esslingen (Neckar)
Kontaktdaten:

Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"

Beitrag von Mahony » 09.02.2010 15:03

Hallo
Wuppi hat geschrieben:Mir graust es davor bei meinem 3er das ich die Tage online bringe. Clientel ist vorwiegend älter ... freu mich schon auf die "kann mich nicht registrieren"-eMails :(
Das verwendete Captcha kannst du im Administrations-Bereich konfigurieren (ACP - Allgemein - CAPTCHA-Modul-Einstellungen).
Tipp: Du könntest zum Beispiel das Q&A (Frage - Antwort) Captcha oder das Captcha ohne GD verwenden.
Wuppi hat geschrieben:in wieweit darf ich die Zeile da unten abändern? darf ich das als Grafik da unten hinsetzen? Übersetzen?
Siehe dazu KB:copyright

Wuppi hat geschrieben:wie ist der Aufwand diese Datei umzubennen? Dann könnte man ucp.php nach ucp-irgendwas.php ändern. Dann erstellt man sich noch eine dummy ucp.php mir redirect auf 127.0.0.1 - für die Bots. So würde man doch die automatisch generierten Loginversuche im Sande verlaufen lassen. Hätte dann auch gleich einen Effekt aufs registrieren (läuft ja über gleiche Datei). Automatisch versuchte Anmeldungen klappen nicht mehr, weil die Datei nicht mehr existiert. Damit könnte man auch die Captchas etwas entschärfen und muss nicht das Hardcore-Programm laufen lassen - womit insbesondere ältere Mitmenschen Ihre Probleme haben ... oder auch welche die das gut lesen können ... sie oben :|
Das kannst du dir auch sparen, da durch die Sperre nach x Anmeldeversuchen (einstellbar im ACP) sowieso Schluss ist mit Bruteforce.
Ansonsten ist der daroPL AntiSpam MOD zu empfehlen.
Der ist recht einfach einzubauen und verhindert Registrierungen von Bots zur Zeit sehr effektiv.


Grüße: Mahony
Taekwondo in Berlin
Wer fragt, ist ein Narr für fünf Minuten, wer nicht fragt, ist ein Narr für immer.

Benutzeravatar
gn#36
Ehrenadmin
Beiträge: 9280
Registriert: 01.10.2006 16:20
Wohnort: Ganz in der Nähe...
Kontaktdaten:

Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"

Beitrag von gn#36 » 09.02.2010 15:09

Wuppi hat geschrieben:Hi
nickvergessen hat geschrieben:Die Angriffe gingen nicht gezielt auf Admins. Der Grund dafür ist auch relativ einfach erklärbar. Die Captchas in 3.0.6 sind zu schwer, da geht es leichter per Passwort-Raten zu versuchen dahinter zukommen, als zu versuchen das "doofe" Captcha zu knacken.
ja sind in der tat zu schwer :( beim registrieren jetzt bei 2 phpBB3s schon passiert: ein eigentlich sehr einfaches, kurzes, eindeutiges Captcha - falsch. Nach ca. 30 Versuchen (verschiedene Browser/PCs, IPs ... so wg. Sperre nach x Registrierungen) hats dann endlich geklappt. Mir graust es davor bei meinem 3er das ich die Tage online bringe. Clientel ist vorwiegend älter ... freu mich schon auf die "kann mich nicht registrieren"-eMails :(
Da gibt's eine einfache Lösung: Nutze stattdessen das Frage-Antwort Spielchen und schon hast du das Problem nicht. Da du die Antworten selbst vorgibst und die Fragen auch gibt es einen beliebig großen Antwortenraum was für einen Bot sehr schwer abzudecken ist mit all seinen Facetten, aber bei den richtigen Fragen für die Nutzer sehr einfach ist. Bei einem Sportvereinsforum könnte man zum Beispiel die Mannschaft abfragen in der der Anmelder spielen möchte oder deren Fan er ist, oder vielleicht den Lieblingsspieler oder sowas. Bei einem eher technisch angehauchten Forum kann man sich vielleicht auch Fragen nach Bauteilnamen erlauben, oder aber man stellt einfache Rechenaufgaben rein. Das Spektrum ist weit und kann trotzdem einfach sein. Im Prinzip könnte man auch Fragen ähnlich den "Wer wird Millionär" Fragen nutzen - eben Dinge die jeder weiß, ein Bot aber nicht.
WEEDman hat geschrieben:
Edit: okay habs grad auf phpBB.com gelesen: > This attack was facilitated by a query for "powered by phpbb" on a search engine. also phpBB-only
in wieweit darf ich die Zeile da unten abändern? darf ich das als Grafik da unten hinsetzen? Übersetzen?
Siehe KB:copyright
Ein weiteres Anzeichen sind viele POST-Anfragen auf ucp.php?mode=login
wie ist der Aufwand diese Datei umzubennen? Dann könnte man ucp.php nach ucp-irgendwas.php ändern. Dann erstellt man sich noch eine dummy ucp.php mir redirect auf 127.0.0.1 - für die Bots. So würde man doch die automatisch generierten Loginversuche im Sande verlaufen lassen. Hätte dann auch gleich einen Effekt aufs registrieren (läuft ja über gleiche Datei). Automatisch versuchte Anmeldungen klappen nicht mehr, weil die Datei nicht mehr existiert. Damit könnte man auch die Captchas etwas entschärfen und muss nicht das Hardcore-Programm laufen lassen - womit insbesondere ältere Mitmenschen Ihre Probleme haben ... oder auch welche die das gut lesen können ... sie oben :|
Es gibt auch Leute die noch einen Schritt weiter gehen und IP Adressen komplett sperren wenn sie auf die so umbenannte Datei trotzdem zugreifen. Hat alles seine Vor- und Nachteile. Ich habe das bei meinem alten phpBB 2 so gemacht um die Botanmeldungen zu verhindern, allerdings ist es vermutlich nicht so eine gute Idee die ganze Datei umzubenennen, ich würde da nur aus ?mode=login ?mode=karlheinzottowasauchimmer machen, die ucp.php wird an allen Ecken und Enden benutzt, der Login alleine ist da nicht so häufig. Was die Lesbarkeit des Captchas angeht - wie gesagt, du kannst ganz darauf verzichten wenn du dir ein paar Fragen für das Q & A Captcha überlegst (Captcha != Bild übrigens, die Abkürzung steht für Completely Automated Public Touring test to tell Computers and Humans Apart, kann also auch auf völlig andere Arten erfolgen) phpBB 3.0.6 bringt ja genügend Alternativen mit sich, du kannst zwischen 2D und 3D, dem Q & A, dem alten phpBB 2 Modell (nicht zu empfehlen) und ein paar anderen Captchas frei wählen.
Begegnungen mit dem Chaos sind fast unvermeidlich, Aber nicht katastrophal, solange man den Durchblick behält.
Übertreiben sollte man's im Forum aber nicht mit dem Chaos, denn da sollen ja andere durchblicken und nicht nur man selbst.

Benutzeravatar
Wuppi
Mitglied
Beiträge: 719
Registriert: 14.05.2002 23:04
Wohnort: Köln
Kontaktdaten:

Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"

Beitrag von Wuppi » 09.02.2010 16:04

Q&A Captcha hatte ich noch net gesehen. Liest sich gut - konfiguriere ich mal im Testforum - danke ;)

Das umbenennen der ucp.php scheint wirklich etwas tricky zu sein. Die wird ja scheinbar auch ins Boot geholt wenn ich auf einen Post zugreife wo ich als Gast keinen Zugriff habe. Als URL steht weiter der viewtopic.php ... von klick auf login gehts dann zur ucp.php?mode=login. Wäre also viel zum umbennen.

@Mahony: das mit den x Anmeldeversuchen ist schon richtig. Nur kostet so nen Spamzugriff jedes mal performance und traffic ;). Ist die Datei nicht mehr da und durch ein dummy ersetzt, lässt sich das minimieren. ;)) ok pimp-my-trafic-and-performance ;)).

Wg. Copyright: ok also wenn ich das richtig verstanden habe, darf ich die (c)-Zeile komplett durch eine Grafik mit gleichem Inhalt ersetzen. Oder ich ersetze nur ein Wort durch eine Grafik. Hauptsache am Ende ist der Sinn nicht verdreht - das hatte ich ja nicht vor. Nur für Suchmaschinen unlesbar bzw. unbrauchbar machen.

Antworten

Zurück zu „Community Talk“