Brute-Force-Angriffe auf phpBB-Boards

[PhilippK]

Hallo zusammen,

in der letzten Woche konnten vermehrt Angriffsversuche auf phpBB-Boards festgestellt werden. Dabei wurde versucht, die Passwörter von Benutzers durch Probieren zu knacken. Weitere Informationen finden sich in der Meldung auf phpBB.com: http://www.phpbb.com/community/viewtopi ... &t=1947925

phpBB 3 hat verschiedene Schutzmechanismen, um solche Angriffe abzuwehren. Dazu zählt insbesondere die Funktion, die nach einer bestimmten Anzahl von erfolglosen Anmeldeversuche die Eingabe eines Sicherheitscode (CAPTCHA) erforderlich machen. Auch die Nutzung der Möglichkeit, neu registrierten Benutzern den Zugang zur Mitgliederliste zu untersagen, kann entsprechende Angriffe erschweren. Es wird daher empfohlen, die entsprechenden Einstellungen zu überprüfen.

Wir werden in den kommenden Tagen weitere Informationen veröffentlichen. Bis dahin sein auf die oben verlinkte Ankündigung verwiesen. Bei Fragen könnt ihr ggf. das Forum phpBB 3.0: Administration und Benutzung nutzen.

Viele Grüße,

Philipp

[PhilippK]

Diskussionen zu dieser Bekanntmachung sind im Thema Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards" willkommen.

[PhilippK]

Für die, die der englischen Sprache nicht mächtig sind, noch ein paar weitere Hinweise:

Wie erfolgt der Angriff?
Die Angreifer durchsuchen Suchmaschinen nach dem Text "powered by phpBB", der sich in der Fußzeile jedes Forums befindet. Die Angreifer haben sich dann ein Konto für das jeweilige Board zugelegt und mit diesem dann die Mitgliederliste genutzt, um automatsich Benutzernamen zu extrahieren. Bei diesen Benutzerkonten wurde dann versucht, mit häufig verwendeten Passwörtern Zugriff auf das Konto zu erlangen. Es wurde bei den Angriffe nicht versucht, die visuelle Bestätigung zu kancken.

Woran erkannt man einen Angriff auf das eigene Board?
Folgende Faktoren können auf einen entsprechenden Angriff hindeuten:

• Die Mitglieder des Boards müssen bei der Anmeldung einen CAPTCHA-Code eingeben, obwohl es zuvor keine erfolglosen Anmeldungen gab.
• Eine erhöhte Server-Last kann auf entsprechende automatische Angriffe hindeuten
• Ein weiteres Anzeichen sind viele POST-Anfragen auf ucp.php?mode=login

Was kann zum Schutz gegen entsprechende Angriffe unternommen werden?
phpBB bietet verschiedene Funktionen, die entsprechende Angriffe erschweren. Ihr solltet folgende Optionen prüfen:

• In den Registrierungs-Einstellungen (und in den CAPTCHA-Modul-Einstellungen) könnt Ihr festlegen, nach wie vielen fehlerhaften Anmeldeversuchen der Benutzer seine Anmeldung mit einem Bestätigungscode verifizieren muss. Hier ist eine Einstellung von 3 Versuchen zu empfehlen.
• Des weiteren könnt Ihr die Mitgliederliste für neu registrierte Benutzer sperren. In den Registrierungseinstellungen könnt Ihr festlegen, dass neu registrierte Benutzer erst einmal in eine spezielle Gruppe aufgenommen werden. Dieser Gruppe "Berechtigungen setzen" könnt ihr dann in der Rechteverwaltung den Zugriff auf die Mitgliederliste verbieten.
• Entsprechende Angriffe werden des weiteren dadurch erschwert, wenn ihr entsprechende Vorgaben bezüglich der Länge und der Komplexität von Passwörtern macht. Diese sind ebenfalls in den Registrierungs-Einstellungen zu finden.