Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"

[redbull254]

Hallo erstmal,

Das komische die Nicks gibts bei mir nicht mal.

Hallo,

ich würde da vermuten, dass es eher nicht geglückte Spamanmeldungsversuche sind.

Ich habe seit heute Nacht auch ca. 40 Login-Fehlerversuche. Nur aus Interesse, mir fällt keine Idee ein, wie man Spam-Bot-Belästigungen von von einem Brute-Force-Angriff unterscheiden kann.

Wobei mir dabei eigentlich nur wichtig ist, das es keinem gelinkt, ins Forum zu kommen.

[kiafreund]

Hallo,

hm, ich denke, bei einem Brute-Force-Angriff hätte man mehr als 40 Login-Versuche.

Wenn ich das Thema "Brute-Force" bei Wiki richtig verstanden habe, wird hier basierend auf einem existierenden Benutzernamen das Passwort ausgetestet. Müsste man dann nicht also unter ein und der selben Benutzeranmeldung "unendlich" viele Anmeldungsversuche im Protokoll sehen?

Ich vermute auch, daß es sich bei den 40 Login-Versuchen i.d.R. um Spammer/Spambots handelt.
Genauso wie in dem Beitrag von Schattentraum....
der NobelC... hat uns gestern auch besucht, und sogar unter der gleichen IP-Adresse sein Glück versucht...)
No chance, da wir Registrierungen manuell freischalten.

Mein persönlicher Tipp: Google einfach mal schnell die Anmeldenamen der Phantom-User...meistens findest Du die schon in den einschlägigen Anti-Spam-Listen wieder...

Eine Frage an die Profis: das phpbb hat als standardeinstellung für Maximale Anzahl an Anmeldeversuchen die 3 eingetragen. Gilt das nur für hintereinanderfolgende Anmeldungen an einem Tag? Würde das erklären, daß die Spammies immer nur 2 versuchte Anmeldungen hintereinander versuchen.?

Danke und Grüsse vom Lernenden..)

[Night Shaddow]

Müsste man dann nicht also unter ein und der selben Benutzeranmeldung "unendlich" viele Anmeldungsversuche im Protokoll sehen?

Wo finde ich diese Protokoll???

[Metzle]

Hallo,

das findest du nur, wenn du die entsprechende Mod dazu installiert hast: http://startrekguide.com/community/view ... 127&t=7059

[P7BB]

Es gibt doch viele gute Mod-Programmierer... Warum schreibt also keiner etwas, was alle phpbb3-Foren miteinander verlinkt, sodass diese sich gegenseitig automatisch über Brute-Force-Angriffe "aufklären" und zum Beispiel die fehlgeschlagenden anmelden "offenlegen", sofern 3 mal die Anmeldung hintereinander fehlgeschlagen ist.
Also Beispiel:
User x gibt falsches kennwort ein. -> Nichts passiert erstmal. -> user x gibt danach richtiges kennwort ein -> alles ok.
User y gibt falsches kennwort ein. -> user y gibt zum 2. mal falsches kennwort ein. -> user y gibt zum 3. mal falsches kennwort ein -> alle 3 falschen kennwörter werden aufgelistet und mit anderen foren mit demselbem mod ausgetauscht. Das ganze bräuchte sowas, wie ein "Master-Forum", aber notfalls kann sowas ja schon ober funpic oder sowas laufen, weil dort wirklich nur die adressen von foren mit diesem mod automatisch eingetragen werden müssen und von anderen foren ausgelsen werden, um mit den entsprechenden foren immer zu "kommunizieren". Oder etwas komplizierter:
Forum x kontaktiert Forum y und überprüft die "zu-kontaktieren-liste" von forum y. Danach fügt forum x automatisch zur eigenen liste das "neue" forum hinzu. umgekehrt fügt forum y aber auch forum x hinzu, sofern es noch nicht geschehen ist. So sind die foren-listen auf alle foren ausgelagert und man hat keine probleme durch serverausfälle von denn kostenlosen hostern oder evtl. sogar einen hackangriff auf den ftp des "master-servers"...

Achja: In den weiteren Schritten wird der IP-Kreis des Brute-Force-Programmes sofort gesperrt, wenn zum 2. mal ein kennwort eingetippt wird, dass in der liste drinsteht. (Einmal könnte ja noch zufall sein... aber selbst das ist unwahrscheinlich )

Also ich denke, solche "Netze" sind die einzige Möglichkeit, dass man sowas mehr oder weniger verhindern kann, oder zumindest die Chancen auf Erfolge senken kann.


Aber ich hab auch noch eine Frage: Was passiert mit den entsprechenden Foren? Wird dort rumgespammt oder was? weil ein einzelnder account nützt einem sonst ja nichts (es sei denn, der account is der vom admin )

[sepp71]

@redbull:

Ich habe seit heute Nacht auch ca. 40 Login-Fehlerversuche. Nur aus Interesse, mir fällt keine Idee ein, wie man Spam-Bot-Belästigungen von von einem Brute-Force-Angriff unterscheiden kann.

Wobei mir dabei eigentlich nur wichtig ist, das es keinem gelingt, ins Forum zu kommen.

Ich würde meinen, dass man Brute Force schon zahlenmäßig bemerkt.
Außerdem würde ich erwarten, dass sich das auf existierende Benutzernamen bezieht, mit der Folge, dass man als Admin vielleicht auch mal Beschwerden real existierender Kontobesitzer bekommt (die sehen das doch zumindest an der Captcha-Abfrage beim Login, oder?)

Wie immer bei der Nabelschau fallen einem jetzt aber Dinge auf, die man vorher nicht bemerkt hat:
Bei mir werden nun (seit ich vor ein paar Tagen besagte Mod. installiert habe) in schöner Regelmäßigkeit die Anmeldeversuche all jener Bots geloggt, die während der Registrierung schon am Captcha (Recaptcha) gescheitert waren. Die entsprechenden Benutzerkonten (z. B. pqrs340 mit seiner Reklame für die Welt des Kriegshandwerks) waren nie aktiviert, sind deshalb routinemäßig gelöscht worden - und jetzt sieht man auch, wozu das gut war: Ganz unübersehbar versuchen diese (üblichen) Bots, ihre Konten zu benutzen und sich zu diesem Zwecke einzuloggen. Das Ganze geschieht von verschiedenen IPs aus, so dass eine Sperrung vermutlich mehr Ärger als nutzen bringen würde.
Was sie dann im Forum unternehmen würden, ist wohl weiterhin spekulativ: E-Mail-Adressen suchen, Signaturspam anbringen etc. Wenn man nach dem obigen Nick-Beispiel sucht, sieht man, wie erfolgreich man damit scheinbar sein kann.

Gruß
Sepp

[gn#36]

Es gibt doch viele gute Mod-Programmierer... Warum schreibt also keiner etwas, was alle phpbb3-Foren miteinander verlinkt, sodass diese sich gegenseitig automatisch über Brute-Force-Angriffe "aufklären" und zum Beispiel die fehlgeschlagenden anmelden "offenlegen", sofern 3 mal die Anmeldung hintereinander fehlgeschlagen ist.
Also Beispiel:
User x gibt falsches kennwort ein. -> Nichts passiert erstmal. -> user x gibt danach richtiges kennwort ein -> alles ok.
User y gibt falsches kennwort ein. -> user y gibt zum 2. mal falsches kennwort ein. -> user y gibt zum 3. mal falsches kennwort ein -> alle 3 falschen kennwörter werden aufgelistet und mit anderen foren mit demselbem mod ausgetauscht.

Ist nicht nur Blödsinn, sondern auch ein Sicherheitsrisiko. Denn kannst du Ausschließen dass es vielleicht wirklich ein User ist der sich nicht mehr genau an sein Passwort erinnert? Vielleicht probiert er "PasswOrt" und "PaSSwort" und "Paswort" aus und erst danach fällt ihm wieder ein, dass es eigentlich "Passwort" sein müsste. Jetzt hast du aber schon seine drei fast richtigen Varianten mit nur kleiner Variation an X Foren geschickt - wer garantiert dir dass da nicht einer dabei ist der nur die Daten abgreift und durch scharfes Hinsehen (oder mit einem entsprechend cleveren Algorithmus) die Passwörter rät? Abgesehen davon hast du möglicherweise ein Datenschutzproblem wenn du einfach dir anvertraute Daten in alle Welt herausgibst. So lieferst du dem Hacker die Daten die er braucht und sonst aufwändig durch einen Lauschangriff aufwändig beschaffen müsste gerade zu auf dem Silbertablett, er kann sich einfach als betroffenes Forum anmelden und die Daten verwenden.

Aber ich hab auch noch eine Frage: Was passiert mit den entsprechenden Foren? Wird dort rumgespammt oder was? weil ein einzelnder account nützt einem sonst ja nichts (es sei denn, der account is der vom admin )

Bisher passiert noch nichts, denn wie schon weiter oben und in der Ankündigung erwähnt gab es zwar Angriffe, aber bisher keine bekannten Erfolge, d.h. die Schutzwirkungen von phpBB sind ausreichend. Abgesehen davon hilft ein einzelner Account schon was, denn der hat i.d.R. Zugriff auf die Mitgliederliste, z.T. inklusive Email Adressen die dann fürs Spamming benutzt werden können.

[P7BB]

Ich geb zu, dass meine Variante nicht gerade die beste Idee ist, aber ich denke, es ist besser, wenn man so ein Sicherheitssystem irgendwie einbaut...

Zu den Spammails: Es könnte sich doch dann ein normaler Spambot anmelden... Wozu also der aufwand eines Brute-Force-Angriffs?

[gn#36]

Weil ein "normaler" Account den ein Spambot bekommen würde weniger Rechte hat als ein Admin nehme ich an.

Was deine Modidee angeht würde ich dir da nochmals wiedersprechen. Die grundlegende Idee ist nicht sicher durchführbar, wenn du mehrere Foren einbeziehst leidet die Sicherheit wie oben beschrieben, wenn du es nicht tust ist jeder Angreifer für jedes Forum neu und damit der Schutz entweder unwirksam oder unsicher.

[Mahony]

Hallo

Wozu also der aufwand eines Brute-Force-Angriffs?

Was meinst du wohl, könnte man mit Name und Passwort eines Administrator-Accounts so alles anfangen?
Richtig - so gut wie alles.
Ein Spambot-Account ist nicht das gleiche wie ein gehackter Account, denn darauf läuft eine Brute-Force Attake schließlich hinaus.



Grüße: Mahony