Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"

[nickvergessen]

Die Angriffe gingen nicht gezielt auf Admins. Der Grund dafür ist auch relativ einfach erklärbar. Die Captchas in 3.0.6 sind zu schwer, da geht es leichter per Passwort-Raten zu versuchen dahinter zukommen, als zu versuchen das "doofe" Captcha zu knacken.

[P7BB]

Der Grund dafür ist auch relativ einfach erklärbar. Die Captchas in 3.0.6 sind zu schwer, da geht es leichter per Passwort-Raten zu versuchen dahinter zukommen, als zu versuchen das "doofe" Captcha zu knacken.

Werden nicht nach einigen fehlgeschlagenden Login-Versuchen auch die Captchas angezeigt, um eben sowas zu verhindern? o.O

[wolfman24]

Nicht, wenn es nicht eingestellt ist.

[nickvergessen]

Ja im Normalfall nach 3, deswegen sieht man in den meisten Logs auch nur 2 Versuche pro Namen.

[P7BB]

Dann ist das ganze ja schon fast lächerlich... 2 zufällige Wörter pro Benutzernamen... Also das dürfte in der Tat nicht alzu viel bringen

[4seven]

phpbb.com machts schon nach einem fehlversuch..

[Wuppi]

Hi

Die Angriffe gingen nicht gezielt auf Admins. Der Grund dafür ist auch relativ einfach erklärbar. Die Captchas in 3.0.6 sind zu schwer, da geht es leichter per Passwort-Raten zu versuchen dahinter zukommen, als zu versuchen das "doofe" Captcha zu knacken.

ja sind in der tat zu schwer beim registrieren jetzt bei 2 phpBB3s schon passiert: ein eigentlich sehr einfaches, kurzes, eindeutiges Captcha - falsch. Nach ca. 30 Versuchen (verschiedene Browser/PCs, IPs ... so wg. Sperre nach x Registrierungen) hats dann endlich geklappt. Mir graust es davor bei meinem 3er das ich die Tage online bringe. Clientel ist vorwiegend älter ... freu mich schon auf die "kann mich nicht registrieren"-eMails

Edit: okay habs grad auf phpBB.com gelesen: > This attack was facilitated by a query for "powered by phpbb" on a search engine. also phpBB-only

in wieweit darf ich die Zeile da unten abändern? darf ich das als Grafik da unten hinsetzen? Übersetzen?

Ein weiteres Anzeichen sind viele POST-Anfragen auf ucp.php?mode=login

wie ist der Aufwand diese Datei umzubennen? Dann könnte man ucp.php nach ucp-irgendwas.php ändern. Dann erstellt man sich noch eine dummy ucp.php mir redirect auf 127.0.0.1 - für die Bots. So würde man doch die automatisch generierten Loginversuche im Sande verlaufen lassen. Hätte dann auch gleich einen Effekt aufs registrieren (läuft ja über gleiche Datei). Automatisch versuchte Anmeldungen klappen nicht mehr, weil die Datei nicht mehr existiert. Damit könnte man auch die Captchas etwas entschärfen und muss nicht das Hardcore-Programm laufen lassen - womit insbesondere ältere Mitmenschen Ihre Probleme haben ... oder auch welche die das gut lesen können ... sie oben :|

Alternativ könnte man die ucp.php auch lassen - allerdings wird die nur abgearbeitet wenn noch eine weitere Variable übergeben wird: ucp.php?mode=login&bot=noe ... am Anfang dann eine Abfrage: ist bot = noe? wenn nicht = redirect hölle oder so ... wenn doch, gehts normal weiter. Das bot=noe müsste ich dann überalls ins Template reinbasteln. Oder ist das umbennen der Datei dann doch die bessere Lösung?


Gruß

[Mahony]

Hallo

Mir graust es davor bei meinem 3er das ich die Tage online bringe. Clientel ist vorwiegend älter ... freu mich schon auf die "kann mich nicht registrieren"-eMails

Das verwendete Captcha kannst du im Administrations-Bereich konfigurieren (ACP - Allgemein - CAPTCHA-Modul-Einstellungen).
Tipp: Du könntest zum Beispiel das Q&A (Frage - Antwort) Captcha oder das Captcha ohne GD verwenden.

in wieweit darf ich die Zeile da unten abändern? darf ich das als Grafik da unten hinsetzen? Übersetzen?

Siehe dazu KB:copyright

wie ist der Aufwand diese Datei umzubennen? Dann könnte man ucp.php nach ucp-irgendwas.php ändern. Dann erstellt man sich noch eine dummy ucp.php mir redirect auf 127.0.0.1 - für die Bots. So würde man doch die automatisch generierten Loginversuche im Sande verlaufen lassen. Hätte dann auch gleich einen Effekt aufs registrieren (läuft ja über gleiche Datei). Automatisch versuchte Anmeldungen klappen nicht mehr, weil die Datei nicht mehr existiert. Damit könnte man auch die Captchas etwas entschärfen und muss nicht das Hardcore-Programm laufen lassen - womit insbesondere ältere Mitmenschen Ihre Probleme haben ... oder auch welche die das gut lesen können ... sie oben :|

Das kannst du dir auch sparen, da durch die Sperre nach x Anmeldeversuchen (einstellbar im ACP) sowieso Schluss ist mit Bruteforce.
Ansonsten ist der daroPL AntiSpam MOD zu empfehlen.
Der ist recht einfach einzubauen und verhindert Registrierungen von Bots zur Zeit sehr effektiv.


Grüße: Mahony

[gn#36]

Hi

Die Angriffe gingen nicht gezielt auf Admins. Der Grund dafür ist auch relativ einfach erklärbar. Die Captchas in 3.0.6 sind zu schwer, da geht es leichter per Passwort-Raten zu versuchen dahinter zukommen, als zu versuchen das "doofe" Captcha zu knacken.

ja sind in der tat zu schwer beim registrieren jetzt bei 2 phpBB3s schon passiert: ein eigentlich sehr einfaches, kurzes, eindeutiges Captcha - falsch. Nach ca. 30 Versuchen (verschiedene Browser/PCs, IPs ... so wg. Sperre nach x Registrierungen) hats dann endlich geklappt. Mir graust es davor bei meinem 3er das ich die Tage online bringe. Clientel ist vorwiegend älter ... freu mich schon auf die "kann mich nicht registrieren"-eMails

Da gibt's eine einfache Lösung: Nutze stattdessen das Frage-Antwort Spielchen und schon hast du das Problem nicht. Da du die Antworten selbst vorgibst und die Fragen auch gibt es einen beliebig großen Antwortenraum was für einen Bot sehr schwer abzudecken ist mit all seinen Facetten, aber bei den richtigen Fragen für die Nutzer sehr einfach ist. Bei einem Sportvereinsforum könnte man zum Beispiel die Mannschaft abfragen in der der Anmelder spielen möchte oder deren Fan er ist, oder vielleicht den Lieblingsspieler oder sowas. Bei einem eher technisch angehauchten Forum kann man sich vielleicht auch Fragen nach Bauteilnamen erlauben, oder aber man stellt einfache Rechenaufgaben rein. Das Spektrum ist weit und kann trotzdem einfach sein. Im Prinzip könnte man auch Fragen ähnlich den "Wer wird Millionär" Fragen nutzen - eben Dinge die jeder weiß, ein Bot aber nicht.

Edit: okay habs grad auf phpBB.com gelesen: > This attack was facilitated by a query for "powered by phpbb" on a search engine. also phpBB-only

in wieweit darf ich die Zeile da unten abändern? darf ich das als Grafik da unten hinsetzen? Übersetzen?

Siehe KB:copyright

Ein weiteres Anzeichen sind viele POST-Anfragen auf ucp.php?mode=login

wie ist der Aufwand diese Datei umzubennen? Dann könnte man ucp.php nach ucp-irgendwas.php ändern. Dann erstellt man sich noch eine dummy ucp.php mir redirect auf 127.0.0.1 - für die Bots. So würde man doch die automatisch generierten Loginversuche im Sande verlaufen lassen. Hätte dann auch gleich einen Effekt aufs registrieren (läuft ja über gleiche Datei). Automatisch versuchte Anmeldungen klappen nicht mehr, weil die Datei nicht mehr existiert. Damit könnte man auch die Captchas etwas entschärfen und muss nicht das Hardcore-Programm laufen lassen - womit insbesondere ältere Mitmenschen Ihre Probleme haben ... oder auch welche die das gut lesen können ... sie oben :|

Es gibt auch Leute die noch einen Schritt weiter gehen und IP Adressen komplett sperren wenn sie auf die so umbenannte Datei trotzdem zugreifen. Hat alles seine Vor- und Nachteile. Ich habe das bei meinem alten phpBB 2 so gemacht um die Botanmeldungen zu verhindern, allerdings ist es vermutlich nicht so eine gute Idee die ganze Datei umzubenennen, ich würde da nur aus ?mode=login ?mode=karlheinzottowasauchimmer machen, die ucp.php wird an allen Ecken und Enden benutzt, der Login alleine ist da nicht so häufig. Was die Lesbarkeit des Captchas angeht - wie gesagt, du kannst ganz darauf verzichten wenn du dir ein paar Fragen für das Q & A Captcha überlegst (Captcha != Bild übrigens, die Abkürzung steht für Completely Automated Public Touring test to tell Computers and Humans Apart, kann also auch auf völlig andere Arten erfolgen) phpBB 3.0.6 bringt ja genügend Alternativen mit sich, du kannst zwischen 2D und 3D, dem Q & A, dem alten phpBB 2 Modell (nicht zu empfehlen) und ein paar anderen Captchas frei wählen.

[Wuppi]

Q&A Captcha hatte ich noch net gesehen. Liest sich gut - konfiguriere ich mal im Testforum - danke

Das umbenennen der ucp.php scheint wirklich etwas tricky zu sein. Die wird ja scheinbar auch ins Boot geholt wenn ich auf einen Post zugreife wo ich als Gast keinen Zugriff habe. Als URL steht weiter der viewtopic.php ... von klick auf login gehts dann zur ucp.php?mode=login. Wäre also viel zum umbennen.

@Mahony: das mit den x Anmeldeversuchen ist schon richtig. Nur kostet so nen Spamzugriff jedes mal performance und traffic . Ist die Datei nicht mehr da und durch ein dummy ersetzt, lässt sich das minimieren. ) ok pimp-my-trafic-and-performance ).

Wg. Copyright: ok also wenn ich das richtig verstanden habe, darf ich die (c)-Zeile komplett durch eine Grafik mit gleichem Inhalt ersetzen. Oder ich ersetze nur ein Wort durch eine Grafik. Hauptsache am Ende ist der Sinn nicht verdreht - das hatte ich ja nicht vor. Nur für Suchmaschinen unlesbar bzw. unbrauchbar machen.