Brute Force Attacken

[markus giersch]

Hallo, ich habe da eine Frage wo ich nicht unbedingt eine Antwort erwarte, aber vieleicht mir jemand sagen kann wie man sich verhalten soll...

Mein Forum wird seit exakt gestern 23 Uhr nonstopp versucht zu knacken.
Das bedeutet jemand geht unsere gesamte Benutzerliste durch und probiert augenscheinlich Passwörter aus.
Leider ist jeder versuch ein Passwort zu knacken von einer neuen IP.

Ich habe die Captchefunktion an und nutze diese "Google Captcha".

Bisher wurden 2 Passwörter ausgespäht. Jedoch haben sich die Accounts nicht mehr regulär verhalten.
Das bedeutet derjenige hat das Passwort geknackt, sich eingeloggt und es sogar noch geschafft OHNE den User auf usnichtbar zu schalten, das der User nicht Online angezeigt wird. Das habe ich erst gesehen als ich mich als Admin angemeldet hatte. Wohlgemerkt war und ist die Einstellung die ganze Zeit auf "onlinestatus verbwergen" = "Aus".

Was kann ich denn machen? Was soll ich machen? Abwarten und Tee trinken !?

[Tetischere]

Hi
setze das Forum doch erst einmal offline! KB:gehackt

[markus giersch]

Ja gut. Das geht nicht. Du kannst ja auch nicht einfach die SPD Seite Offline setzen

Wie gesagt, die versuchen es durch ausprobieren. Wenn ich offline gehe, das sind die spätestens dann wieder da wenn wir wieder online gehen, oder?
Wäre also nur sinnvoll wenn die tatsächlich in den Adminbereich gelangt wären. Es wurde auch versucht mein Adminkonto zu hacken, jedoch habe ich da ein Passwort was Ellenlang ist und nichtmal ich kenne Also da kommen die nicht rein. Aber kann man nichts unterbinden das da jemand unentwegt versucht sich bei anderen Usern anzumelden? Nach dem 5. Versuch kommt sogar die Google Captche abfrage dazu, selbst die wird anscheinend übergangen... Ich habe zumindest erstmal alle Passwörter durch besser ersetzt von wichtigen Usern...

Es ist nur so äußert komisch, den 2 Accounts wurden gehackt, aber nichts damit gemacht, außer das die sich merkwürdig verhalten haben.

Mittlerweile findet es im 3er Logarythmus statt... Das heist wenn dann werden anscheinend gleich 3 Versuche auf einmal gestartet, dann 10 Minuten gewartet, die nächsten 3 Versuche etc...

Sieht so aus

Gast

IP: 193.138.216.157 » Whois
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
Mittwoch 29. Dezember 2010, 15:46
Befindet sich im persönlichen Bereich

Gast

IP: 209.159.142.164 » Whois
Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; SLCC1; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 1.1.4322)
Mittwoch 29. Dezember 2010, 15:46
Befindet sich im persönlichen Bereich

Gast

IP: 192.251.226.206 » Whois
Mozilla/5.0 (Windows; U; Windows NT 5.1; ro; rv:1.9.2. Gecko/20100722 Firefox/3.6.8
Mittwoch 29. Dezember 2010, 15:46
Befindet sich im persönlichen Bereich

[...]

Gast

IP: 192.251.226.205 » Whois
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-GB; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6
Mittwoch 29. Dezember 2010, 15:37
Befindet sich im persönlichen Bereich

Gast

IP: 174.36.199.201 » Whois
Mozilla/5.0 (Windows; U; Windows NT 5.1; ro; rv:1.9.2. Gecko/20100722 Firefox/3.6.8
Mittwoch 29. Dezember 2010, 15:37
Befindet sich im persönlichen Bereich

Gast

IP: 137.56.163.64 » Whois
Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)
Mittwoch 29. Dezember 2010, 15:37
Befindet sich im persönlichen Bereich

[...]



Gast

IP: 194.145.200.128 » Whois
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-GB; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6
Mittwoch 29. Dezember 2010, 15:29
Befindet sich im persönlichen Bereich

Gast

IP: 199.48.147.35 » Whois
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
Mittwoch 29. Dezember 2010, 15:29
Befindet sich im persönlichen Bereich

[...]

etc...

[Gast234254]

Stell doch im ACP den Anmeldeversuch auf -1- mal. Dann nimm die IP des Hackers und sperr die im ACP. Würde dir auf jedefall, wenn Du dies noch nicht hast, den IP Tracker empfehlen.

Gruß
Stephan

[markus giersch]

Das mit dem Versuch auf einmal umstellen ist ne Prima Idee! Habe ich sofort gemacht. Kann man ja wieder umstellen wenn es vorbei geht.

Und IP Tracker, ist das was von PHPBB? Gleich mal google was das ist.

Also ich benutze www.Utrace.de oder ist das was anderes?

[Mahony]

Hallo
IP Tracker für phpBB3

Grüße: Mahony

[markus giersch]

Das funktioniert auch mit 3.0.8 ? Weil da steht 3.0.6

[Tetischere]

Hi
aber natürlich, sonst hätte Mahony es dir nicht geschrieben!

[markus giersch]

Ja super tollalles hat 15 Minuten ruhe gehabt jetzt gehts wieder im 3er Logagrythmus weiter.
Und dieser IP Tracker, was kann der denn außer logfiles aufzeichenn und auslesen? Ich meine unser Server hat auch ein Logfile Aber irgendwas verhindern kann dieser IP Tracker nicht, oder?

Oder ist das so ne Art "Angriff" dem man einfach so ausgesetzt ist ?

[redbull254]

Hallo erstmal,

ich beobachte seit den letzten zwei Tagen auch ein verstärktes Aufkommen von Login-Versuchen.
Ich bin da aber sehr entspannt.

Seit phpBB 3.0.6 und dem Einbau des Mod Prime Birthdate Require hat es nicht ein einziger dieser „Terroristen“ geschafft eine Anmeldung durchzuziehen geschweige ins Forum zu kommen.