Brute Force Attacken

[Mahony]

Hallo
Wie kommst du darauf, dass Accounts deines Boards gehackt worden sind? Aus den Logs von dir kann ich nur entnehmen, dass bestimmte Seiten aufgerufen wurden. Genau das machen alle Bots auch. Es bedeutet aber noch lange nicht, dass sie auch Zugriff auf eine Seite haben. Siehe dazu auch KB:gast_pn

Und dieser IP Tracker, was kann der denn außer logfiles aufzeichenn und auslesen? Ich meine unser Server hat auch ein Logfile Aber irgendwas verhindern kann dieser IP Tracker nicht, oder?

Beschreibung: Der Ip Tracker loggt alle Zugriffe auf dein Forum. Es werden die Ip Adresse, Zugriffszeit, angeforderte Seite, Referer, Browserkennung, Benutzername und der Benutzertype (Gast, Bot, Benutzer, Admin) geloggt.

Grüße: Mahony

[markus giersch]

Ich schalte jeden neu registrierten User sowieso manuell frei...
Dieser Mod wäre also sinnvoll wenn sich die Leute bei mir registrieren wollen, die wollen sich aber nicht registrieren, sondern sich in die vorhanden Accounts einloggen.

Und weshalb gehackt wurde

Bisher wurden 2 Passwörter ausgespäht. Jedoch haben sich die Accounts nicht mehr regulär verhalten.
Das bedeutet derjenige hat das Passwort geknackt, sich eingeloggt und es sogar noch geschafft OHNE den User auf usnichtbar zu schalten, das der User nicht Online angezeigt wird. Das habe ich erst gesehen als ich mich als Admin angemeldet hatte. Wohlgemerkt war und ist die Einstellung die ganze Zeit auf "onlinestatus verbwergen" = "Aus".

Das waren Accounts wo nur ich die Passwörter kenne.

Ich beobachte Live

[Mahony]

Hallo

Dieser Mod wäre also sinnvoll wenn sich die Leute bei mir registrieren wollen

Nein, denn der MOD loggt ja auch alle Zugriffe die sonst so in deinem Board stattfinden. Dazu muss derjenige, der da zugreift auch nicht Mitglied in deinem Board sein oder angemeldet sein.

P.S. Unter Angeforderte Seite / Referer kannst du zum Beispiel sehen, welche Get-Parameter versucht wurden zu übergeben.

Grüße: Mahony

[redbull254]

Na ja, es gibt Passwörter die sind recht einfach gestrickt und deshalb simpel zu knacken.
Dazu gibt es genug „Generatoren“ im Netz mit denen die KIddys jeden Tag spielen.

Wenn Du Dir mit einem Passwort-Generator ein 12-stelliges Passwort incl. Sonderzeichen erstellen lässt (und Deine Mitglieder das auch machen) kannst Du diese Versuche doch entspannt betrachten.

Du kannst mit den Dir schon vorgeschlagenen Möglichkeiten solche Versuche nur erschweren, verhindern jedoch nie.

[markus giersch]

OK. Ich denke man muss dann damit leben und hoffen das nun alles passt. Ich meine wenn es passt dann können die es ja so oft versuchen wie die wollen

P.S. Unter Angeforderte Seite / Referer kannst du zum Beispiel sehen, welche Get-Parameter versucht wurden zu übergeben.

Ja sehe ich aber auch im Serverlogfile, oder? Ich meien was bringt es mir zu wissen was da stand (ich weis es eh) oder was die gemacht haben? Ich meine ich sehe es, ich brauche es nicht noch schwarz auf weiss. Oder kann dieser IP Tracker automatisch IPs sperren wenn eine IP sich versucht 3 mal vergeblich einzuloggen - oder ähnliches. Steht nichts da. Wenn doch, dann haue ich mir den sofort rein. Aber um die Logfiles auszulesen brauche ich den nicht. dazu schaue ich einfach in die Serverlogfiles. Die lese ich wie ein Buch.

Danke. Werde berichten falls sich irgendwas ändert oder etwas passiert.

coole Besucher aufeinmal

Gast
IP: 62.47.222.223 » Whois
Mozilla/5.0 (Windows; U; Windows NT 6.1; de) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/8.0.552.224 Chrome anonymized by Abelssoft 1522242354

[Mahony]

Hallo

Ja sehe ich aber auch im Serverlogfile, oder? Ich meien was bringt es mir zu wissen was da stand (ich weis es eh) oder was die gemacht haben? Ich meine ich sehe es, ich brauche es nicht noch schwarz auf weiss

Ja, in diesem Falle ist der MOD wohl eher nichts für dich. Der MOD ist vor allem für diejenigen gedacht, die keinen Zugriff auf Logfiles haben und dennoch die Infos benötigen.

Oder kann dieser IP Tracker automatisch IPs sperren wenn eine IP sich versucht 3 mal vergeblich einzuloggen

Nein, diese Funktion hat der MOD nicht.

Grüße: Mahony

[Charlie_M]

Ich muss mich leider anschließen. Unser Forum steht seit heute morgen (davor hab ich gepennt ) unter den Brute-Force "Versuchen"

Sollte man die User das PW vorsichtshalber ändern lassen?
Die IP zu sperren macht keinen Sinn - die ändert sich ja so gut wie jede Minute.

[markus giersch]

Weil mir alle gesagt ham ich soll doch mal den IP Tracker reinhauen habe ichs mal trotz alle dem gemacht.

Nun sieht es so aus (eigentlich genau das was ich sagte)

66.230.230.230 Mittwoch 29. Dezember 2010, 19:15 Anonymous /ucp.php?mode=login
Referer: http://www.xxx.de/ucp.php?mode=login Mozilla/4.0 (compatible; ... CLR 2.0.50727)

93.115.241.2 Mittwoch 29. Dezember 2010, 19:15 Anonymous /ucp.php?mode=login
Referer: http://www.xxx.de/ucp.php?mode=login Mozilla/5.0 (compatible; ... CLR 3.0.04320)

93.115.241.2 Mittwoch 29. Dezember 2010, 19:15 Anonymous /ucp.php?mode=login
Referer: http://www.xxx.de/ucp.php?mode=login Mozilla/5.0 (Windows; U; ...4 Firefox/3.6.9

kann man einfach das login in einloggen ändern?! (da in der url steht doch ...?mode=login daraus ein ?mode=einloggen machen?

[modernist]

Zur Not könnte man auch ganze IP-Bereiche per htaccess sperren, falls die alle aus dem Ausland (VR China, USA etc.) kommen. Ich habe die genannten IPs jetzt nicht nachgeschaut.

Oder gibt's sonst eine Gemeinsamkeit? Bestimmte Useragents, die real kaum vorkommen?

[Charlie_M]

Was ich gesehen habe verwenden die teilw. Tor, Anonymizer & Co. Die Ip-Range ist jedesmal unterschiedlich, einen bestimmten Bereich (wenn auch temporär) auszuschließen ist so gut wie unmöglich.

An die Sperre hatte ich zuerst gleich gedacht.