Seite 4 von 15
Verfasst: 30.12.2005 21:04
von IPB_Flüchtling
Ahoi,
hier mal ein Zitat aus dem Oxpus-Forum:
cback hat geschrieben:Ich gebe den SkriptKiddies maximal 1 Monat für solche Scherzskripte. Einfach in die Memberlist, Adminuser raussuchen, 5 mal falsch einloggen, 30 Minuten warten, gleiches spiel von vorne. ...
Also ich sehe dieses neue Feature als größere Bedrohung als es gut machen will.
Und jetzt eines aus diesem Forum hier:
cback hat geschrieben:Ich werd mich aber in den nächsten Tagen (wenn der Updatestress hier jetzt nachgelassen hat) mal dransetzen um für CBACK CrackerTracker v4.0.2 und phpBB 2.0.19 ein Add on zu bringen, was das IP Sperrsystem mit diesem Passwortsystem kombiniert. Somit würde lediglich nach mehrmaligem fehlversuch die betreffende IP gesperrt und der echte Admin, der ja normal eine andere hat dürfte dann trotzdem erneut probieren sich einzuloggen.
Bleibt wohl nur, ganz lieb
bitte zu sagen.
Beschütze uns vor dem neuen phpbb-"Sicherheitsfeature"! 
Danke noch einmal für den CrackerTracker und einen guten Rutsch!
LG, IPB_Flüchtling
Verfasst: 30.12.2005 21:04
von ichda
Ich habe vorläufig das Teil bei mir deaktiviert, mein Nutzerpasswort hat 30 Stellen (kein Witz) und ist Kryptisch, dass sollte ein Bruteforce nicht rausbekommen ohne das ich die Trafficspitze merke.
Was meinste mit ,habe ich deaktiviert?Meinste den CT Tracker???
Verfasst: 30.12.2005 21:05
von Miroerr
http://www.phpbbhacks.com/forums/viewtopic.php?t=57791
Hier sind die Code Changes für die die manuell installieren wollen (wegen Mods usw.). Falls es nicht schon jemand gepostet hat ... allerdings werde ich erst warten bis die neue crackerTracker Version drausen ist und die deutsche phpbb 2.0.19 Version.
Verfasst: 30.12.2005 21:08
von Miroerr
Bis dahin sollte meinem 2.0.18'er ja nichts passieren *tätschel*.
Hm es gibt ja schon deutsche Files ... dann mach ich das Update wohl doch gleich.
Wo ist mein heißgeliebter edit-Button hin ?
Verfasst: 30.12.2005 21:10
von Gumfuzi
Edit gibts hier nicht
Ich werde alles einbauen, die Sperrzeit einfach mal auf 1 oder 0 setzen und dann auf das CT-Update warten.
Verfasst: 30.12.2005 21:14
von ichda
Du musst ERST update_to_latest ausführen, bevor du dich einloggen kannst...
Das ging auch nicht,da kam ne Fehlermeldung von wegen das ich keine Brechtigung habe diese auszuführen,deshalb wollte ich mich als admin einloggen,mit den bekannten Fehler....
Ich habe jetzt erstmal alle original Files wieder zurückgespielt,wenn ich das hier lese scheint ja die 19er Version ein wenig unsicher zusein
Verfasst: 30.12.2005 21:31
von East
Ich hab die Code Changes jetzt mal von Hand installiert. Folgende Sachen konnte ich allerdings nicht ersetzen:
Code: Alles auswählen
#
#-----[ OPEN ]---------------------------------------------
#
admin/admin_db_utilities.php
#
#-----[ FIND ]---------------------------------------------
# Line 696
$tables = array('auth_access', 'banlist', 'categories', 'config', 'disallow', 'forums', 'forum_prune', 'groups', 'posts', 'posts_text', 'privmsgs', 'privmsgs_text', 'ranks', 'search_results', 'search_wordlist', 'search_wordmatch', 'sessions', 'smilies', 'themes', 'themes_name', 'topics', 'topics_watch', 'user_group', 'users', 'vote_desc', 'vote_results', 'vote_voters', 'words', 'confirm');
#
#-----[ REPLACE WITH ]---------------------------------------------
#
$tables = array('auth_access', 'banlist', 'categories', 'config', 'disallow', 'forums', 'forum_prune', 'groups', 'posts', 'posts_text', 'privmsgs', 'privmsgs_text', 'ranks', 'search_results', 'search_wordlist', 'search_wordmatch', 'sessions', 'smilies', 'themes', 'themes_name', 'topics', 'topics_watch', 'user_group', 'users', 'vote_desc', 'vote_results', 'vote_voters', 'words', 'confirm', 'sessions_keys');
#
#-----[ OPEN ]---------------------------------------------
#
admin/index.php
#
#-----[ FIND ]---------------------------------------------
# Line 63
include($file);
#
#-----[ REPLACE WITH ]---------------------------------------------
#
include('./' . $file);
#
#-----[ OPEN ]---------------------------------------------
#
admin/index.php
#
#-----[ FIND ]---------------------------------------------
# Line 63
include($file);
#
#-----[ REPLACE WITH ]---------------------------------------------
#
include('./' . $file);
Ich hoffe, da ist nichts wichtiges dabei? Würde mich über Feedback sehr freuen.
Verfasst: 30.12.2005 21:32
von Mihil
Ich lasse als Sperre 30 min. eingestellt.
Wenn der Account schon gesperrt wurde, kann man das wieder ganz leicht rückgängig machen.
Ins phpMyAdmin --> Tabelle
phpbb_users auswählen --> "Anzeigen" auswählen --> User finden und dann bearbeiten (Stift) -->
user_login_tries und
user_last_login_try wieder auf 0 setzten
Fertig!
Verfasst: 30.12.2005 21:36
von Zyancali
Also ich hab den Loginpart nicht mal eingebaut...
Habe den Limit Login attempts Mod von Manipe drin, der genügt mir.
Der macht das selbe, nur eben nicht mit Sperre von Benutzern sondern mit der Sperre von IP's
Finde ich sinnvoller
Verfasst: 30.12.2005 22:02
von cback
ichda hat geschrieben:Ich habe vorläufig das Teil bei mir deaktiviert, mein Nutzerpasswort hat 30 Stellen (kein Witz) und ist Kryptisch, dass sollte ein Bruteforce nicht rausbekommen ohne das ich die Trafficspitze merke.
Was meinste mit ,habe ich deaktiviert?Meinste den CT Tracker???
Nein ich bin doch nicht lebensmüde
Ich meinte das Login System vom phpBB 2.0.19.
Mir ist übrigens eine Lösung eingefallen die IP unabhängig funktioniert, ich werd einfach ne Sicherheitsfrage einführen mit der man die Loginsperre entriegeln kann ohne in der Datenbank rumzugehen. Das alles also in den nächsten Tagen.