Einbrecher unterwegs

winelady schrieb:

.. Ukraine, Weißrußland und Kazachstan ...

Du, die können auch aus Bremen sein, ist nur ne Sache der Verschleierung.
da hilft ne firewall mit ip blacklisting im system!

Hallo,

egal, wo sie herkommen – ich habe den Loginbereich mit der .htaccess mit einer IP-Verifizierung inzwischen völlig dicht gemacht, sodaß der Zugriff nur noch über unsere IP möglich ist.

Gruß
winelady

Guten Morgen Winelady und Forum Mitglieder, vor einiger Zeit stellten wir fest, das die Besucherzahlen von durchschnittlich 1000 auf das Zehnfache angestiegen sind, immer wieder die gleichen IP Adressen aus Russland und China. Diese sperrten wir dann in der htaccess und siehe da, es normalisierte sich wieder. Dabei blieb der Admin Bereich verschont. Ich würde gern, wenn es Euch nichts ausmacht mehr darüber erfahren wie das mit dem dicht machen über die htaccess und
IP Verifizierung geht. So dass der Zugriff im Admin Bereich nur noch über die eigene IP geht würde mich sehr interessieren.

Gruß
Axel

Hallo Axel,

hier findest Du eine detaillierte Anleitung:

thomas-leister.de/allgemein/wordpress-login-auf-bestimmte-ips-beschraenken-und-botnetz-aussperren/

Diese Ip-Bereichs-Sperren sind mehr oder weniger nutzlos.
Ein geübter Spass-Macher kommt ohne weiteres an einen IP-Bereich der nicht auf "Übersee" schließen lässt.

Zweites Ärgernis bei festen IP-Bereichen, man ist unterwegs und möchte schnell eine Kleinigkeit ändern und man verfügt nicht über den passenden IP-Bereich.

Das Sicherheitsgefühl ist hier wirklich nur ein Gefühl.

Den Eigentlichen Zugang erhält man in der Regel durch die richtige Eintragung in die Password-Abfrage. Hier sollte man auch ansetzen. Bei hierarchischer Betrachtung einer Webseite vom Low-Level zum High-Level hat man mehrere Möglichkeiten.

Low-Level:

Jeder fehlerhafte Login-Versuch von einer IP wird in einen Datenbank-Table eingetragen. Sollten mehrere fehlerhafte Versuche eingetragen sein, sperrt das "CMS" weitere Login-Versuche.
Das ist eher die "Billig-Variante"

ein paar System-Level oberhalb (php->apache->system[software ausserhalb des apaches und des php-user]) sollte Fail2ban installiert sein.

Fail2ban ist mit der System-Firewall verbunden und sollte meiner Meinung nach, auf keinem Server fehlen. Zumal Fail2ban ohnehin auch fehlerhafte E-Mail Logins abfängt und notfalls den Server sperrt.

..also einfach das CMS mehr oder weniger an fail2ban binden bzw. das CMS als Lieferant von nicht erlaubten login-Versuchen einstellen.

hatte hier auf die Schnelle ein Tutorial gefunden.

tscadfx.com/wordpress-login-security-fail2ban/

Hallo Roman,

wow, das sind etliche gute Tips, vielen Dank!

romacron schrieb:
Diese Ip-Bereichs-Sperren sind mehr oder weniger nutzlos. Ein geübter Spass-Macher kommt ohne weiteres an einen IP-Bereich der nicht auf "Übersee" schließen lässt.

Zweites Ärgernis bei festen IP-Bereichen, man ist unterwegs und möchte schnell eine Kleinigkeit ändern und man verfügt nicht über den passenden IP-Bereich.

Zumindest ist die IP-Sperre eine von mehreren Hürden. Daß man sich von unterwegs selbst aussperrt, kann in der Tat ein Problem sein, bei mir trifft dies glücklicherweise weniger zu.

Den Eigentlichen Zugang erhält man in der Regel durch die richtige Eintragung in die Password-Abfrage. Hier sollte man auch ansetzen. Bei hierarchischer Betrachtung einer Webseite vom Low-Level zum High-Level hat man mehrere Möglichkeiten.

Eine weitere Hürde, die ich für unverzichtbar halte.

Low-Level:
Jeder fehlerhafte Login-Versuch von einer IP wird in einen Datenbank-Table eingetragen. Sollten mehrere fehlerhafte Versuche eingetragen sein, sperrt das "CMS" weitere Login-Versuche.
Das ist eher die "Billig-Variante"

Für Wordpress bringt hier das Plugin Limited Login Attempts schonmal ein Hindernis. Natürlich sollte der Admin weder Admin noch wie der Autorenname heißen.
Ein zusätzliches .htaccess-Paßwort vor der login.php finde ich außerdem nützlich. Auch hier ein nicht leicht erratbarer Username und nicht gerade 123456 als Paßwort.

[/quote]ein paar System-Level oberhalb (php->apache->system[software ausserhalb des apaches und des php-user]) sollte Fail2ban installiert sein.

Fail2ban ist mit der System-Firewall verbunden und sollte meiner Meinung nach, auf keinem Server fehlen. Zumal Fail2ban ohnehin auch fehlerhafte E-Mail Logins abfängt und notfalls den Server sperrt.
[/quote]

Muß das der Hoster installieren?

Gruß
winelady

Hallo Hildegard,

Zugriff auf das CMS

auch beim Hacken gilt es effizient zu sein. So bringt es relativ wenig Erfolg sich über einen User oder Admin-Account Zugang zu verschaffen. Der Angreifer steckt da nur in einem Low-Level und muss mühsam versuchen irgendwelche Steuerungs-Scripte auf den Server zu laden. Zugang zum CMS heißt nicht unbedingt, dass man ausreichend Schreibzugriff auf die Dateien hat. Der Schreibzugriff ist eher ein lohnendes Ziel.

Zugriff auf das Datei-System

Schneller und erfolgreicher geht es mit Sicherheitslücken. Im Falle das eine Sicherheitslücke bekannt oder gefunden wurde, muss man nur auf diese Lücke testen. Besteht die Sicherheitslücke oder eben nicht. Nicht geschlossene Sicherheitslücken oder Update-Scheue des Admins sind meiner Meinung nach, die meisten erfolgreichen Einbrüche auf "normal-Webseiten".

Fazit: Login-protection ist wichtig, löst meist die Sicherheitsprobleme nicht.(ich weiß, dass du es weißt )

Zu Fail2ban:

Der Root-User muss fail2ban installieren. Ob das der Hoster auch ohne weiteres macht, keine Ahnung.

Hallo Roman,

danke für die weiteren Erklärungen. Ich würde zu gerne ein wenig "Hacken für Anfänger" lernen, um Lücken besser erkennen zu können. Willste nicht mal einen netten Wochenend-Lehrgang anbieten? :mrgreen:

romacron schrieb:

Fazit: Login-protection ist wichtig, löst meist die Sicherheitsprobleme nicht.(ich weiß, dass du es weißt )

An dem bewußten Tag gab es über 3000 Zugriffsversuche auf die WP-Loginseite – nach der IP-Sperre war jedenfalls Ruhe im Karton.

romacron schrieb:

Zu Fail2ban:
Der Root-User muss fail2ban installieren. Ob das der Hoster auch ohne weiteres macht, keine Ahnung.

Glücklicherweise habe ich ja einen 1. kleinen, 2. persönlich erreichbaren und 3. sehr sicherheitsbewußten Hoster. Insofern frage ich ihn einfach und würde mich sehr wundern, wenn er erwas gegen weitere Sicherheit hat.

Gruß
Hildegard