winelady
Themenersteller
Kauffrau
Content Halbgott (862 Beiträge)

Einbrecher unterwegs

am 19.12.2013, 15:05 Uhr eröffnete winelady folgenden Thread
Wordpress    1991 mal gelesen    8 Antwort(en).

Hallo zusammen,

heute scheinen rührige Blog-Einbrecher, vor allem mit IP-Nummern aus der Ukraine, Weißrußland und Kazachstan unterwegs zu sein … haben diejenigen unter Euch, die Wordpress verwenden, auch so eine Welle zu verzeichnen?

Gruß
winelady


Weinvielfalt aus dem Weingut Fuchs
Fremdsprachensatz

webart_workers
Avatar webart_workers
Mediengestalter
Content Halbgott (512 Beiträge)
am 19.12.2013, 16:54 Uhr schrieb webart_workers

winelady schrieb:

.. Ukraine, Weißrußland und Kazachstan ...



Du, die können auch aus Bremen sein, ist nur ne Sache der Verschleierung.
da hilft ne firewall mit ip blacklisting im system!


Joomla Webdesign Freiburg, Lörrach, Basel - SEO/SEM - Support - Security - Schulungen: webart-workers | joomla services
Joomla Portfolio: [url="http://www.webart-workers.de/portfolio/webdesi

winelady
Kauffrau
Content Halbgott (862 Beiträge)
am 19.12.2013, 17:23 Uhr schrieb winelady

Hallo,

egal, wo sie herkommen – ich habe den Loginbereich mit der .htaccess mit einer IP-Verifizierung inzwischen völlig dicht gemacht, sodaß der Zugriff nur noch über unsere IP möglich ist.

Gruß
winelady


Weinvielfalt aus dem Weingut Fuchs
Fremdsprachensatz

axeljanaschke
Versicherungsfachmann
Fortgeschrittener (90 Beiträge)
am 20.12.2013, 06:27 Uhr schrieb axeljanaschke

Guten Morgen Winelady und Forum Mitglieder, vor einiger Zeit stellten wir fest, das die Besucherzahlen von durchschnittlich 1000 auf das Zehnfache angestiegen sind, immer wieder die gleichen IP Adressen aus Russland und China. Diese sperrten wir dann in der htaccess und siehe da, es normalisierte sich wieder. Dabei blieb der Admin Bereich verschont. Ich würde gern, wenn es Euch nichts ausmacht mehr darüber erfahren wie das mit dem dicht machen über die htaccess und
IP Verifizierung geht. So dass der Zugriff im Admin Bereich nur noch über die eigene IP geht würde mich sehr interessieren.

Gruß
Axel




Kämpfe für Deine Träume bis diese sich erfüllen oder höre auf zu Träumen!!!
Mehr über mich findet Ihr unter :https://www.arag-partner.de/axel-janaschke/ueber-mich/

winelady
Kauffrau
Content Halbgott (862 Beiträge)
am 20.12.2013, 06:50 Uhr schrieb winelady

Hallo Axel,

hier findest Du eine detaillierte Anleitung:

thomas-leister.de/allgemein/wordpress-login-auf-bestimmte-ips-beschraenken-und-botnetz-aussperren/



Funktioniert wunderbar.

Gruß
winelady


Weinvielfalt aus dem Weingut Fuchs
Fremdsprachensatz

romacron
JDev Xer
Content Gott (1224 Beiträge)
am 21.12.2013, 12:05 Uhr schrieb romacron

Diese Ip-Bereichs-Sperren sind mehr oder weniger nutzlos.
Ein geübter Spass-Macher kommt ohne weiteres an einen IP-Bereich der nicht auf "Übersee" schließen lässt.

Zweites Ärgernis bei festen IP-Bereichen, man ist unterwegs und möchte schnell eine Kleinigkeit ändern und man verfügt nicht über den passenden IP-Bereich.

Das Sicherheitsgefühl ist hier wirklich nur ein Gefühl.

Den Eigentlichen Zugang erhält man in der Regel durch die richtige Eintragung in die Password-Abfrage. Hier sollte man auch ansetzen. Bei hierarchischer Betrachtung einer Webseite vom Low-Level zum High-Level hat man mehrere Möglichkeiten.

Low-Level:

Jeder fehlerhafte Login-Versuch von einer IP wird in einen Datenbank-Table eingetragen. Sollten mehrere fehlerhafte Versuche eingetragen sein, sperrt das "CMS" weitere Login-Versuche.
Das ist eher die "Billig-Variante"

ein paar System-Level oberhalb (php->apache->system[software ausserhalb des apaches und des php-user]) sollte Fail2ban installiert sein.

Fail2ban ist mit der System-Firewall verbunden und sollte meiner Meinung nach, auf keinem Server fehlen. Zumal Fail2ban ohnehin auch fehlerhafte E-Mail Logins abfängt und notfalls den Server sperrt.

..also einfach das CMS mehr oder weniger an fail2ban binden bzw. das CMS als Lieferant von nicht erlaubten login-Versuchen einstellen.

hatte hier auf die Schnelle ein Tutorial gefunden.

tscadfx.com/wordpress-login-security-fail2ban/



Ob die Details auf der Seite stimmen, kann ich nicht genau sagen. Die selbe Stratgie ein wenig anders, verwende ich ebenso.

vg




winelady
Kauffrau
Content Halbgott (862 Beiträge)
am 21.12.2013, 18:07 Uhr schrieb winelady

Hallo Roman,

wow, das sind etliche gute Tips, vielen Dank!

romacron schrieb:
Diese Ip-Bereichs-Sperren sind mehr oder weniger nutzlos. Ein geübter Spass-Macher kommt ohne weiteres an einen IP-Bereich der nicht auf "Übersee" schließen lässt.

Zweites Ärgernis bei festen IP-Bereichen, man ist unterwegs und möchte schnell eine Kleinigkeit ändern und man verfügt nicht über den passenden IP-Bereich.



Zumindest ist die IP-Sperre eine von mehreren Hürden. Daß man sich von unterwegs selbst aussperrt, kann in der Tat ein Problem sein, bei mir trifft dies glücklicherweise weniger zu.

Den Eigentlichen Zugang erhält man in der Regel durch die richtige Eintragung in die Password-Abfrage. Hier sollte man auch ansetzen. Bei hierarchischer Betrachtung einer Webseite vom Low-Level zum High-Level hat man mehrere Möglichkeiten.



Eine weitere Hürde, die ich für unverzichtbar halte.

Low-Level:
Jeder fehlerhafte Login-Versuch von einer IP wird in einen Datenbank-Table eingetragen. Sollten mehrere fehlerhafte Versuche eingetragen sein, sperrt das "CMS" weitere Login-Versuche.
Das ist eher die "Billig-Variante"


Für Wordpress bringt hier das Plugin Limited Login Attempts schonmal ein Hindernis. Natürlich sollte der Admin weder Admin noch wie der Autorenname heißen.
Ein zusätzliches .htaccess-Paßwort vor der login.php finde ich außerdem nützlich. Auch hier ein nicht leicht erratbarer Username und nicht gerade 123456 als Paßwort.

[/quote]ein paar System-Level oberhalb (php->apache->system[software ausserhalb des apaches und des php-user]) sollte Fail2ban installiert sein.

Fail2ban ist mit der System-Firewall verbunden und sollte meiner Meinung nach, auf keinem Server fehlen. Zumal Fail2ban ohnehin auch fehlerhafte E-Mail Logins abfängt und notfalls den Server sperrt.
[/quote]

Muß das der Hoster installieren?

Gruß
winelady


Weinvielfalt aus dem Weingut Fuchs
Fremdsprachensatz

romacron
JDev Xer
Content Gott (1224 Beiträge)
am 22.12.2013, 09:18 Uhr schrieb romacron

Hallo Hildegard,

Zugriff auf das CMS

auch beim Hacken gilt es effizient zu sein. So bringt es relativ wenig Erfolg sich über einen User oder Admin-Account Zugang zu verschaffen. Der Angreifer steckt da nur in einem Low-Level und muss mühsam versuchen irgendwelche Steuerungs-Scripte auf den Server zu laden. Zugang zum CMS heißt nicht unbedingt, dass man ausreichend Schreibzugriff auf die Dateien hat. Der Schreibzugriff ist eher ein lohnendes Ziel.

Zugriff auf das Datei-System

Schneller und erfolgreicher geht es mit Sicherheitslücken. Im Falle das eine Sicherheitslücke bekannt oder gefunden wurde, muss man nur auf diese Lücke testen. Besteht die Sicherheitslücke oder eben nicht. Nicht geschlossene Sicherheitslücken oder Update-Scheue des Admins sind meiner Meinung nach, die meisten erfolgreichen Einbrüche auf "normal-Webseiten".

Fazit: Login-protection ist wichtig, löst meist die Sicherheitsprobleme nicht.(ich weiß, dass du es weißt )

Zu Fail2ban:

Der Root-User muss fail2ban installieren. Ob das der Hoster auch ohne weiteres macht, keine Ahnung.


winelady
Kauffrau
Content Halbgott (862 Beiträge)
am 22.12.2013, 10:48 Uhr schrieb winelady

Hallo Roman,

danke für die weiteren Erklärungen. Ich würde zu gerne ein wenig "Hacken für Anfänger" lernen, um Lücken besser erkennen zu können. Willste nicht mal einen netten Wochenend-Lehrgang anbieten? :mrgreen:

romacron schrieb:

Fazit: Login-protection ist wichtig, löst meist die Sicherheitsprobleme nicht.(ich weiß, dass du es weißt )



An dem bewußten Tag gab es über 3000 Zugriffsversuche auf die WP-Loginseite – nach der IP-Sperre war jedenfalls Ruhe im Karton.

romacron schrieb:

Zu Fail2ban:
Der Root-User muss fail2ban installieren. Ob das der Hoster auch ohne weiteres macht, keine Ahnung.



Glücklicherweise habe ich ja einen 1. kleinen, 2. persönlich erreichbaren und 3. sehr sicherheitsbewußten Hoster. Insofern frage ich ihn einfach und würde mich sehr wundern, wenn er erwas gegen weitere Sicherheit hat.

Gruß
Hildegard


Weinvielfalt aus dem Weingut Fuchs
Fremdsprachensatz

  • 1


« zurück zu: Wordpress

Das Seitenreport Forum hat aktuell 5275 Themen und 36109 Beiträge.
Insgesamt sind 48343 Mitglieder registriert.