Einbrecher unterwegs
Redaktionelle Einordnung
Diese archivierte Diskussion behandelt Einbrecher unterwegs aus Sicht der Rubrik WordPress.
CMS- und Technikfragen sind heute besonders dann relevant, wenn sie Indexierung, Rendering, interne Verlinkung oder Relaunch-Risiken beeinflussen.
Sinnvoll nutzbar bleibt der Thread vor allem als historischer Kontext, für typische Fragestellungen und zur Einordnung älterer Empfehlungen.
Einige im historischen Thread genannte Tools, Dienste oder externe Links könnten heute nicht mehr verfügbar oder inhaltlich überholt sein. Nutzen Sie sie bitte nur mit zusätzlicher Prüfung.
Startbeitrag
Archivierter Thread aus dem Seitenreport-Forum.
Hallo zusammen,
heute scheinen rührige Blog-Einbrecher, vor allem mit IP-Nummern aus der Ukraine, Weißrußland und Kazachstan unterwegs zu sein … haben diejenigen unter Euch, die Wordpress verwenden, auch so eine Welle zu verzeichnen?
Gruß
winelady
Weinvielfalt aus dem Weingut Fuchs
Fremdsprachensatz
Antworten
8 Beiträgewinelady schrieb:
.. Ukraine, Weißrußland und Kazachstan ...
Du, die können auch aus Bremen sein, ist nur ne Sache der Verschleierung.
da hilft ne firewall mit ip blacklisting im system!
Joomla Webdesign Freiburg, Lörrach, Basel - SEO/SEM - Support - Security - Schulungen: webart-workers | joomla services
Joomla Portfolio: [url="http://www.webart-workers.de/portfolio/webdesi
Hallo,
egal, wo sie herkommen – ich habe den Loginbereich mit der .htaccess mit einer IP-Verifizierung inzwischen völlig dicht gemacht, sodaß der Zugriff nur noch über unsere IP möglich ist.
Gruß
winelady
Weinvielfalt aus dem Weingut Fuchs
Fremdsprachensatz
Guten Morgen Winelady und Forum Mitglieder, vor einiger Zeit stellten wir fest, das die Besucherzahlen von durchschnittlich 1000 auf das Zehnfache angestiegen sind, immer wieder die gleichen IP Adressen aus Russland und China. Diese sperrten wir dann in der htaccess und siehe da, es normalisierte sich wieder. Dabei blieb der Admin Bereich verschont. Ich würde gern, wenn es Euch nichts ausmacht mehr darüber erfahren wie das mit dem dicht machen über die htaccess und
IP Verifizierung geht. So dass der Zugriff im Admin Bereich nur noch über die eigene IP geht würde mich sehr interessieren.
Gruß
Axel
Hallo Axel,
hier findest Du eine detaillierte Anleitung:
thomas-leister.de/allgemein/wordpress-login-auf-bestimmte-ips-beschraenken-und-botnetz-aussperren/
Funktioniert wunderbar.
Gruß
winelady
Weinvielfalt aus dem Weingut Fuchs
Fremdsprachensatz
Diese Ip-Bereichs-Sperren sind mehr oder weniger nutzlos.
Ein geübter Spass-Macher kommt ohne weiteres an einen IP-Bereich der nicht auf "Übersee" schließen lässt.
Zweites Ärgernis bei festen IP-Bereichen, man ist unterwegs und möchte schnell eine Kleinigkeit ändern und man verfügt nicht über den passenden IP-Bereich.
Das Sicherheitsgefühl ist hier wirklich nur ein Gefühl.
Den Eigentlichen Zugang erhält man in der Regel durch die richtige Eintragung in die Password-Abfrage. Hier sollte man auch ansetzen. Bei hierarchischer Betrachtung einer Webseite vom Low-Level zum High-Level hat man mehrere Möglichkeiten.
Low-Level:
Jeder fehlerhafte Login-Versuch von einer IP wird in einen Datenbank-Table eingetragen. Sollten mehrere fehlerhafte Versuche eingetragen sein, sperrt das "CMS" weitere Login-Versuche.
Das ist eher die "Billig-Variante"
ein paar System-Level oberhalb (php->apache->system[software ausserhalb des apaches und des php-user]) sollte Fail2ban installiert sein.
Fail2ban ist mit der System-Firewall verbunden und sollte meiner Meinung nach, auf keinem Server fehlen. Zumal Fail2ban ohnehin auch fehlerhafte E-Mail Logins abfängt und notfalls den Server sperrt.
..also einfach das CMS mehr oder weniger an fail2ban binden bzw. das CMS als Lieferant von nicht erlaubten login-Versuchen einstellen.
hatte hier auf die Schnelle ein Tutorial gefunden.
tscadfx.com/wordpress-login-security-fail2ban/
Ob die Details auf der Seite stimmen, kann ich nicht genau sagen. Die selbe Stratgie ein wenig anders, verwende ich ebenso.
vg
Hallo Roman,
wow, das sind etliche gute Tips, vielen Dank!
romacron schrieb:
Diese Ip-Bereichs-Sperren sind mehr oder weniger nutzlos. Ein geübter Spass-Macher kommt ohne weiteres an einen IP-Bereich der nicht auf "Übersee" schließen lässt.
Zweites Ärgernis bei festen IP-Bereichen, man ist unterwegs und möchte schnell eine Kleinigkeit ändern und man verfügt nicht über den passenden IP-Bereich.
Zumindest ist die IP-Sperre eine von mehreren Hürden. Daß man sich von unterwegs selbst aussperrt, kann in der Tat ein Problem sein, bei mir trifft dies glücklicherweise weniger zu.
Den Eigentlichen Zugang erhält man in der Regel durch die richtige Eintragung in die Password-Abfrage. Hier sollte man auch ansetzen. Bei hierarchischer Betrachtung einer Webseite vom Low-Level zum High-Level hat man mehrere Möglichkeiten.
Eine weitere Hürde, die ich für unverzichtbar halte.
Low-Level:
Jeder fehlerhafte Login-Versuch von einer IP wird in einen Datenbank-Table eingetragen. Sollten mehrere fehlerhafte Versuche eingetragen sein, sperrt das "CMS" weitere Login-Versuche.
Das ist eher die "Billig-Variante"
Für Wordpress bringt hier das Plugin Limited Login Attempts schonmal ein Hindernis. Natürlich sollte der Admin weder Admin noch wie der Autorenname heißen.
Ein zusätzliches .htaccess-Paßwort vor der login.php finde ich außerdem nützlich. Auch hier ein nicht leicht erratbarer Username und nicht gerade 123456 als Paßwort.
[/quote]ein paar System-Level oberhalb (php->apache->system[software ausserhalb des apaches und des php-user]) sollte Fail2ban installiert sein.
Fail2ban ist mit der System-Firewall verbunden und sollte meiner Meinung nach, auf keinem Server fehlen. Zumal Fail2ban ohnehin auch fehlerhafte E-Mail Logins abfängt und notfalls den Server sperrt.
[/quote]
Muß das der Hoster installieren?
Gruß
winelady
Weinvielfalt aus dem Weingut Fuchs
Fremdsprachensatz
Hallo Hildegard,
Zugriff auf das CMS
auch beim Hacken gilt es effizient zu sein. So bringt es relativ wenig Erfolg sich über einen User oder Admin-Account Zugang zu verschaffen. Der Angreifer steckt da nur in einem Low-Level und muss mühsam versuchen irgendwelche Steuerungs-Scripte auf den Server zu laden. Zugang zum CMS heißt nicht unbedingt, dass man ausreichend Schreibzugriff auf die Dateien hat. Der Schreibzugriff ist eher ein lohnendes Ziel.
Zugriff auf das Datei-System
Schneller und erfolgreicher geht es mit Sicherheitslücken. Im Falle das eine Sicherheitslücke bekannt oder gefunden wurde, muss man nur auf diese Lücke testen. Besteht die Sicherheitslücke oder eben nicht. Nicht geschlossene Sicherheitslücken oder Update-Scheue des Admins sind meiner Meinung nach, die meisten erfolgreichen Einbrüche auf "normal-Webseiten".
Fazit: Login-protection ist wichtig, löst meist die Sicherheitsprobleme nicht.(ich weiß, dass du es weißt )
Zu Fail2ban:
Der Root-User muss fail2ban installieren. Ob das der Hoster auch ohne weiteres macht, keine Ahnung.
Hallo Roman,
danke für die weiteren Erklärungen. Ich würde zu gerne ein wenig "Hacken für Anfänger" lernen, um Lücken besser erkennen zu können. Willste nicht mal einen netten Wochenend-Lehrgang anbieten? :mrgreen:
romacron schrieb:
Fazit: Login-protection ist wichtig, löst meist die Sicherheitsprobleme nicht.(ich weiß, dass du es weißt )
An dem bewußten Tag gab es über 3000 Zugriffsversuche auf die WP-Loginseite – nach der IP-Sperre war jedenfalls Ruhe im Karton.
romacron schrieb:
Zu Fail2ban:
Der Root-User muss fail2ban installieren. Ob das der Hoster auch ohne weiteres macht, keine Ahnung.
Glücklicherweise habe ich ja einen 1. kleinen, 2. persönlich erreichbaren und 3. sehr sicherheitsbewußten Hoster. Insofern frage ich ihn einfach und würde mich sehr wundern, wenn er erwas gegen weitere Sicherheit hat.
Gruß
Hildegard
Weinvielfalt aus dem Weingut Fuchs
Fremdsprachensatz