Benutzerkonto Zugriffe
-
- Null-Leiter
- Beiträge: 42
- Registriert: Dienstag 18. Juni 2013, 12:26
Benutzerkonto Zugriffe
Hallo ih wollt mal eine Meinung hören,w as Ihr davon haltet und wwas ich jetzt machen soll.
Seit diesem Monat bekomme ich mails von diesteckdose, speziell automatische Warnungen, dass mein benutzerkonto vorübergehend gespert ist, weil jemand 5 mal in kurzer Zeit darauf zugreift und das falsche Passwort eingibt.
Es ist bis jetzt 5 mal passiert und es waren 3mal die IP:XXX und 2 mal die IP:YYY.
Ist jetzt jemand mit meinem Namen zu blöd seine Acc Daten richtig einzugeben oder ist das ein Angriff. Bin ich der einzige der so was bekommt oder oder oder??
Ich hoffe Ihr habt ein paar gute Ratschläge wie ich mich jetzt verhalten soll.
Danke und MfG
Editvermerk von Olaf S-H: IP-Adressen gelöscht und intern an Alois weitergeleitet
Seit diesem Monat bekomme ich mails von diesteckdose, speziell automatische Warnungen, dass mein benutzerkonto vorübergehend gespert ist, weil jemand 5 mal in kurzer Zeit darauf zugreift und das falsche Passwort eingibt.
Es ist bis jetzt 5 mal passiert und es waren 3mal die IP:XXX und 2 mal die IP:YYY.
Ist jetzt jemand mit meinem Namen zu blöd seine Acc Daten richtig einzugeben oder ist das ein Angriff. Bin ich der einzige der so was bekommt oder oder oder??
Ich hoffe Ihr habt ein paar gute Ratschläge wie ich mich jetzt verhalten soll.
Danke und MfG
Editvermerk von Olaf S-H: IP-Adressen gelöscht und intern an Alois weitergeleitet
-
- Null-Leiter
- Beiträge: 491
- Registriert: Donnerstag 2. September 2010, 09:48
- Wohnort: Saarland
Thomas hat geschrieben: Ist jetzt jemand mit meinem Namen zu blöd seine Acc Daten richtig einzugeben oder ist das ein Angriff. Bin ich der einzige der so was bekommt oder oder oder??
Moin.
Ich habe das mal mit meinem Account und falschem Passwort getestet, es ergeben sich folgende Möglichkeiten:
1.) Jemand gibt tatsächlich seine Benutzerdaten falsch ein.
2.) Jemand versucht, sich als "Du" anzumelden.
3.) Ein Spambot hat das Forum für sich entdeckt und probiert eine BruteForce-Attacke aus.
Das Forum bzw. die Forensoftware sperrt nach 5 erfolglosen Anmeldeversuchen den Zugang für die betroffene IP-Adresse automatisch für 15 Minuten - Du solltest Dich aber normal einloggen können, wenn der Loginversuch nicht von Dir ausging.
Für Fall 3 sollte man mal die Logfiles des Servers zu Rate ziehen - das Forenaccounts knacken ist derzeit ein beliebtes Mittel, um Spam zu platzieren..., derzeit kommen die dazu verwendeten Ip-Adressen oft aus den früheren Sowjet-Staaten...
Ich habe hier übrigens die Erfahrung machen müssen, dass aus unerfindlichen Gründen manchmal das Posten eines Beitrages bis zu 1 Minute dauert - was schon recht seltsam ist und zu weiteren Überlegungen anregt.
Hallo Christian,
Ich denke aber, dass ich die meisten IP-Adressen die in Frage kommen gesperrt habe. Sollte noch jemand eine entsprechende Mail bekommen, bitte ich um Angabe der IP-Adresse (bitte per PN, der Angreifer muss nicht wissen, dass wir hier über ihn diskutieren).
Gruß
Alois
Ich könnte die Zahl der Anmeldeversuche verringern (auf Drei wäre m.E. noch sinnvoll).3.) Ein Spambot hat das Forum für sich entdeckt und probiert eine BruteForce-Attacke aus.
Ich denke aber, dass ich die meisten IP-Adressen die in Frage kommen gesperrt habe. Sollte noch jemand eine entsprechende Mail bekommen, bitte ich um Angabe der IP-Adresse (bitte per PN, der Angreifer muss nicht wissen, dass wir hier über ihn diskutieren).
Gruß
Alois
Alois hat geschrieben:Hallo Christian,
Ich könnte die Zahl der Anmeldeversuche verringern (auf Drei wäre m.E. noch sinnvoll).
Ich denke aber, dass ich die meisten IP-Adressen die in Frage kommen gesperrt habe. Sollte noch jemand eine entsprechende Mail bekommen, bitte ich um Angabe der IP-Adresse (bitte per PN, der Angreifer muss nicht wissen, dass wir hier über ihn diskutieren).
Gruß
Alois
Hallo Alois,
sperren der IPs ist eigentlich nicht nötig.
Grund: Die Bruteforce-IP-Adressen sperren sich selbst nach 5 erfolglosen Login-Versuchen aus. Das funktioniert beim Vbulletin ähnlich wie unter Linux mit dem Programm fail2ban. Man sollte nur mal nachprüfen (im Logfile), in welchen Zeitabständen die Logins erfolgten. Wer sich innerhalb von 10 Sekunden 5 mal falsch einloggen will, ist bestimmt kein Mensch, sondern eine Maschine.
Interessant wäre auch zu wissen, weshalb oft das Posten eines Beitrages extrem lange dauert - so lange dass man fast glaubt, man habe nicht auf "Absenden" geklickt, dann ein 2. Mal auf Absenden klickt und dann 2 identische Beiträge erzeugt hat... Aber auch das kann man in den Serverlogs sehen.
Das was ich Dir vor ein paar Wochen per PN schrieb, hast Du ja sicherlich noch auf dem Schirm bzw. Radar.
Gruß Chris
Hallo Christian,
ich denke, dass das Sperren Sinn macht, da der Angreifer gar nicht erst in die Lage versetzt wird ein Passwort auszuprobieren. Damit ist ein Brute-Force-Angriff unterbunden.
Ich habe Deine PN noch auf dem Schirm. Das war auch Thema der Mitgliederversammlung des Vereins "diesteckdose.ev".
Gruß
Alois
ich denke, dass das Sperren Sinn macht, da der Angreifer gar nicht erst in die Lage versetzt wird ein Passwort auszuprobieren. Damit ist ein Brute-Force-Angriff unterbunden.
Ich habe Deine PN noch auf dem Schirm. Das war auch Thema der Mitgliederversammlung des Vereins "diesteckdose.ev".
Gruß
Alois
Alois hat geschrieben:Hallo Christian,
ich denke, dass das Sperren Sinn macht, da der Angreifer gar nicht erst in die Lage versetzt wird ein Passwort auszuprobieren. Damit ist ein Brute-Force-Angriff unterbunden.
Ich habe Deine PN noch auf dem Schirm. Das war auch Thema der Mitgliederversammlung des Vereins "diesteckdose.ev".
Gruß
Alois
Hallo Alois,
Klar macht es Sinn, wenn es eine feste IP aus .ru oder .cn ist. Bei dynamischen IPs können sich aber schnell bestimmte Probleme auftun. Da das Forum allerdings selbsttätig die betreffenden IPs sperrt, ist es sehr viel Arbeit - es sei denn Du sperrst störende IPs direkt von jedem Serverzugriff aus.
Meine Server z.B. werden mit fail2ban auf allen Ports, die eine Loginmöglichkeit bieten, überwacht und IPs nach 3maligem Falschlogin für einen Zeitraum X gesperrt. Auswertungen ergaben, dass es sich bei den IPs in der überwiegenden Mehrzahl aller Fälle um dynamische IPs handelte.