Benutzerkonto Zugriffe

[Thomas]

Hallo ih wollt mal eine Meinung hören,w as Ihr davon haltet und wwas ich jetzt machen soll.

Seit diesem Monat bekomme ich mails von diesteckdose, speziell automatische Warnungen, dass mein benutzerkonto vorübergehend gespert ist, weil jemand 5 mal in kurzer Zeit darauf zugreift und das falsche Passwort eingibt.
Es ist bis jetzt 5 mal passiert und es waren 3mal die IP:XXX und 2 mal die IP:YYY.

Ist jetzt jemand mit meinem Namen zu blöd seine Acc Daten richtig einzugeben oder ist das ein Angriff. Bin ich der einzige der so was bekommt oder oder oder??

Ich hoffe Ihr habt ein paar gute Ratschläge wie ich mich jetzt verhalten soll.

Danke und MfG

Editvermerk von Olaf S-H: IP-Adressen gelöscht und intern an Alois weitergeleitet

[arnim]

Hallo Thomas,

mein erster Gedanke war/ist, ob ggf. Dein Emailaccount gehakt worden ist.... Ggf mal prüfen, ansonsten mal wieder die Passwörter tauschen, inkl. aller Foren!

[geloescht]

Hallo Thomas,

ich werde die in Frage kommenden IP-Adressen sperren. Über den E-Mail-Account würde der Angreifer Zugang bekommen, denn er könnte sich den Dialog für ein neues Passwort anstoßen. Ich gehe davon aus, dass der Mailaccount nicht geknackt ist.

Gruß

Alois

[geloescht]

Hallo Thomas,

der bisher genutzte Adressbereich ist komplett gesperrt. Bitte halt uns auf dem laufenden wenn wieder eine Mail kommen sollte.

Gruß

Alois

[C_T]

Ist jetzt jemand mit meinem Namen zu blöd seine Acc Daten richtig einzugeben oder ist das ein Angriff. Bin ich der einzige der so was bekommt oder oder oder??

Moin.

Ich habe das mal mit meinem Account und falschem Passwort getestet, es ergeben sich folgende Möglichkeiten:

1.) Jemand gibt tatsächlich seine Benutzerdaten falsch ein.
2.) Jemand versucht, sich als "Du" anzumelden.
3.) Ein Spambot hat das Forum für sich entdeckt und probiert eine BruteForce-Attacke aus.

Das Forum bzw. die Forensoftware sperrt nach 5 erfolglosen Anmeldeversuchen den Zugang für die betroffene IP-Adresse automatisch für 15 Minuten - Du solltest Dich aber normal einloggen können, wenn der Loginversuch nicht von Dir ausging.

Für Fall 3 sollte man mal die Logfiles des Servers zu Rate ziehen - das Forenaccounts knacken ist derzeit ein beliebtes Mittel, um Spam zu platzieren..., derzeit kommen die dazu verwendeten Ip-Adressen oft aus den früheren Sowjet-Staaten...

Ich habe hier übrigens die Erfahrung machen müssen, dass aus unerfindlichen Gründen manchmal das Posten eines Beitrages bis zu 1 Minute dauert - was schon recht seltsam ist und zu weiteren Überlegungen anregt.

[geloescht]

Hallo Ihr,

bitte mir die IP-Adresse von der der Zugriff erfolgte per PN zuschicken. Ich sperre dann diese Adresse bzw. den Bereich drumherum, wenn er nicht schon gesperrt ist.

Gruß

Alois

[geloescht]

Hallo Christian,

3.) Ein Spambot hat das Forum für sich entdeckt und probiert eine BruteForce-Attacke aus.

Ich könnte die Zahl der Anmeldeversuche verringern (auf Drei wäre m.E. noch sinnvoll).

Ich denke aber, dass ich die meisten IP-Adressen die in Frage kommen gesperrt habe. Sollte noch jemand eine entsprechende Mail bekommen, bitte ich um Angabe der IP-Adresse (bitte per PN, der Angreifer muss nicht wissen, dass wir hier über ihn diskutieren).

Gruß

Alois

[C_T]

Hallo Christian,



Ich könnte die Zahl der Anmeldeversuche verringern (auf Drei wäre m.E. noch sinnvoll).

Ich denke aber, dass ich die meisten IP-Adressen die in Frage kommen gesperrt habe. Sollte noch jemand eine entsprechende Mail bekommen, bitte ich um Angabe der IP-Adresse (bitte per PN, der Angreifer muss nicht wissen, dass wir hier über ihn diskutieren).

Gruß

Alois

Hallo Alois,

sperren der IPs ist eigentlich nicht nötig.

Grund: Die Bruteforce-IP-Adressen sperren sich selbst nach 5 erfolglosen Login-Versuchen aus. Das funktioniert beim Vbulletin ähnlich wie unter Linux mit dem Programm fail2ban. Man sollte nur mal nachprüfen (im Logfile), in welchen Zeitabständen die Logins erfolgten. Wer sich innerhalb von 10 Sekunden 5 mal falsch einloggen will, ist bestimmt kein Mensch, sondern eine Maschine.

Interessant wäre auch zu wissen, weshalb oft das Posten eines Beitrages extrem lange dauert - so lange dass man fast glaubt, man habe nicht auf "Absenden" geklickt, dann ein 2. Mal auf Absenden klickt und dann 2 identische Beiträge erzeugt hat... Aber auch das kann man in den Serverlogs sehen.

Das was ich Dir vor ein paar Wochen per PN schrieb, hast Du ja sicherlich noch auf dem Schirm bzw. Radar.

Gruß Chris

[geloescht]

Hallo Christian,

ich denke, dass das Sperren Sinn macht, da der Angreifer gar nicht erst in die Lage versetzt wird ein Passwort auszuprobieren. Damit ist ein Brute-Force-Angriff unterbunden.

Ich habe Deine PN noch auf dem Schirm. Das war auch Thema der Mitgliederversammlung des Vereins "diesteckdose.ev".

Gruß

Alois

[C_T]

Hallo Christian,

ich denke, dass das Sperren Sinn macht, da der Angreifer gar nicht erst in die Lage versetzt wird ein Passwort auszuprobieren. Damit ist ein Brute-Force-Angriff unterbunden.

Ich habe Deine PN noch auf dem Schirm. Das war auch Thema der Mitgliederversammlung des Vereins "diesteckdose.ev".

Gruß

Alois

Hallo Alois,

Klar macht es Sinn, wenn es eine feste IP aus .ru oder .cn ist. Bei dynamischen IPs können sich aber schnell bestimmte Probleme auftun. Da das Forum allerdings selbsttätig die betreffenden IPs sperrt, ist es sehr viel Arbeit - es sei denn Du sperrst störende IPs direkt von jedem Serverzugriff aus.

Meine Server z.B. werden mit fail2ban auf allen Ports, die eine Loginmöglichkeit bieten, überwacht und IPs nach 3maligem Falschlogin für einen Zeitraum X gesperrt. Auswertungen ergaben, dass es sich bei den IPs in der überwiegenden Mehrzahl aller Fälle um dynamische IPs handelte.