Script Kiddies?

[ShopNix]

Mir ist heute ein Eintrag in der Statistik aufgefallen:

bzq-62-219-8-228.static.dcenter.bezeqint.net   2979   2982   8.97 MB   05.05.2013 - 06:23

Knapp 3000 Seiten ist für eine Site, die lediglich das Übersetzungstool und den leeren Demo-Shop enthält, durchaus bemerkenswert, zumal  786 mal login.php aufgerufen wurde.

Wie geht Ihr gegen derartige Schwachmaten vor?

Danke

Linkback: https://www.modified-shop.org/forum/index.php?topic=26078.0

[GTB]

Hallo,

einfach ignorieren. Dagegen kannst du nichts machen ausser ein paar Filter einbauen, die aber leider zuviele False/Positives erzeugen. Was dazu führt dass dann auch normale Kunden gesperrt werden.

Gruss Gerhard

[ShopNix]

Hallo Gerhard,

da bin ich anderer Meinung. Ich hatte in dem kurzen Zeitraum über 700 Zugriffe auf login.php, und zwar auf einer Seite, die gar nicht vermarktet wird. Derartige Geschichten sind in aller Regel nur die Spitze eines Eisbergs, und es gibt ausgezeichnete Tools, die derartige IP-Adressen nach einer einstellbaren Anzahl von Fehlversuchen für einen ebenfalls einstellbaren Zeitraum blockieren.

In Bezug auf ssh- und Mail-Angriffe habe ich seit Jahren fail2ban erfolgreich im Einsatz. Dieses Tool erlaubt auch Sperren für http.

Allein die von Angreifern und Script Kiddies erzeugte Last auf dem Server erfordert den Einsatz entsprechender Gegenmaßnahmen.

Es ist ungefähr so, wie beim Wettlauf zwischen Einbrecher und Schlosser. Ich habe nun mal den Ehrgeiz, ein guter Schlosser zu sein.

[GTB]

Dann schreibe dir halt einen Regex für Fail2Ban.

Du kannst dir aber auch einfach das BruteForce Modul für die login.php einbauen.

Die ScriptKiddies sind im Normalfall auf der Suche nach ungeschützen phpMyAdmin Zugängen aus.

Gruss Gerhard

[fariela]

Leg dir doch einfach eine Umrootung auf den Login-Bereich, dass dieser für uneingeloggte User nicht mehr über den Standardpfad, sondern über einen anderen verfügbar ist. Das sollte dir die Bots vorerst vom Hals halten.

[ShopNix]

Das Thema kommt immer mal wieder hoch, und ich denke, ich habe jetzt einen ideale Ansatz gefunden.

Jeder Anmeldeversuch kommt in login.php raus, und genau an den zwei Stellen, an denen die Fehlermeldung hochkommt, schreibe ich in per error_log() eine Meldung.

Auf meinem System kommt die im Fehlerprotokoll des Webservers an, solange ich in php.ini nicht explizit etwas anderes angebe.

Dort kann ich sie z.B. über fail2ban sehr differenziert zur Sperrung der IP-Adresse verwenden.

Code, ca. ab Zeile 50:

Code: PHP  [Auswählen]

        if (!xtc_db_num_rows($check_customer_query)) {
                $_GET['login'] = 'fail';
                $info_message = TEXT_NO_EMAIL_ADDRESS_FOUND;
                @error_log('modified login: mail address failed:');
        } else {
                $check_customer = xtc_db_fetch_array($check_customer_query);
                // Check that password is good
                if (!xtc_validate_password($password, $check_customer['customers_password'])) {
                        $_GET['login'] = 'fail';
                        $info_message = TEXT_LOGIN_ERROR;
                        @error_log('modified login: password failed');
                } else {

Wäre schön, wenn wir das in den Standard bekämen!

[Tomcraft]

Ich übernehme das mal in ein neues Ticket, siehe Ticket #188.

Grüße

Torsten

[ShopNix]

Schön, auf die Idee wäre ich nicht gekommen. Ich dachte eigentlich, das Ticketsystem sei ausschließlich für Fehlermeldungen bestimmt. Vielen Dank für's Eintragen und den Hinweis.

Weil wir aber nun gerade beim Thema Sicherheit sind: Neben dem Brot & Buttergeschäft arbeite ich eben an einem System, die vielen unnötigen bis schädlichen Bots auszusperren. Die Grundlagen laufen schon, für's Forum (und für mich zwecks Feedback) ist allerdings die Doku dazu vermutlich interessanter:

http://shopnix.de/tools-bothunter.html

Warum ich viele Bots nicht nur für Performancekiller sondern auch für ein Sicherheitsrisiko halte, steht hier:

http://shopnix.de/tipps-good-bots-bad-bots.html