Doch, natürlich kann man dasselbe im Prinzip für den s9y-Login nachbauen. Nur 1:1 bringt der Code so halt gar nichts
Ich bin weder ein Security-Experte noch Spezialist für .htaccess-Tricks, aber im Prinzip schaltet das doch „nur“ einen zweiten Login vor. Das ist für eine ernstzunehmende Brute-Force-Attacke auch nur eine (zugegeben: theoretische) Frage der Zeit, aber die Widerstandskraft eines Login kommt doch eher über die Passwört-Stärke und -Verschlüsselung?
YL
Upgrade von 1.1.4 auf 1.7 - admin Passwort
Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Tatsächlich nur über die Passwortstärke. Die Art des Hash ist hier im Grunde irrelevant.
Was man noch machen kann: Eine Verzögerung einbauen, sodass jeder Einloggversuch länger dauert. Auf Wunsch zeige ich entsprechenden Beispielcode, ich müsste selbst nachschauen, wie das mit PHP geht.
Was man noch machen kann: Eine Verzögerung einbauen, sodass jeder Einloggversuch länger dauert. Auf Wunsch zeige ich entsprechenden Beispielcode, ich müsste selbst nachschauen, wie das mit PHP geht.
Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Ja, daa wäre doch super!!!onli wrote:Tatsächlich nur über die Passwortstärke. Die Art des Hash ist hier im Grunde irrelevant.
Was man noch machen kann: Eine Verzögerung einbauen, sodass jeder Einloggversuch länger dauert. Auf Wunsch zeige ich entsprechenden Beispielcode, ich müsste selbst nachschauen, wie das mit PHP geht.
Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Ok. Einfach genug: In Zeile 418 der include/functions_config.inc.php ein
einfügen. Bei jedem fehlgeschlagenem Einloggversuch sollte er dann 2 Sekunden warten, bevor er Rückmeldung gibt. Ungetestet.
Das wäre dann in der serendipity_login-funktion nach dem elseif-Block, nur zur Sicherheit - diese Stelle.
Code: Select all
sleep(2);
Das wäre dann in der serendipity_login-funktion nach dem elseif-Block, nur zur Sicherheit - diese Stelle.
Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Oh, nette Idee mit der Zeitverzögerung, finde ich auch gut
Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Ja, die sleep Idee ist gut und simpel und könnte - nach drei fehlgeschlagenden Versuchen - sogar zum Standard gehören...!
Und bringt mehr Zeit, in der man andere Gegenmaßnahmen ergreifen kann.
Ansonsten finde ich es gewagt, einen Angriff auf das hier diskutierte FTP mit dem konzentrierten Angriff auf das wordpress wp-login als (für den unbedarften Leser) Zusammenhängend zu konstruieren. Wenn dies wirklich so breit gestreut gewesen wäre, wären sicher noch andere FTPs sowie sonstige Programm-Logins betroffen gewesen und man hätte davon gehört.
Und bringt mehr Zeit, in der man andere Gegenmaßnahmen ergreifen kann.
Ansonsten finde ich es gewagt, einen Angriff auf das hier diskutierte FTP mit dem konzentrierten Angriff auf das wordpress wp-login als (für den unbedarften Leser) Zusammenhängend zu konstruieren. Wenn dies wirklich so breit gestreut gewesen wäre, wären sicher noch andere FTPs sowie sonstige Programm-Logins betroffen gewesen und man hätte davon gehört.
Regards,
Ian
Serendipity Styx Edition and additional_plugins @ https://ophian.github.io/ @ https://github.com/ophian
Ian
Serendipity Styx Edition and additional_plugins @ https://ophian.github.io/ @ https://github.com/ophian
-
- Regular
- Posts: 765
- Joined: Tue Oct 17, 2006 2:36 pm
- Location: Vienna/Austria
- Contact:
Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort
IMHO wäre es Aufgabe des Hosters einen Angriff auf FTP-Accounts zu bemerken und Gegenmaßnahmen einzuleiten und die betroffenen Kunden zu informieren.
Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Ich fand es schon gewagt, das brute force gegen WP auf s9y auszuweiten, zumal der WP-Login hinreichend eindeutig ist, wollte aber illustrieren, dass niemand ein BF gegen „Kleinkram“ fährt.Timbalu wrote:Ansonsten finde ich es gewagt, einen Angriff auf das hier diskutierte FTP mit dem konzentrierten Angriff auf das wordpress wp-login als (für den unbedarften Leser) Zusammenhängend zu konstruieren.
Und spätestens seit
ist doch eigentlich ohnehin klar, dass in diesem Fall der FTP-Zugang geknackt wurde? Ich wüsste aus dem Stand keinen Weg, über einen s9y-Login an das FTP-Passwort zu kommen (sofern man da nicht überall das selbe Passwort verwendet, was dann PEBKAC wäre), was natürlich nicht heißt, dass es keinen Weg gibt …Es wurden übrigens alle Ordner und Dateien des Blogs SOWIE noch viele Dateien aus Ordnern und Unterordnern ANDERER Domains gelöscht.
YL