Page 4 of 4
Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Posted: Wed Apr 24, 2013 11:02 pm
by yellowled
Doch, natürlich kann man dasselbe im Prinzip für den s9y-Login nachbauen. Nur 1:1 bringt der Code so halt gar nichts
Ich bin weder ein Security-Experte noch Spezialist für .htaccess-Tricks, aber im Prinzip schaltet das doch „nur“ einen zweiten Login vor. Das ist für eine ernstzunehmende Brute-Force-Attacke auch nur eine (zugegeben: theoretische) Frage der Zeit, aber die Widerstandskraft eines Login kommt doch eher über die Passwört-Stärke und -Verschlüsselung?
YL
Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Posted: Thu Apr 25, 2013 12:10 am
by onli
Tatsächlich nur über die Passwortstärke. Die Art des Hash ist hier im Grunde irrelevant.
Was man noch machen kann: Eine Verzögerung einbauen, sodass jeder Einloggversuch länger dauert. Auf Wunsch zeige ich entsprechenden Beispielcode, ich müsste selbst nachschauen, wie das mit PHP geht.
Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Posted: Thu Apr 25, 2013 12:58 am
by KayMacke
onli wrote:Tatsächlich nur über die Passwortstärke. Die Art des Hash ist hier im Grunde irrelevant.
Was man noch machen kann: Eine Verzögerung einbauen, sodass jeder Einloggversuch länger dauert. Auf Wunsch zeige ich entsprechenden Beispielcode, ich müsste selbst nachschauen, wie das mit PHP geht.
Ja, daa wäre doch super!!!
Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Posted: Thu Apr 25, 2013 1:12 am
by onli
Ok. Einfach genug: In Zeile 418 der include/functions_config.inc.php ein
einfügen. Bei jedem fehlgeschlagenem Einloggversuch sollte er dann 2 Sekunden warten, bevor er Rückmeldung gibt. Ungetestet.
Das wäre dann in der serendipity_login-funktion nach dem elseif-Block, nur zur Sicherheit -
diese Stelle.
Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Posted: Thu Apr 25, 2013 4:25 am
by bernd_d
Oh, nette Idee mit der Zeitverzögerung, finde ich auch gut
Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Posted: Thu Apr 25, 2013 9:29 am
by Timbalu
Ja, die sleep Idee ist gut und simpel und könnte - nach drei fehlgeschlagenden Versuchen - sogar zum Standard gehören...!
Und bringt mehr Zeit, in der man andere Gegenmaßnahmen ergreifen kann.
Ansonsten finde ich es gewagt, einen Angriff auf das hier diskutierte FTP mit dem konzentrierten Angriff auf das wordpress wp-login als (für den unbedarften Leser) Zusammenhängend zu konstruieren. Wenn dies wirklich so breit gestreut gewesen wäre, wären sicher noch andere FTPs sowie sonstige Programm-Logins betroffen gewesen und man hätte davon gehört.
Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Posted: Thu Apr 25, 2013 10:03 am
by kleinerChemiker
IMHO wäre es Aufgabe des Hosters einen Angriff auf FTP-Accounts zu bemerken und Gegenmaßnahmen einzuleiten und die betroffenen Kunden zu informieren.
Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Posted: Thu Apr 25, 2013 10:36 am
by yellowled
Timbalu wrote:Ansonsten finde ich es gewagt, einen Angriff auf das hier diskutierte FTP mit dem konzentrierten Angriff auf das wordpress wp-login als (für den unbedarften Leser) Zusammenhängend zu konstruieren.
Ich fand es schon gewagt, das brute force gegen WP auf s9y auszuweiten, zumal der WP-Login hinreichend eindeutig ist, wollte aber illustrieren, dass niemand ein BF gegen „Kleinkram“ fährt.
Und spätestens seit
Es wurden übrigens alle Ordner und Dateien des Blogs SOWIE noch viele Dateien aus Ordnern und Unterordnern ANDERER Domains gelöscht.
ist doch eigentlich ohnehin klar, dass in diesem Fall der FTP-Zugang geknackt wurde? Ich wüsste aus dem Stand keinen Weg, über einen s9y-Login an das FTP-Passwort zu kommen (sofern man da nicht überall das selbe Passwort verwendet, was dann PEBKAC wäre), was natürlich nicht heißt, dass es keinen Weg gibt …
YL