Upgrade von 1.1.4 auf 1.7 - admin Passwort

[yellowled]

Doch, natürlich kann man dasselbe im Prinzip für den s9y-Login nachbauen. Nur 1:1 bringt der Code so halt gar nichts

Ich bin weder ein Security-Experte noch Spezialist für .htaccess-Tricks, aber im Prinzip schaltet das doch „nur“ einen zweiten Login vor. Das ist für eine ernstzunehmende Brute-Force-Attacke auch nur eine (zugegeben: theoretische) Frage der Zeit, aber die Widerstandskraft eines Login kommt doch eher über die Passwört-Stärke und -Verschlüsselung?

YL

[onli]

Tatsächlich nur über die Passwortstärke. Die Art des Hash ist hier im Grunde irrelevant.

Was man noch machen kann: Eine Verzögerung einbauen, sodass jeder Einloggversuch länger dauert. Auf Wunsch zeige ich entsprechenden Beispielcode, ich müsste selbst nachschauen, wie das mit PHP geht.

[KayMacke]

Tatsächlich nur über die Passwortstärke. Die Art des Hash ist hier im Grunde irrelevant.

Was man noch machen kann: Eine Verzögerung einbauen, sodass jeder Einloggversuch länger dauert. Auf Wunsch zeige ich entsprechenden Beispielcode, ich müsste selbst nachschauen, wie das mit PHP geht.

Ja, daa wäre doch super!!!

[onli]

Ok. Einfach genug: In Zeile 418 der include/functions_config.inc.php ein

Code: Select all

sleep(2);

einfügen. Bei jedem fehlgeschlagenem Einloggversuch sollte er dann 2 Sekunden warten, bevor er Rückmeldung gibt. Ungetestet.

Das wäre dann in der serendipity_login-funktion nach dem elseif-Block, nur zur Sicherheit - diese Stelle.

[bernd_d]

Oh, nette Idee mit der Zeitverzögerung, finde ich auch gut

[Timbalu]

Ja, die sleep Idee ist gut und simpel und könnte - nach drei fehlgeschlagenden Versuchen - sogar zum Standard gehören...!
Und bringt mehr Zeit, in der man andere Gegenmaßnahmen ergreifen kann.

Ansonsten finde ich es gewagt, einen Angriff auf das hier diskutierte FTP mit dem konzentrierten Angriff auf das wordpress wp-login als (für den unbedarften Leser) Zusammenhängend zu konstruieren. Wenn dies wirklich so breit gestreut gewesen wäre, wären sicher noch andere FTPs sowie sonstige Programm-Logins betroffen gewesen und man hätte davon gehört.

[kleinerChemiker]

IMHO wäre es Aufgabe des Hosters einen Angriff auf FTP-Accounts zu bemerken und Gegenmaßnahmen einzuleiten und die betroffenen Kunden zu informieren.

[yellowled]

Ansonsten finde ich es gewagt, einen Angriff auf das hier diskutierte FTP mit dem konzentrierten Angriff auf das wordpress wp-login als (für den unbedarften Leser) Zusammenhängend zu konstruieren.

Ich fand es schon gewagt, das brute force gegen WP auf s9y auszuweiten, zumal der WP-Login hinreichend eindeutig ist, wollte aber illustrieren, dass niemand ein BF gegen „Kleinkram“ fährt.

Und spätestens seit

Es wurden übrigens alle Ordner und Dateien des Blogs SOWIE noch viele Dateien aus Ordnern und Unterordnern ANDERER Domains gelöscht.

ist doch eigentlich ohnehin klar, dass in diesem Fall der FTP-Zugang geknackt wurde? Ich wüsste aus dem Stand keinen Weg, über einen s9y-Login an das FTP-Passwort zu kommen (sofern man da nicht überall das selbe Passwort verwendet, was dann PEBKAC wäre), was natürlich nicht heißt, dass es keinen Weg gibt …

YL