[hasch]

Ja das kann ja sein, aber der Hacker muss ja dann auch wissen, wie die einzellnen $_POST['variable'] heißen oder etwa nicht!?

[Rika]

Die findet er ja in dem Form auf der Webseite.

[Floele]

Ich habe aber auch mal ne Frage...sind Internetseiten für effektive Brute-Force Attacken nicht viel zu langsam?

[hasch]

Zitat (Rika: 26.10.2005, 15:50)

Die findet er ja in dem Form auf der Webseite.

Stimmt, hatte ich vergessen, die stehen ja im Quelltext, sind ja im HTML-Code verfasst.
Wäre es eine Möglichkeit einfach nen String an den Link zu hängen, der in die DB eingetragen wird, wenn dann ein potentieller Hacker die Daten ohne Formular an die Datei sendet, wird ja der zufällig generierte Code überprüft, wenn der fehlt oder falsch ist, wird garnicht weiter bearbeitet!?

Schema:

Formular (Code zufällig generiert -> an Link angehängt + in DB eintragen)-> login.html?code=145256&user=admin

if($db_code == $_GET['code'])
{
if(pruefen($user, $passwort) == TRUE)
header("location: admin.php?user=admin&passwort=bgf4sd75545898fdsaf");
}

Dieser Beitrag wurde von hasch bearbeitet: 26. Oktober 2005 - 17:00

[mo]

Zitat (Floele: 26.10.2005, 16:19)

Ich habe aber auch mal ne Frage...sind Internetseiten für effektive Brute-Force Attacken nicht viel zu langsam?

Eigentlich schon. Man kann den Spass zwar schön parallelisieren, aber recht schnell dürfte dann das Webserver-System (ich geh mal davon aus, dass es sich um php auf einem stinknormalen rechner, ohne loadbalancing und super-mini-schnell-webserver handelt) so stark ausbremsen, dass der Administrator das merken müsste und sich auf die Suche nach der Ursache macht.

Wir hatten bei WF als ich mich noch um die Server gekümmert hatte einen lustigen Zwischenfall: Die Auslastung des Systems und die ausgehenden Daten stiegen alle paar Stunden für ein paar Minuten auf das doppelte an. Hat sich herausgestellt, dass lediglich ein verkonfigurierter Windose-Proxy schuld daran war, und der, da die Seiten (dank dynamischer Programmierung) immer als neu geladen wurden, unseren Datenbestand regelmäßig abgespidert hat. Wir dachten im ersten Moment, dass sich jmd unserer News bemächtigen will, war aber nur ein, ein wenig übereifriger Winfuture Besucher, der Administrator eines Schulnetzes war und die Seite gerne etwas flotter sehen wollte .

Dem aufmerksamen Administrator entgeht nicht, wenn plötzlich mehr auf der Kiste los ist. Im besten Fall, leg eine Logdatei mit fehlgeschlagenen Logins und deren Ursprung (IP-Addr) ab. Mach noch eine bisserl bedrohliche Nachricht wie von wegen "Fehlgeschlagener Login, Ihre IP-Addresse wurde aus Sicherheitsgründen gespeichert" rein und gut is. Da mit JavaScript abzugehn ist *big_smile* der falsche Weg. Zumal - wie schon gesagt wurde - ein BruteForce T00l, wenn es nicht gerade vom Uber-ScriptCaddie geschrieben wurde, wahrscheinlich keinen JavaScript ausführt . Das Blödste was man imho machen kann, ist einem potentiellen Einbrecher Grund zu geben, sauer auf dich zu sein. Wenn er das 100ste Mal versucht hat sich einzuloggen und dann eine beleidigende Nachricht a ´la "kleiner Arschloch, du knackst mich eh nicht" abbekommt, wird er erst recht nicht aufgeben.

[Floele]

Zitat (mo: 26.10.2005, 18:30)

Dem aufmerksamen Administrator entgeht nicht, wenn plötzlich mehr auf der Kiste los ist.

Ahja, ich weiß zwar nicht wie es andere machen, aber ich habe keine Zeit 24/7 die Auslastung meines Servers zu beobachten

[Rika]

Wieso nicht?

[Floele]

Weil ich das a) nicht beruflich mache und dementsprechend was anderes zu tun habe und b) es auch ziemlich öde finde 12 Stunden am Tag auf eine sich ständig ändernde Prozentzahl zu gucken

Dieser Beitrag wurde von Floele bearbeitet: 26. Oktober 2005 - 21:17

[Rika]

Brauchst du auch nicht, das macht ein Script. Wenn was ist, hat sich der Server bei dir zu melden.

[Floele]

Zitat (Rika: 26.10.2005, 22:26)

ein Script

Geht das auch genauer? Wie war das noch... -v

[Rika]

*seufz*

So ziemlich jeder fähige Siteadmin schreibt sich Scripte, die regelmäßig prüfen, ob die Leitung noch steht (ping), der Server noch erreichbar ist (wget), die Bandbreite nicht ausgelastet ist (iptables), legitimer und nichtlegitimer Traffic (iptables), ob die Prozessliste plausibel ist (ps), ...

Und wenn ein Problem auftritt, versendet es halt eine eMail, SMS, Telefonanruf, ...

[mo]

z.B. mit hotsanic oder mrtg lässt sich ein system ganz einfach überwachen, protokollieren und in schöne Grafiken schreiben lassen. So kann man auch über Monate hinweg z.B. die Auslastung, wie sich die Bandbreite entwickelt, die Festplatten I/O's uswusf. beobachten und findet so schwere Fehler bei einem Softwareupgrade (z.B. der eigenen Websoftware, wenn ein Skript plötzlich 10mal so lange für eine Operation braucht ) relativ schnell. Klar kann man so nur allgemeine Trends sehen, das reicht aber oft, um Probleme zu erkennen und dann genauer nachzuforschen.

[Floele]

Gut, ich werde diese Programme bei Gelegenheit mal ausprobieren. Bis jetzt habe ich mich um sowas nicht großartig gekümmert da es auch bisher kaum Probleme gab und ich mich auch schon um genug andere Dinge kümmern musste (bzw. immer noch muss).