Hilfe, die Russen kommen?! daMax unter Beschuss

Januar 6th, 2012, 22:07 > da/Y\ax

Oha! Hier versucht seit ein paar Tagen jemand, Zugang zu todamax zu bekommen. Ich habe ein Plugin laufen, dass mich darüber informiert, wenn sich am Backend Leute zu schaffen machen und nicht reinkommen. Wenn also jemand 3x das falsche Passwort eingibt wird er/sie/es erstmal für ein paar Stunden gesperrt. Versucht er/sie/es danach erneut einen Einstieg durch den Lieferanteneingang, wird die IP-Adresse für einen Tag gesperrt und ich kriege eine Mail.

Seit ein paar Tagen versucht hier jemand von der IP 78.29.15.137 aus, Administrator-Zugriff auf mein Blog zu bekommen. Eine kleine Location-Abfrage zeigt:

WTF? Die Russen kommen? Habt ihr eine Idee, wie ich diese/n Mensch/in möglichst effektiv von seinem/ihrem Treiben abhalten kann? Ich habe jetzt erstmal die Sperrfristen hochgesetzt, aber sonst?

PS: Gendern hemmt meine/n Redefluss/in.

Update: hab die Zeiten jetzt auf 24 Stunden respektive 30 Tage hochgedreht... die können mich ma gern haben.

9 Meinungen zu “Hilfe, die Russen kommen?! daMax unter Beschuss”

  1. Die IP Adresse ist aus dem dynamischen Adresspool eines russischen Internet Provider (is74.ru). Seit mehreren Tagen von der selben IP Adresse hört sich darum sehr eigenartig an. Wenn es stets von der selben IP Adresse kommt, IP Adresse blacklisten. Wenn es von unterschiedlichen IP Adressen kommt: Tee trinken, warten, hoffen dass deine Passwörter halten. Wenn du magst kannst du eine Mail an abuse@is74.ru schreiben. Vermutlich aber mit wenig bis keinem Erfolg.

  2. christoph meinte:

    Den ganzen Adressberich 78.29.xxx.xxx permanent aussperren. Eventuell mal googlen ob das nen Tor Ausgang ist. Kommt der Zugriff dann aus einem anderen Block diesen auch blacklisten ggf. nur adressbereiche aus der ersten Welt zulassen, da hilft dann auch abuse. Wenn es immer noch nicht aufhört den Datei/Pfadnamen des Adminscripts ändern der ist schließlich bei allen WP Setups identisch was unsere Blogs auch anfreifbarer macht. Wenn der Pfad nicht mehr /www/wp/admin/admin.php sondern /www/individuell/meinadminverzeichnes/admax.php lautet ist das schon nicht mehr so einfach daran zu kommen. Und praktisch ist auch die login landing page per. .htaccess passwort zu schützen. Ansonsten mal nach “wie mach ich mein WP sicherer” googlen da gibts noch reichlich workouts.

  3. @christoph,

    Und praktisch ist auch die login landing page per. .htaccess passwort zu schützen.

    Das ist nicht nur praktisch sondern eigentlich ein absolutes Muss. SSL + .htaccess über den Administrationsbereich legen.

  4. daMax meinte:

    Danke Jungs. Da werd ich mich mal dran machen…

  5. daMax meinte:

    @Daniel Baulig, den Admin-Bereich SSL zu veschlüsseln scheint nicht ganz trivial zu sein. Wir hatten für “Bei Abriss Aufstand” auch einmal darüber nachgedacht, und einen Linuxfummler da dran gesetzt, der ist allerdings daran gescheitert, weil er es wohl nicht hinbekommen hat. Back- und Frontend von WP sind seiner Meinung nach zu eng verzahnt um sie sinnvoll trennen zu können. Ich selbst habe von dem Thema zu wenig Ahnung, um da eine Meinung zu zu haben. Muss wohl oder über mal in der Richtung googlen…

  6. da]v[ax meinte:

    @christoph, zum Ändern des Admin-Pfades: hast du das schonmal gemacht? Anscheinend ist “wp-admin” überall in WordPress hartverdrahtet, davon lasse ich also lieber die Pfoten.

  7. christoph meinte:

    @da]v[ax, Ich Antworte mal public:
    Also in dem Artikel den du mir mit der Frage geschickt hast steht wohl das der Pfad hardcodet ist aber das ist nicht so wirklich das Problem wenn du ein wenig unter der motorhaube basteln willst (wird wohl auf try and error hinauslaufen aber irgendwann passen)
    [ich empfehle für diesen zweck eine kopie deiner offline version zu verwenden]
    du kannst mit sed (stream editor) stapelweise textstrings (abc durch def) ersetzen also den admin pfad gegen deinen eigenen austauschen -diese funktion bietet eigentlich jeder bessere texteditor wie pspad oder notepad++ nur müsste man dann jede core file einzeln editieren was bei einer wordpress version von 2012 ne weile dauern könnte.

    Ich verstehe dieses Verhalten von Worpress nicht, man kann doch in php strings definieren wie bspw $adminpath und diese über eine include dann später customizen. Das ist wenn man mal überlegt wie weit verbreitet dieses System ist eine gerade zu fahrlässige Designschwäche. Eventuell sollte man mal auf WordPress.org mal ein bisschen Druck machen eine solche Funktion in zukunft zu implementieren, allerdings werden dann die milliarden plugins wohl auch alle nicht mehr funktionieren.

    Bei http://www.e107.org wirst du bei der installation schon aufgefordert die pfade zu individualisieren. Besser isses.

  8. christoph meinte:

    Generell zu WordPress Security:

    Nicht wp_ als Tabellenpräfix wählen sondern was eigenes (stoppt scriptkiddies zuverlässig).

    Loginpage via .htaccess absichern
    Hier gibt es darüber ein paar nützliche Informationen:
    http://perishablepress.com/press/2009/07/13/htaccess-password-protection-tricks/

    So kann man theoretisch auch das ganze Blog gegen bestimmte Adressbereiche abriegeln also du kannst dann Angreifer die aufgefallen sind aussperren, hier zum Beispiel 78.29.15.xxx oder 78.29.xxx.xxx allerdings ist es wohl nicht so einfach von vornherein alle Russen/innen auszusperren… Ausserdem gibts ja immer noch proxys…

    Hier ist das nochmal auf deutsch etwas erklärt http://kenntwas.de/2011/tips/tools-allgemein/wordpress-zusaetzlich-durch-htpasswd-sichern/

    Den benutzer admin löschen nachdem man vorher einen anderen Hauptadmin angelegt hat hilft auch Bruteforce zu erschweren.

Trackbacks/Pingbacks:
  1. [...] ist echt langweilig, oder? Seit über 2 Monaten versuchst du hier reinzukommen mit einer Hartnäckigkeit, die an Autismus grenzt. Auch 3-Tage-Sperren halten [...]

Antworten

Dein Kommentar


Halte Dich bitte an die Spielregeln. Welche Emoticons du verwenden kannst, steht hier.
 
 Wer HTML kann, ist klar im Vorteil. Diese Tags sind erlaubt: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>
 
 Bei der Menge an Spam-Kommentaren passiert es hin und wieder, dass ein Kommentar vom Spamfilter gefressen wird. Bitte sei mir nicht böse aber ich habe weder Zeit noch Lust, solch verloren gegangenen Kommentaren hinterher zu forschen. Wenn das öfters passiert, schreib' mir 'ne Mail damit ich dich whitelisten kann.

Ihr Browser versucht gerade eine Seite aus dem sogenannten Internet auszudrucken. Das Internet ist ein weltweites Netzwerk von Computern, das den Menschen ganz neue Möglichkeiten der Kommunikation bietet.

Da Politiker im Regelfall von neuen Dingen nichts verstehen, halten wir es für notwendig, sie davor zu schützen. Dies ist im beidseitigen Interesse, da unnötige Angstzustände bei ihnen verhindert werden, ebenso wie es uns vor profilierungs- und machtsüchtigen Politikern schützt.

Sollten Sie der Meinung sein, dass Sie diese Internetseite dennoch sehen sollten, so können Sie jederzeit durch normalen Gebrauch eines Internetbrowsers darauf zugreifen. Dazu sind aber minimale Computerkenntnisse erforderlich. Sollten Sie diese nicht haben, vergessen Sie einfach dieses Internet und lassen uns in Ruhe.

Die Umgehung dieser Ausdrucksperre ist nach §95a UrhG verboten.

Mehr Informationen unter www.politiker-stopp.de.