[ERLEDIGT]Vermutung im ISPCP 1.0.0 RC6 ?

[joximu]

naja, das mit Türen und Fenstern - Zaratustra kannte Windows ja nicht... :-)

*Wenn*, dann, würde ich den admin-Bereich zusätzlich absichern.
Kannst es ja mit 'ner .htaccess versuchen im gui/admin Verzeichnis...

Aber mach's nicht zu dicht, dass du nicht mehr reinkommst :-)

/J

[FeG]

Hi,

(10-18-2008 01:50 PM)charam Wrote:  Kann man den Clientbereich noch einmal zusätzlich absichern, z.b. mit PHP Access und wenn ja, welche Dateien muss ich absicher bzw. wie heißen diese oder wo liegt der Ordner indem ich die Accessdateien hochladen müsste?

die Frage ist doch hier zunächst einmal, wie der Angreifer reingekommen ist. Und soweit ich dem Log etwas entnehmen kann (und wenn das sein erster Angriff war) ist er ziemlich direkt reingekommen, also ohne großes Passwort-Raten (was ja wg. Bruteforce-Schutz eh nicht möglich gewesen wäre).

D.h. ich sehe hier im Moment nur zwei Möglichkeiten:

1. Er kannte das Passwort. Dann liegt das Problem ganz wo anders und du kannst mit keinem Schutz der Welt irgendwas verhindern..

2. Es gibt einen Sicherheitsleck in ispCP; dazu müsste man aber genauer wissen was er da wo eingegeben hat...

Alles andere hätte meiner Einschätzung nach mehr Login-Versuche zur Folge gehabt.

Gruß
FeG

[ZooL]

FeG da stimme ich dir jetzt mal zu... 1 und 2 das ist folglich richtig das
ist ja bisher die Erste Meldung in diesem Gebiet...


mfg

[fabe]

vielleicht einfach ein user der über nen proxy oder das tor netzwerk sich einfach eingeloggt hat?

[charam]

Hallöchen,

heute hat noch jemand über einen Hetzner Server versucht auf den Server zuzugreifen. Jedoch hat derjenige schonmal von vorne herein ein falschen Admin angegeben und ich hatte neue Passwortdaten eingegeben.

Ich gehe mal davon aus, da der Zugriff direkt erfolgte ohne Passwortraten, das die Daten irgendwo öffentlich einsehbar sind oder der jenige die Daten weitergibt.

Das Passwort habe nur ich und das ist in meinem Brain. Also nirgends niedergeschrieben.

Komischerweise wird aber immer nur auf eine bestimmte Domain zugegriffen und nicht auf alle.

Gruss Paul

(10-18-2008 06:34 PM)FeG Wrote:  Hi,

(10-18-2008 01:50 PM)charam Wrote:  Kann man den Clientbereich noch einmal zusätzlich absichern, z.b. mit PHP Access und wenn ja, welche Dateien muss ich absicher bzw. wie heißen diese oder wo liegt der Ordner indem ich die Accessdateien hochladen müsste?

die Frage ist doch hier zunächst einmal, wie der Angreifer reingekommen ist. Und soweit ich dem Log etwas entnehmen kann (und wenn das sein erster Angriff war) ist er ziemlich direkt reingekommen, also ohne großes Passwort-Raten (was ja wg. Bruteforce-Schutz eh nicht möglich gewesen wäre).

D.h. ich sehe hier im Moment nur zwei Möglichkeiten:

1. Er kannte das Passwort. Dann liegt das Problem ganz wo anders und du kannst mit keinem Schutz der Welt irgendwas verhindern..

2. Es gibt einen Sicherheitsleck in ispCP; dazu müsste man aber genauer wissen was er da wo eingegeben hat...

Alles andere hätte meiner Einschätzung nach mehr Login-Versuche zur Folge gehabt.

Gruß
FeG

[FeG]

Hi,

(10-18-2008 10:33 PM)charam Wrote:  Ich gehe mal davon aus, da der Zugriff direkt erfolgte ohne Passwortraten, das die Daten irgendwo öffentlich einsehbar sind oder der jenige die Daten weitergibt.

Dann ist dies - wenn nicht ispCP irgendwie einen Zugriff auf die Passwörter ermöglicht - erstmal kein Sicherheitsleck von ispCP selbst.

Ein möglicher Einfallsweg, der mir spontan einfällt wäre phpMyAdmin. Hierüber könnte jemand ggf. Zugriff auf die Passwörter erhalten haben. Hast du da schonmal näher geschaut?

Gruß
FeG

[ZooL]

das ist so eine sache in phpmyadmin sind glaube ich alle pw daten min md5 verschlüsselt..

mfg

[zpin]

Ich nehme an du bist etwas überparanoid. Der erste "hackversuch" war wohl einfach ein user mit nem proxy, oder falsche geolocation oder was weiss ich. In dem mail das du bekommen hast steht ja der username, und den apache logs nach zu urteilen war das nicht "admin".

---

Quote:heute hat noch jemand über einen Hetzner Server versucht auf den Server zuzugreifen. Jedoch hat derjenige schonmal von vorne herein ein falschen Admin angegeben und ich hatte neue Passwortdaten eingegeben.

Und mit leuten, welche sich als admin versuchen einzuloggen musst du halt rechnen, mit deiner passwortlänge wird da aber nicht wirklich was zu holen sein, also musst du dir da auch keine sorgen machen. Ich habs zb auch versucht, nachdem ich das hier gelesen hab, hätte ja sein können das du irgen nen offensichtlichen fehler in der installation hast.

[zpin]

Schön, der gute Herr will mir den Server sperren, weil ich seinen Login getestet hab... (Merke, 1 Versuch mit zufälligem PW):

Quote:Sehr geehrte Damen und Herren,

Sie haben am 18.10.2008 um 00.34 Uhr versucht auf unseren Rechner zuzugreifen. Der Versuch Zugang zu unserem Server erhalten, mißglückte durch Eingabe falscher Daten.

Wir haben unsere Rechtsanwälte in Deutschland und deren Vertragsanwälte in der Schweiz den Auftrag erteilt rechtliche Schritte einzuleiten. Der von Ihnen bei Hetzner Online AG angemietete Server werden wir durch eine einstweilige Anordnung wegen Gefahr im Verzuge, heute morgen beantragt bei der Staatsanwaltschaft Berlin, stilllegen lassen, bis der Sachverhalt geklärt ist.

i.a. Arthur van de Pütten
Ra - Rechtsabteilung ETH - Nepal Pvt.Ltd.

Was sagt ihr dazu?
Ich denke der hat noch nie nen Bruteforce/DDoS miterlebt.

[Top44]

Was hat das mit Bruteforce bzw. DoS zu tun ?