Hallo, wir haben so einen lustigen Vogel, der scheinbar per Brute Force versucht in unseren Shop einzudringen: Alle 10 Minuten gibt es einen Passwort-Errateversuch aus dem Tor-Netzwerk. Beispiel: 00:06:26 /login.php?action=process hessel2.torservers.net 0 Guest 109.163.234.4 22:53:44 22:53:47 Unser Admin Passwort ist recht sicher denke ich, und wir haben auch jetzt alle anderen Admin Konten in normale zurückumgewandelt. Trotzdem grundsätzlich die Frage: Macht es nicht ohnehin Sinn, Tor User grundsätzlich auszusperren? Ich kann mir kaum seriöse ernsthafte Käufer vorstellen, die über Tor in den Shop kommen. Wäre es möglich, z.B. sowas hier als grundsätzliches Feature in Gambio zu implementieren? (Link nur für registrierte Nutzer sichtbar.) Eine offizielle Liste von TOR Exit Nodes scheint es ja hier regelmäßig aktualisiert zum Download zu geben: (Link nur für registrierte Nutzer sichtbar.) Danke und VG
Sinnvoller wäre es, den Angreifer bereits an der Verbindung zum Server zu hindern. Das geht aber in der Regel nur wenn man einen eigenen Server hat und eigene Firewall-Regeln anlegen kann. In dem Fall ist fail2ban das Mittel der Wahl. Fehlerhafte Logins führen zu einer Sperre der IP in der Firewall. Hier wird dann nicht nur der Shopzugriff gesperrt, sondern alle im fail2ban definierten Protokolle werden auf fehlerhafte Logins überwacht und nach einer definierten Anzahl von Fehlversuchen gesperrt.Das betrifft dann nicht nur Tor-Adressen. Das Feature gibt es schon. Trag die IP-Liste einfach ind /GProtector/ip-blacklist.txt ein.
Das wird lustig, wenn der "Angreifer" keine feste, sondern eine dynamische IP hat, was zumeist der Fall sein dürfte.
Wer es drauf anlegt, hat jede Minute eine neue IP und startet den Angriff von neuem. Da muss niemand mehr zum Router rennen und den Stecker ziehen ... das geht per Klick.
Ja die IPs wechseln Denoch gibt es meist nur eine begrenzte Anzahl an Hops wo die Leute her kommen. Bzw. paar statische Exit Points. Die könnte man aussperren. Generell würd ich mir da aber keine sorgen machen.
Doch. Alle 10 Min eine neue Session über einen neuen Exit. Also das sind über 900 IP-Adressen, die sich für jeden Seitenaufruf abwechseln. Und die Anzahl der TOR Exits und deren IP-Adressen können sich minütlich ändern. Da kommt mal was dazu dann fällt wieder was weg. Daher ist der GProtector so lange unpraktikabel, wie sich die IP-Sperrliste nicht automatisch aktualisieren lässt, z.B. 1x pro Stunde oder 1x pro Tag. Habe letztens einen Artikel gelesen: Große Unternehmen machen sich gerade zunehmend Gedanken, wie sie ihre Mitarbeiter davon abhalten können, TOR Exits mit den statischen IPs des Firmennetzwerks einzurichten....
Ich muß mal ganz blöd fragen - wo sieht man sowas? Wo genau muß ich da schauen ob jemand da Unfug macht?
Hab mir das kurz angesehen. Das ist keine grosse Magie für sich und findet eigentlich autonom statt. In dem Beispiel müsste man nur den Standardinhalt der htaccess Datei in die Contentvariable füllen, damit der dann auch mit geschrieben wird und das Ding dann per cron aufrufen. Wir kneifen uns immer nach Möglichkeit an den htaccess Dateien herumzuschreiben aus dem Shop heraus, das klappt nicht auf jedem Server, aber wer sich sowas zusammenklöppeln mag, warum nicht.