Thalia Onlineshop mittels Brute-Force-Angriff gehackt

Ghandy · 22. Januar 2022 um 08:57

Kommentare zu folgendem Beitrag: Thalia Onlineshop mittels Brute-Force-Angriff gehackt

Ghandy · 22. Januar 2022 um 10:21

Jemand schrieb mir, ein IPS wie fail2ban hätte wenig gebracht. Die meisten User nutzen Sockslisten. Ist eine ip geperrt, geht man zur nächsten. Es wäre nur sinnhaft gewesen, wenn man das Benutzerkonto lahmlegt nach wenigen Versuchen.

PowerMan · 22. Januar 2022 um 14:20

Fail2ban bringt was, wenn 13 jährige dich „angreifen“, ansonsten wird einfach die IP gewechselt.

aleaiactaest · 22. Januar 2022 um 21:34

Hallo Lars, der Titel ist wieder ziemlicher Clickbait!
Es ist ein großer Unterschied ob der Shop gehacked wurde, oder ob Accounts Brute-Forced worden sind.
In diesem Fall wurden lediglich Accounts von nutzern Hacked und nicht der Shop!
Also bitte ändere den Titel.

Ghandy · 27. Januar 2022 um 11:22

Mal wieder? Kannst Du das begründen?

Die Accounts führen zu was? Ja, genau zum Online-Shop. Oder zu was bitte sonst? Von daher ist der Titel in meinen Augen nicht irreführend.

VIP · 27. Januar 2022 um 12:35

fail2ban ist ein Set aus Client, Server und Konfigurationsdateien, welches Logdateien überwacht, dort nach vordefinierten Mustern sucht und nach diesen temporär IP-Adressen sperrt. Es ist unter der GNU General Public License Version 2 veröffentlicht und basiert auf Python.

Ziel des Programms ist, alle Serverdienste gegen Angriffe des Typs Denial of Service (DoS) abzusichern. Allerdings darf man nicht vergessen, dass die Grundfunktion (Sperren einzelner IP-Adressen) insbesondere bei „Distributed Denial of Service“-Angriffen (DDoS) durch Bot-Netze an ihre Grenzen stoßen kann.

fail2ban scannt Protokolldateien (z . B. /var/log/apache/error_log ) und sperrt IPs, die böswillige Anzeichen aufweisen – zu viele Kennwortfehler, Suche nach Exploits usw. Im Allgemeinen wird Fail2Ban dann verwendet, um Firewall-Regeln zu aktualisieren, um die IP-Adressen abzulehnen für eine bestimmte Zeit, es könnte aber auch jede beliebige andere Aktion (z. B. das Versenden einer E-Mail) konfiguriert werden. Standardmäßig enthält Fail2Ban Filter für verschiedene Dienste (Apache, Courier, SSH usw.).

fail2Ban ist in der Lage, die Rate fehlerhafter Authentifizierungsversuche zu reduzieren, kann jedoch das Risiko einer schwachen Authentifizierung nicht beseitigen.

Konfiguriere Dienste so, dass du nur Zwei-Faktor- oder öffentliche/private Authentifizierungsmechanismen verwenden, wenn du Dienste wirklich schützen möchtest.
EIN IPS auf Basis von MAC wäre hier wohl besser gewesen!