BruteForce

Denny

Moin,

gestern hatte ich eine BruteForce es wurde versucht Adressen herauszufinden oder auf Existenz zu prüfen. Die Adressen die angefragt wurden gab es aber nicht also ein reiner Versuch zu erspähen welche Adresse existieren. Zudem gab es zu jeder Anfrage eine einzelne IP (und jeweils nur eine Anfrage pro nicht existierenden Account) also schlecht zu filtern. Das ging so weit, dass hunderte Anfragen pro Sekunde reinkamen, meist aus den USA Colorcrossing aber auch M247 war oft vertreten.

Ich hatte das Gefühl, dass über einen externen Server die Anfragen einfach an das Login-Formular übergeben werden, die Vermutung bestätigte sich als ich die index?login zu index?login2 geändert hab und es kurz aufhörte, brachte aber keinen Erfolg. Nach 7h Netz blocken war es dann zu ende aber ich muss dringend was unternehmen. Was kann man denn machen um zu verhindern das externe scripte einfach das Loginformular einbinden und dort ihr Unwesen treiben und wie kann man sowas generell verhindern -> Botschutz ohne Captcha Honeypot obwohl es ja den hidden input im Formular bereits gibt?

Sebijk

Hi,

danke für dein Beitrag. b1gMail hat im nicht eingeloggten Bereich tatsächlich keine guten Möglichkeiten sich zu schützen. Als Sofortmaßnahme könnte man jeglichen fremden Referrer, der auf die Loginseite oder Verfügbarkeitscheck zugreift, blockieren.

Sebijk

Ich habe im aktuellen Repo einen DNSBL Check für den Verfügbarkeitscheck bei nicht eingeloggten User hinzugefügt. Der konnte tatsächlich auch bei ausgeschaltete Registrierung genutzt werden. Das habe ich gefixt.

Meine nächste Idee wäre ein Plugin-Hook einzuführen. Da könnte man ein Plugin schreiben, der die zuviele Zugriffe in der kurzen Zeit loggt und mit fail2ban könnte man diese IPs für eine bestimmte Zeit bannen.

Bei der nächsten Version (7.5?) bräuchte b1gMail bessere CSRF-Schutzmaßnahmen.

Denny

Zitat von Sebijk

Ich habe im aktuellen Repo einen DNSBL Check für den Verfügbarkeitscheck bei nicht eingeloggten User hinzugefügt. Der konnte tatsächlich auch bei ausgeschaltete Registrierung genutzt werden. Das habe ich gefixt.
Meine nächste Idee wäre ein Plugin-Hook einzuführen. Da könnte man ein Plugin schreiben, der die zuviele Zugriffe in der kurzen Zeit loggt und mit fail2ban könnte man diese IPs für eine bestimmte Zeit bannen.
Bei der nächsten Version (7.5?) bräuchte b1gMail bessere CSRF-Schutzmaßnahmen.

Denny

Jetzt ist der nächste Dienst dran, wir komme ich denn an die referer? Sieht aber so aus als wenn die alle von einem Browser kommen, gints da vllr was browserseitiges?

Code

154.202.125.245 - - [02/Feb/2023:12:16:28 +0100] "POST https://domain.de/index.php?action=login HTTP/1.1" 200 186 "https://domain.de/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:107.0) Gecko/20100101 Firefox/107.0" 1364 1338
107.174.62.225 - - [02/Feb/2023:12:16:28 +0100] "POST https://domain.de/index.php?action=login HTTP/1.1" 200 186 "https://domain.de/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:107.0) Gecko/20100101 Firefox/107.0" 1356 1338
23.236.166.100 - - [02/Feb/2023:12:16:28 +0100] "POST https://domain.de/index.php?action=login HTTP/1.1" 200 203 "https://domain.de/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:107.0) Gecko/20100101 Firefox/107.0" 1355 4669
192.177.173.27 - - [02/Feb/2023:12:16:28 +0100] "POST https://domain.de/index.php?action=login HTTP/1.1" 200 203 "https://domain.de/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:107.0) Gecko/20100101 Firefox/107.0" 1352 1355
107.174.139.15 - - [02/Feb/2023:12:16:28 +0100] "POST https://domain.de/index.php?action=login HTTP/1.1" 200 203 "https://domain.de/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:107.0) Gecko/20100101 Firefox/107.0" 1354 1355
107.174.43.146 - - [02/Feb/2023:12:16:28 +0100] "POST https://domain.de/index.php?action=login HTTP/1.1" 200 186 "https://domain.de/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:107.0) Gecko/20100101 Firefox/107.0" 1364 4652
156.239.59.176 - - [02/Feb/2023:12:16:28 +0100] "POST https://domain.de/index.php?action=login HTTP/1.1" 200 186 "https://domain.de/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:107.0) Gecko/20100101 Firefox/107.0" 1360 1338
154.201.46.190 - - [02/Feb/2023:12:16:28 +0100] "POST https://domain.de/index.php?action=login HTTP/1.1" 200 203 "https://domain.de/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:107.0) Gecko/20100101 Firefox/107.0" 1353 4669
107.173.123.141 - - [02/Feb/2023:12:16:28 +0100] "POST https://domain.de/index.php?action=login HTTP/1.1" 200 186 "https://domain.de/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:107.0) Gecko/20100101 Firefox/107.0" 1360 1338
172.245.155.216 - - [02/Feb/2023:12:16:28 +0100] "POST https://domain.de/index.php?action=login HTTP/1.1" 200 186 "https://domain.de/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:107.0) Gecko/20100101 Firefox/107.0" 1357 1338
45.199.136.55 - - [02/Feb/2023:12:16:28 +0100] "POST https://domain.de/index.php?action=login HTTP/1.1" 200 186 "https://domain.de/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:107.0) Gecko/20100101 Firefox/107.0" 1359 1338
107.174.3.179 - - [02/Feb/2023:12:16:28 +0100] "POST https://domain.de/index.php?action=login HTTP/1.1" 200 203 "https://domain.de/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:107.0) Gecko/20100101 Firefox/107.0" 1351 4669
191.96.29.164 - - [02/Feb/2023:12:16:28 +0100] "POST https://domain.de/index.php?action=login HTTP/1.1" 200 203 "https://domain.de/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:107.0) Gecko/20100101 Firefox/107.0" 1351 1355
38.15.153.193 - - [02/Feb/2023:12:16:28 +0100] "POST https://domain.de/index.php?action=login HTTP/1.1" 200 186 "https://domain.de/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:107.0) Gecko/20100101 Firefox/107.0" 1369 4652
172.252.1.106 - - [02/Feb/2023:12:16:28 +0100] "POST https://domain.de/index.php?action=login HTTP/1.1" 200 186 "https://domain.de/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:107.0) Gecko/20100101 Firefox/107.0" 1358 1338
144.168.253.133 - - [02/Feb/2023:12:16:28 +0100] "POST https://domain.de/index.php?action=login HTTP/1.1" 200 203 "https://domain.de/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:107.0) Gecko/20100101 Firefox/107.0" 1351 4669
154.202.100.5 - - [02/Feb/2023:12:16:28 +0100] "POST https://domain.de/index.php?action=login HTTP/1.1" 200 203 "https://domain.de/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:107.0) Gecko/20100101 Firefox/107.0" 1349 1355
144.168.255.119 - - [02/Feb/2023:12:16:28 +0100] "POST https://domain.de/index.php?action=login HTTP/1.1" 200 203 "https://domain.de/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:107.0) Gecko/20100101 Firefox/107.0" 1353 1355
107.172.37.108 - - [02/Feb/2023:12:16:28 +0100] "POST https://domain.de/index.php?action=login HTTP/1.1" 200 186 "https://domain.de/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:107.0) Gecko/20100101 Firefox/107.0" 1354 1338
154.202.127.43 - - [02/Feb/2023:12:16:28 +0100] "POST https://domain.de/index.php?action=login HTTP/1.1" 200 203 "https://domain.de/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:107.0) Gecko/20100101 Firefox/107.0" 1352 4669
104.168.83.198 - - [02/Feb/2023:12:16:28 +0100] "POST https://domain.de/index.php?action=login HTTP/1.1" 200 186 "https://domain.de/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:107.0) Gecko/20100101 Firefox/107.0" 1356 1338
191.96.87.152 - - [02/Feb/2023:12:16:28 +0100] "POST https://domain.de/index.php?action=login HTTP/1.1" 200 186 "https://domain.de/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:107.0) Gecko/20100101 Firefox/107.0" 1354 1338

Alles anzeigen

Denny

Erledigt, in den error log tauchte die ganze zeit eine Domain auf pandamail.shop und unser Server hat das SSL zurückgewiesen falsche SNI, geh ich auf die Seite sehe ich da unsere Seite also ein Mirroring über was der vermutlich Nutzerdaten abgreifen wollte, die Unterseiten leiten zwar alle über 301 weiter wegen HSTS nur die Startseite nicht, ich hab jetzt den Host eindeutig definiert, die IP geblockt und jetzt ist er weg, was eine Nervensäge

ManDal

Das Problem ist halt das die Anfragen von unterschiedlichen IPs kommen und wenn dann nur 1-2 Versuche stattfinden pro IP kannst du das ganze unmöglich blocken da du sonst jeder normale Benutzer auch geblockt werden würde bei einem Anmeldeversuch.

Denny

Zitat von ManDal

Das Problem ist halt das die Anfragen von unterschiedlichen IPs kommen und wenn dann nur 1-2 Versuche stattfinden pro IP kannst du das ganze unmöglich blocken da du sonst jeder normale Benutzer auch geblockt werden würde bei einem Anmeldeversuch.

jo, ich habe halt die Netze direkt gesperrt wenn die nicht in Deutschland waren, ist halt so aber manche Provider die haben einfach hunderte Netze, ich hab mich da mit auch intensiver mit Notepad++ auseinandersetzten müssen, man bekommt mal nicht einfach ne IP liste schön als tabelle

ManDal

Zitat von Denny

jo, ich habe halt die Netze direkt gesperrt wenn die nicht in Deutschland waren, ist halt so aber manche Provider die haben einfach hunderte Netze, ich hab mich da mit auch intensiver mit Notepad++ auseinandersetzten müssen, man bekommt mal nicht einfach ne IP liste schön als tabelle

Ja so ist das leider, daher sperre ich gewisse Länder komplett vom Login Formular...

Denny

Zitat von ManDal

Ja so ist das leider, daher sperre ich gewisse Länder komplett vom Login Formular...

Ja China und Russland habe ich gesperrt aber nicht aus politischen Gründen, jetzt kommen Sie aber aus den USA^^

Jetzt mitmachen!