Hallo Zusammen,
auf der Webseite von heise-online gibt es aktuell einen interessanten Artikel, der über einen phpBB-Bot informiert, der sich derzeit in phpBB-Foren als Anwender mit dem Namen FuntKlakow registriert. In einigen Fällen postet der Bot kurze Meldungen in anderen Fällen trägt er Werbung in seiner Signatur ein, was die Vermutung nahe legt, dass es sich um einen klassischen Spam-Bot handelt. Um sich gegen den phpBB-Bot zu schützen reicht es, wenn Ihr in der Nutzerverwaltung den Namen FuntKlakow unter "Disallow Names" eintragt.

Quelle:

Please login to see this link Get registered or Log in

 

 

Daselbe gilt auch für:
jtfoe1974, unmmyns, coldsorin, fairlande, largepafilis, pirsrv, sadlatour, bighor-lam, greatfintan, budowa_cepa und Cepelin  

 

hmm, nur den Namen zu sperren kann wohl noch nicht die endgültige Lösung sein, dass der Bot sich mit anderen Namen registrieren wird, war wohl absehbar, wie Germane ja schon postet....    

 

chrisy,
ja stimmt ! Die Verwendung der Captcha-Codes bei der Anmeldung hilft natürlich auch schon, aber scheinbar werden einige dieser Codes auch schon von diesen phpBB-Bots ausgelesen. Letzten Endes würde hier nur die manuelle Freigabe von Useraccounts durch den Admin helfen, aber wer will das schon ?  

 

Jepp ... und eine Lösung ist nicht in Sicht, denn:

1. Freigabe durch den Admin:
   hoher Bearbeitungsaufwand - lange Anmeldewartezeiten
   eMail Traffic könnte vom Spam-Schutz abgewiesen werden
   Bei Boards mit hoher Anmeldefrequenz nicht machbar (außer Vollzeitadmin vorhanden)

2. Freigabe durch eMail-Link:
   eMail-Adresse des Users wird geprüft -> ganz klarer Vorteil
   eMail-Adresse wird aber dem Bot bekannt und kann in einem automatisierten
   Verfahren als Spam-Versender verwendet werden ! (Vertrauenswürdiger
   Absender)

3. Zusatzsicherheit durch Eingabe eines Codes:
   Coderoutinen sind bekannt. Die Random-Nummer wird als Klartext übergeben.
   Der Sicherheitscode wird aus dieser Random-Nummer und dem Sitekey generiert.
   D.h. sobald der Sitekey bekannt ist, kann der Sicherheitscode nachvollzogen werden.
   Der sitekey wird wie folgt generiert:
                      $sitekey = md5($_SERVER['HTTP_HOST']);
   Die Variable HTTP_HOST enthält die URL des Servers.
   D.h. wenn mir der Name des Servers und die Random-Nummer bekannt ist, kann
   man den Sicherheitscode daraus ableiten.
   D.h. der Sicherheitscode ist eine zusätzliche Hürde, die aber mit Leichtigkeit
   genommen werden kann.
   Man müßte prüfen, ob man die in der mainfile.php definierte Variabe $sitekey (siehe oben) evt. gegen einen selbst definierten Schlüssel austauschen kann. Damit würde
  man die Sicherheit auf jeden Fall erhöhen.
  Es gibt Varianten, bei denen der Random-Key nicht als Klartext sondern als gif-images übertragen wird. Wenn hier die gif-images keine Eindeutige Namen wie z.B. 1.gif und A.gif haben sondern in einer Zuordnungstabelle hinterlegt werden, dazu noch eine selbst generierter sitekey, dann dürfte der Aufwand zu hoch sein, da man zum einen die Zuordnung "gif`s zu Zuordnungstabelle" und dann noch den sitekey ermitteln müßte.

Die Hinterlegung der "bekannt" gewordenen User-Namen, die der Bot verwendet ist sinnlos, da der Bot jederzeit den Usernamen ändern kann.

Ihr müßt Euch im Klaren darüber werden, daß, ist der Bot bei Euch als User angemeldet, er folgendes machen kann:
- Userliste abrufen:
 Durch den Abruf der Userliste können die eMail-Adressen ausgelesen werden, diese eMail-Adressen können als Zieladresse
 für Spam verwendet oder zur Vorbereitung von Attacken verwendet werden.
 Des weiteren kann der Bot eine Liste der Internetseiten erhalten -> für weitere Besuche
- Teamliste abrufen:
  Mitglieder des Teams haben "erweiterte" Rechte, da es sich um Admins und Moderatoren handelt. Damit hat man schon mal
  die "interessanten" Usernamen eines Boards. Darauf folgend kann man den Bot darauf ansetzen, das für einen dieser User
  das Passwort zu knacken.

Denkt daran, daß die Cracker, die so etwas machen oder programmieren NICHT oder im wenigsten Fall daran interessiert sind, Dein Board in die Finger zu bekommen um damit weiß-Gott-was anzustellen. Die sind in den meisten Fällen daran interessiert, die Usernamen, die eMail-Adressen und evt. weitere Informationen zu bekommen um diese dann weiter zu verkaufen oder durch die erhaltenen Daten einen "Benutzer", der als Zielscheibe für eine Attacke auserkoren wurde, noch gläserner zu machen.
Beispiel:  Wenn ich eine Attacke auf z.B. den Geschäftsführer einer Firma oder auf die Firma selbst fahren möchte, muß ich soviel wie möglich darüber erfahren. Wenn ich dann einen der "Geheimnisträger - Passwortinhaber" in Foren aufgestöbert habe, kann ich z.B. durch die Übernahme des Forums einiges über den User erfahren (evt. Namen, Geburtstage, verwendete Passwörter usw.) ...
Das andere ist, das zwischenzeitlich viele Firmen dazu übergehen, OpenSource Software für gewerbliche Zwecke zu verwenden. PHP hält auch bei großen Firmen für die Internet/Intranet-Anwendungen Einzug. Nun kann ich an "freien" Foren im Netz meine Strategie testen, wie denn z.B. ein solches Forum zu knacken ist, da die meisten Admins oder Webseitenbetreiber das gar nicht mitbekommen, wenn versucht wird, die Seite zu cracken. Dazu gibt es viele verschiedene Möglichkeiten. Eine der interessantesten Varianten ist, wenn man einen Mod entwickelt, der soooo gut ist, das ihn jeder Boardbetreiber haben möchte (oder so was wie z.B. den Arcade-Mod). Dann verteile ich das Ding über die im Intenet zu tausenden vertretenen Mod-Seiten und muß dann nur noch im Internet suchen, wer denn diesen Mod installiert hat - kaboong, die Seite kann übernommen werden.

KEINER - auch wir nicht - kann garantieren, daß ein umfangreicher Mod (wie z.B. fck-Editor) fehlerfrei und ohne Sicherheitslücken ist. Und je komplexer ein System/Mod ist, desto schwieriger ist es, diesen auf eben solche zu prüfen.

So .. jetzt habe ich mal einen meiner bekannten Ergüsse von mir gelassen ..... hier noch ein kleiner Hinweis in eigener Sache:

Lösung die von EVO-GERMAN entwickelt wird:
======================================

In den nächsten Wochen wird von uns eine Lösung entwickelt, die einen entsprechenden Schutz bietet, wobei eine Mischung der vorher genannten Optionen eingesetzt werden wird.
Die größte Herausforderung dabei ist die Tatsache, daß die Darstellung zu verschiedenen Themen passen muß - aber auch dazu wird uns eine Lösung einfallen.

Falls jemand etwas im Internet findet, daß uns diese Arbeit erspart, dann wären wir dafür sehr dankbar.  

 

Ok Leute, wer sich "ein kleines bischen" absichern möchte, kann (neben der Einstellung des Sicherheitscodes) noch folgendes machen (funktioniert natürlich nur, wenn Sicherheitscode aktiviert ist):

Wobei "DEINTEXT" ein von Dir selbst gewählter Text ist. Ich habe es mal auf unserer Testseite mit "Schweinepriester" versucht und es hat hervorragend geklappt.
Verwendet am Besten ein Mischmasch aus Buchstaben (Groß- und Kleinschreibung) und Nummern - KEINE Sonderzeichen (gleiche Regeln wie Usernamensvergabe).
Ok - ich habe natürlich nicht ALLE Programme durchgetestet ... aber die Routine für das Anmelden wird in allen Programmen, die den Check vornehmen benutzt, weshalb es keine Schwierigkeiten gegen dürfte.  

 

uff, Reorg... du bist einfach gigantisch... und das in der kurzen Zeit...

ich habe noch ein paar Fragen / Probleme...

1. bisher ist immer die Rede von phpbb Boards, unsere Userregistrierung erfolgt aber nur in CNBYA (Your_Account), somit muss doch schon mal der Bot einen ganz anderen Pfad suchen als in einem reinen phpbb Board

2. Ich habe mal versucht, die Usernamen in der Forum Administration unter User : Usernamen verbieten einzugeben, jedoch klappt bei mir das Abspeichern an dieser Stelle gar nicht und die Liste der gesperrten User ist leer

3. Somit bin ich in die Adminstration : User bearbeiten : Userkonfiguration und habe an dieser Stelle mal das Feld mit den oben genannten Usernamen erweitert, auch wenn mir klar ist, dass sehr schnell ein neuer Username generiert ist und dies kein grosser Schutz ist gegen ein Bot...  

 

Hi chrisy ....

also, daß Problem betrifft ALLE Boards - egal ob kommerziell, ob Nuke, ob phpbb oder andere.

Es gibt in ALLEN Boards ein Anmeldevorgang. Du kannst Dir ja den Quelltext, der an Deinen Browser gesendet wird, mit Deinem Browser anschauen.
Im Quelltext steht, um welches Board es sich handelt (also phpbb oder Nuke etc.,) ebenso, wie die FORM, mit der der Anmelde- oder Registrierungsvorgang eingeleitet wird. Dazu der Link, welches Modul dazu aufgerufen werden muss.
Es ist nur eine Frage der Programmierung, diese Daten auszuwerten.

Im Moment hilft wirklich nur folgendes:
1. Gäste dürfen im Forum nicht posten.
2. Anmeldung nur mit Sicherheitscode

Dazu das verwerfen des Cookies mit Sessionende (und nicht, wie in der Grundeinstellung 1 Monat).

Wenn Du dann noch den sitekey veränderst wie oben von mir geschildert, dürfte es auch für einen bereits eingeschleusten bot ziemlich schwer werden ..... und für einen, der erst auf Deine Seite zugreifen möchte so gut wie unmöglich (bis ein neuer entwickelt wird) - vor allem in Verbindung mit Sentinel.