Der neueste Benutzer ist jtfoe1974

Sicherheit des Webservers, der Server und rund um phpBB
knallzapzerap
Beiträge: 7
Registriert: Sa 09.Apr, 2005 12:13
Wohnort: Hamburg

Der neueste Benutzer ist jtfoe1974

Beitrag von knallzapzerap »

Hi,

ich habe bisher zu diesem User nur dieses gefunden, ausser über google Seitenweise Anmeldungen in Foren.

http://www.phpbb.de/viewtopic.php?t=112 ... =jtfoe1974

Ich habe die visuelle Bestätigung aktiviert und den aktuellsten CrackerTracker von cback installiert. Trotzdem schaffte es dieser Bot, sich anzumelden. Welche Massnahmen kann man dagegen entweder per Adminbereich, bzw Crackertracker unternehmen?

Gruss
Thilo
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Vielleicht ist es ja kein Bot ;)

Dann hilft nur das Bannen von Username, Email-adresse, IP-adresse, etc. um ihn auszusperren.
Auf Dauer ein schwieriges Unterfangen...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

oxpus hat geschrieben:Vielleicht ist es ja kein Bot ;)
Das wage ich leider zu bezweifeln. http://www.phpbb.de/viewtopic.php?p=650567#650567

Ich glaube es wird Zeit die Visuelle Bestätigung zu überarbeiten. ^6
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Hatte ich schon geslesen...
Hm, die Namen scheinen dann auch eher Zufall zu sein.
Bleibt zu hoffen, daß die phpBB.com-Group hier schnellstens was tut.
Dazu wäre auch die Spamerkennung im CrackerTracker schärfer zu schalten
oder gleich die Aktivierung per Admin...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Bleibt zu hoffen, daß die phpBB.com-Group hier schnellstens was tut.
Oder einer von uns geht da mal ran. ;)
Interessant wäre eine wechselnde Hintergrundgrafik, sowie der Einsatz von Blur-Effekten (oder so). :D
Dazu wäre auch die Spamerkennung im CrackerTracker schärfer zu schalten
oder gleich die Aktivierung per Admin...
Als Spamerkennung habe ich noch immer meine drin und weis garnicht wie die des CTrackers Arbeitet.
Aktivierung durch den Admin kommt für mich nicht in Frage. Je nachdem wie der BOT Arbeitet (angegebene eMail-Adresse u.s.w.) ist das eh kein Schutz. Man kann schließlich nicht jeden neuen User erstmal auf Herz und Nieren Prüfen. ;)
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Oh, solange die Bedrohung akut wäre und mein Forum anderweitig nicht zu schützen, schalte ich sofort die Aktivierung um.
Die Arbeit mache ich mir dann gerne.
Klar, kann man die User nicht auf Herz und Nieren prüfen, aber diverse Auffälligkeiten sofort zum Account-Löschen ermutigen.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Twins

Beitrag von Twins »

Ich habe bis jetzt mehrere Foren gesehen, wo sich der User "jtfoe1974" angemeldet hat. Was ist den so shclimm daran, wenn sich ein Bot im Forum anmeldet?
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Schlimm ist da relativ.
Ziel dieser BOTs ist es Werbung für irgendwelche Seiten (meistens SEX-Seiten und/oder Seiten mit Dialern) zu machen und den Pagerank der jeweiligen Seite zu erhöhen.
Solange es sich nicht um einen BOT handelt der dein Board mit Beiträgen zuspammt (ebenfalls Werbung), ist die Anmeldung also nicht wirklich Tragisch. Du hast dann halt ein inaktives Mitglied, in deiner Mitgliederliste, dessen Homepage munter von Google und Co. gespidert wird, weil sie ja in deiner Mitgliederliste und im Userprofil einsehbar ist.

Da viele Admins aber die Hompege ihrer User nur anzeigen lassen, wenn diese bereits Beiträge verfasst haben. Gehen manche BOTs hin und fangen an Beiträge zu Posten.
Spätestens dann wird es für dein Board ärgerlich.
Nehmen wir mal als Beispiel mein EmF. Das ist ein Board zum Thema Ernährung. Wenn nun so ein BOT in all meinen Foren irgendwelche Sex-Werbung postet, wirft das natürlich kein besonder gutes Licht auf mein Board. ^q
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Hier habe ich den Usernamen bereits gebannt, obwohl sich der Bot noch nicht angemeldet hatte.
Allerdings war er auf dem RPG-Forum vorhanden und dann auch sogleich gebannt.

Etwas seltsam die Reihenfolge, aber egal...
Bei mir spammt er jedenfalls nicht mehr.

Und btw:
Der Bot nimmt irgendwelche Email-Adressen und Webseiten.
Darauf kann man also nicht filtern!
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Titus
Beiträge: 235
Registriert: Fr 18.Mär, 2005 22:23

Beitrag von Titus »

[quote="AmigaLink - So 19.Feb, 2006 15:04";p="54005"]
Bleibt zu hoffen, daß die phpBB.com-Group hier schnellstens was tut.
Oder einer von uns geht da mal ran. ;)
Interessant wäre eine wechselnde Hintergrundgrafik, sowie der Einsatz von Blur-Effekten (oder so). :D
[/quote]

ein anigif welches aus 2-3 schnell wechselnden grafiken besteht sollte dem user als 1 bild erkannbar sein, für einen bot aber sicher extrem problematisch um die bilderkennung nicht einfach das bild übereinander legen zu können währen vielleicht dann auch unterschiedliche schriften hilfreich

na wer kann das :)
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

na wer kann das
Jeder Gif-Animator ;)

Im Ernst: Das wäre eine völlig neue Art der VC.
Ich denke, das solltest Du mal direkt auf phpbb.com vorschlagen...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

^^ Die Idee ist ganz nett. Bringt aber nichts.
  1. Nicht jeder Server unterstützt das erstellen von GIF Bildern.
    Die meisten können froh sein wenn GIF gelesen wird.
  2. Ein mittels gd_lib gelesenes AnimGIF, ist Automatisch ein Standbild des ersten Frames.
    Und wenn man die gd_lib nicht nutzt ist es kein thema sich alle enthaltenen Bilder einzeln vorzunehmen.
  3. Eine captcha erfolgt wohl eher nicht durch übereinanderlegen von Bilden, sondern durch Analysieren des inhalts.
    Unterschiedliche Schriftarten sind sehr gut und ein wichtiger Punkt. Aber die Hauptaufgabe beim erstellen einer VC ist wohl eher, es dem BOT möglichst schwer zu machen die Schrift vom Hintergrund zu trennen.
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Ja, besonders schwer wäre es, den Kontrast möglichst gering zu halten, viele verschiedene Farben zu verwenden und eben unterschiedliche Schriftarten und -Grössen je Zeichen.
Aller in allem aber nicht einfach umzusetzen, daher bin ich mehr als gespannt, welche Version im phpBB 2.0.20 vorhanden sein wird (sofern diese Version kommen sollte)...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Also mir schwebt vor:
  • Unterschiedliche Schriftarten, unterschiedliche Schriftgrößen, unterschiedliche Schriftfarben.
  • Plaziert auf einem wechselndem Hintergrund (zufällig ausgewählter Bildausschnitt eines Bildes).
  • Verzerrung des Ergebnisses z.B. mittels eines Blur Effekts.
  • Konfigurationsmöglichkeiten für den Admin, damit die VC nicht auf allen phpBBs gleich ist!
Angesichts des 4ten Punktes, wäre es garnicht schlecht ein MOD zu erstellen. Denn egal was die phpBB-group macht, es wird immer der Angriffspunkt für die BOT-Programmierer sein!

Da ich mich eh gerade mit der Grafikbearbeitung, mittels PHP, ein wenig beschäftigt habe. Könnte es sein das ich bald einen neuen Punkt auf meiner ToDo-Liste hab. ;)
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Titus
Beiträge: 235
Registriert: Fr 18.Mär, 2005 22:23

Beitrag von Titus »

stimmt für gif ist in GD nicht besonders gut zu gebrauchen :hh:

zu VisC in VB ist ja eine verschobene grafik durch das board realisiert (hat ähnlichkeit mit einem nadeldruck aus der nähe), es besteht optional die möglichkeit über ImageMagick diese bild darstellen zu lassen, was natürlich auch ImageMagick am server vorraussetzt, dabei ist IMO die lesbarkeit soger gesteigert und es werden mehrere schriftarten angeboten

edit:
hab da gerade was geniales entdeckt

warum nicht den text mit integrieren "bitte nur die GROSSEN buchstaben abschreiben" oder sowas und dann ne ganze reihe an zeichen mit einflächten (farben sind wohl ned so dolle wenn einer die nicht sieht :D )
Dateianhänge
jgs_register_check.png
jgs_register_check.png (580 Bytes) 4985 mal betrachtet
Zuletzt geändert von Titus am Mi 22.Feb, 2006 16:19, insgesamt 1-mal geändert.
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

warum nicht den text mit integrieren "bitte nur die GROSSEN buchstaben abschreiben" oder sowas und dann ne ganze reihe an zeichen mit einflächten
Daran hab ich auch schon gedacht. :D
Oder nur jedes zweite Zeichen, oder mehrere reihen anzeigen und davon nur eine verlangen, oder ...

Ich habe bei mir jetzt mal die CAPTCHA ein wenig aufpoliert. :D
Der Hintergrund ist Zufallsgeneriert und der Zeichensatz inkl. Neigung, größe & Farbe, ebenfalls zufällig ausgewählt. Weitere Optionen werden folgen. :mad:
Dateianhänge
AmigaLink-KAPTCHA.jpg
AmigaLink-KAPTCHA.jpg (4.44 KiB) 4950 mal betrachtet
Zuletzt geändert von AmigaLink am So 26.Feb, 2006 17:18, insgesamt 1-mal geändert.
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N »

Hy Amiga, das in deine Bild sieht echt geil aus, wäre schön wenn es dann geben würden als MOD, für uns andere auch :)

P.S. Eins hatte ich bei dem eh nie kappiert, es steht bei der Anmeldung das er zwischen groß und kleinschreibung sich unterscheidet, die Null hat im innere eine Strich.
Aber wenn man mal ehrlich sind ist nur alle Buchstaben in Großformat defeniert und 1-9 eine 0 bzw. kleine Buchstaben wurde nie defeniert bei den VC von phpBB und zeigt auch nicht an, nur A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 1 2 3 4 5 6 7 8 9 wird angezeigt, da nur diese defeniert sind, daher find ich hats auch ein Bot dann einfach da er nur alle Buchstaben in groß sowie Zahle (1-9) durchgehn braucht. ;)

EDIT: Ist doch wie bei Passwort, nimmt man ein Passwort das nur aus ein Wort besteht wie Autohaus ist es schneller gecrackt als eins mit Buchstabe, Zahle, Sonderzeichen wie $Auto2Haus=3892 oder so ähnlich.
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
Benutzeravatar
Bootenks
Beiträge: 1836
Registriert: Sa 29.Mai, 2004 23:36
Wohnort: G?rlitz (?stlichste Stadt Deutschlands)

Beitrag von Bootenks »

Das verstehst du falsch das funktioniert in diesem Falle nicht mit Bruteforce, da bei erneutem Laden das Bild sich ändert. Es funktioniert mit Bilderkennung. Der Bot liesst das Bild und interpretiert es.
Nur ein Informatik Student. ^^
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Na, auf diese neue Captcha wäre ich auch mal gespannt...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

^^ Richtig und genau deswegen hab ich diesbezüglich auch nichts geändert. ;)
Zum jetzigem Zeitpunkt habe ich nur eine Datei gegen meine eigene ausgetauscht. :cool:

Im übrigen muss der Server (bzw. die installierte gd_library) TrueTypeFonts unterstützen. Diese werden nämlich aus einem Verzeichnis ausgelesen und daraufhin zufällig ausgewählt. Dadurch kann jeder Admin ganz einfach weitere Fonts zufügen bzw. vorhandene entfernen, um Sicherzustellen daß das KAPTCHA nicht bei jedem phpBB gleich ist. :p

Ich spiele auch noch mit dem Gedanken das gleiche mit Hintergrundbildern zu machen. Wobei dann ein zufälliger Auschnitt aus den bereitgestellten Bildern verwendet wird. :D
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Benutzeravatar
Christian_N
Beiträge: 1787
Registriert: Sa 19.Feb, 2005 21:48
Wohnort: Frankfurt am Main
Kontaktdaten:

Beitrag von Christian_N »

aso, naja trotzdem zeigt er keine kleine Buchstabe sowie die 0 nicht an, obwohl bei dem Text steht das er sich davon unterscheidet und die 0 ein strich im innere hat, das hatte ich nie kappiert, wieso es nicht geändert wurde ist, entweder der text oder eben kleine buchstabe und die 0 defeniert geworden ist.

EDIT: Gerade gelesen, da bin ich mal gespannt drauf wird sicher ne tolle sache :)
Meine Projekte: Chantals - Fanpage .::. phpBB Projekt
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Der Hinweis besagt lediglich das der Code exakt abgeschrieben werden muss um akzeptiert zu werden! Wenn du den Code klein abschreibst, ist er ungültig.
Und es werden nur Großbuchstaben verwendet um die Lesbarkeit zu erhöhen. Die null wird nicht verwendet um eine Verwechslung mit dem O auszuschließen (deswegen auch der Hinweis auf den Querstrich in der null). :)

Das macht es zwar auch leichter einen BOT zu Programmieren der das CAPTCHA analysiert, aber dafür entwickle ich ja jetzt eins das dieses Manko, durch ständig wechselnde Darstellung, wieder ausgleicht. ;)
Zuletzt geändert von AmigaLink am So 12.Mär, 2006 22:47, insgesamt 1-mal geändert.
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
schmidtedv
Beiträge: 607
Registriert: So 13.Feb, 2005 10:46
Wohnort: St. Blasien (seit 01.06)
Kontaktdaten:

Beitrag von schmidtedv »

...mal so ne schnelle Idee:

Warum nicht ein eingabefeld wo der "Code" nicht eingetippt werden darf, sondern nur als ganzes mittels Strg+v reinkopiert werden kann...

Oder ein Image-Codefeld, dessen Buchstaben/Zahlen aus z.B. roten und Blauen besteht und nur die blauen müssen z.B. von hinten nach vorne angeklickt werden...

Etc., etc.....
Rettet den Wald, esst mehr Specht!

Forum [ sofern im Beitrag darauf verwiesen :-) ]
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

ein Image-Codefeld, dessen Buchstaben/Zahlen aus z.B. roten und Blauen besteht und nur die blauen müssen z.B. von hinten nach vorne angeklickt werden...
Ideen dieser Art sind mir auch bereits durch den Kopf gegangen:
AmigaLink hat geschrieben:
warum nicht den text mit integrieren "bitte nur die GROSSEN buchstaben abschreiben" oder sowas und dann ne ganze reihe an zeichen mit einflächten
Daran hab ich auch schon gedacht. :D
Oder nur jedes zweite Zeichen, oder mehrere reihen anzeigen und davon nur eine verlangen, oder ...
Mal schaun ob und was ich davon umsetze.
Warum nicht ein eingabefeld wo der "Code" nicht eingetippt werden darf, sondern nur als ganzes mittels Strg+v reinkopiert werden kann...
Weil ein BOT sowieso nichts eintippt! ;)
Wenn du eine Copy and Paste überprüfung machst, dann kannst du auch gleich eine Einladung an alle BOTs rausschicken. ^9
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Titus
Beiträge: 235
Registriert: Fr 18.Mär, 2005 22:23

Beitrag von Titus »

von farbigen lösungen würde ich abstand nehmen da ein bot damit wohl weniger probleme hat als ein evtl farbenblinder user, daher denke ich sollte die lösung schon relativ logisch ohne große sprachliche oder geistige fähigekeit sein

man könnte ja auch eine einfache rechnung erstellen [24+1+5="ist"] das soll der bot dann erst mal begreifen das auszurechnen statt abzuschreiben :D
Antworten