Webseite "gehackt" wie weiter?

[Sven Mintel]

das komische ist, er hat wirklich den account mit dem einfachsten PW genommen. Der account hat jedoch nicht so viele berechtigungen (zum glück)

Das hört sich am Ehesten nach der Holzhammermethode(Bruteforce) an(wie PowerCheat schon meinte).

Dagegen helfen nur 2 Sachen:
-Loginsperre nach x ungültigen Versuchen
-die Leute nutzen bessere Passwörter(da kannst du nachhelfen, indem du beim Setzen der Passwörter deren Syntax testest und zu Einfache zurückweist)

 

[splasch]

was gibt es denn da für andere login überprüfungs möglichkeiten, die man nicht umgehen kann?

Vorest mal es gibt nichst was nicht irgendwie umgangen werden kann. Aber man kann es eine so schwer wie möglich machen damit dies nicht so einfach ist wie oben von mir beschrieben.

1.) Verhindern das 2 User im selben Acount gleichzeitig eingelogt sein können

2.) Prüfen beim Login welche Browser der User verwenden und den immer bei jeden Seiten aufruf checken. Ändert sich der Browser dann sofort auslogen

3.)Auf Betriebsystem prüfen ändert sich das während der Sitzung dann auslogen.

unsw,

Mfg Splasch

 

[aargau]

Das hört sich eher nach der Holzhammermethode(Bruteforce) an.

Dagegen helfen nur 2 Sachen:
-Loginsperre nach x ungültigen Versuchen
-die Leute nutzen bessere Passwörter(da kannst du nachhelfen, indem du beim Setzen der Passwörter deren Syntax testest und zu Einfache zurückweist)

eine loginsperre bin ich schon am erstellen, denn dies ist sicher mal auch eine art wie man die page auch noch Knacken könnte.

Mir ist es eigentlich egal wenn die accounts von Usern gehacjt werden, das ist auch nicht so schlimm, aber die Admin / Mod Gruppe sollte einfach sicher sein.

Ich habe veranlasst das alle Admin / Mods ihre PWs ändern mussten, bei denen die nicht online waren habe ich es einfach zerstört

 

[aargau]

Vorest mal es gibt nichst was nicht irgendwie umgangen werden kann. Aber man kann es eine so schwer wie möglich machen damit dies nicht so einfach ist wie oben von mir beschrieben.

1.) Verhindern das 2 User im selben Acount gleichzeitig eingelogt sein können

2.) Prüfen beim Login welche Browser der User verwenden und den immer bei jeden Seiten aufruf checken. Ändert sich der Browser dann sofort auslogen

3.)Auf Betriebsystem prüfen ändert sich das während der Sitzung dann auslogen.

unsw,

Mfg Splasch

Danke dir für diesen hinweis, aber wie mach ich das am besten? dazu müsste ich ja dast bei jedem seitenaufruf eine DB Afrage machen oder?

Doppelt einloggen geht auch jetz schon nicht, jedoch nur wenn sich die cookie ID ändert
und mit sofortausloggen: session von beiden löschen oder das sich nur ein user nicht mehr einloggen kann?

was ich mir gerade auch noch überlege ist die admin funktionen durch ein zusätzliches passwort zu prüfen, da weis ich aber nicht ob dies viel bringen würde

 

[Sven Mintel]

Eine Sache wundert mich allerdings noch:
Woher weisst du, dass es ein einfaches PW war...stehen die Passwörter etwa irgendwo

was ich mir gerade auch noch überlege ist die admin funktionen durch ein zusätzliches passwort zu prüfen, da weis ich aber nicht ob dies viel bringen würde

Schaden kann es nichts...hier an Board wird es jedenfalls getan(eigentlich bei jeder Forensoftware, die ich kenne).

 

[aargau]

Durchdas, das ich wuste welcher account es war habe ich den mal gefragt was er für ein passwort hatte.
es war ein einfaches wort, also ohne zahl oder sonstiges.

 

[Sven Mintel]

Ahso, dann ist ja gut

 

[splasch]

Doppelt einloggen geht auch jetz schon nicht, jedoch nur wenn sich die cookie ID ändert
und mit sofortausloggen: session von beiden löschen oder das sich nur ein user nicht mehr einloggen kann?

was ich mir gerade auch noch überlege ist die admin funktionen durch ein zusätzliches passwort zu prüfen, da weis ich aber nicht ob dies viel bringen würde

Von Session hast net viel Ahnung oder?
Wenn eine Session gestollen wird dann gibt es nur diese 1 Session die beide User verwenden einmal der Hacker und einmal der rechtmässige User. Damit sollte deine Frage vom Session löschen geklärt sein.(Es werden damit also beide User ausgelogt)

Doppel einlogen geht damit jetzt bei dir auch noch weil du nix darauf hin Prüfst!

Danke dir für diesen hinweis, aber wie mach ich das am besten? dazu müsste ich ja dast bei jedem seitenaufruf eine DB Afrage machen oder?

Nein du mußt nicht bei jeden Seitenaufruf die Db abfragen. Statt dessen vergleichst du die Werte in der Session mit den ermittelten werten. Wenn die nicht übereinstimmen löscht du die Session.

Hier mal ein Bsp wie so eine Prüfung ausehen könnte

<?
if ($_SESSION['Broswer'] != $_SERVER['HTTP_USER_AGENT']){
//Logout einleiten
}

Mfg Splasch

 

[aargau]

also gehe ich recht der Annahme:
beim login in die Session zusätzlich Betriebssystem und Browser speichern.
Bei jedem seitenaufruf vergleichen und wenn nicht mehr gleich sofort Löschen.

da ich eben mit einem cookie arbeite müsste ich diese werte also zusätzlich in die DB Speichern und fals der Browser geschlossen wird und man ihn später erneut öffnet auch da nochmals diese daten überprüfen.

zusätzlich loginsperre nach 3versuchen für 30minuten.
Passwörter der Admins sehr sicher wählen.

session_start() ; 
include("php/connect.php") ;
$idonline = $_SESSION["user_id"] ;
if($idonline)
		{
$gesperrt = "SELECT verwarnt, level FROM benutzer WHERE id = '".mysql_real_escape_string($idonline)."'" ; 
	$gesperrt = mysql_query($gesperrt);
while($row = mysql_fetch_object($gesperrt))
{
	$verwarnt = $row->verwarnt ; 
	$level2 = $row->level ; 
	if($level2 == "1" or $level2 =="2" or $level2 == "3" or $level2 == "4")
	{
		echo "" ; 
	} else {
	if($verwarnt == 3)
	{
$loeschen = "DELETE FROM sessions WHERE  user = '".mysql_real_escape_string($idonline)."'";
$loesch = mysql_query($loeschen) ; 
session_destroy() ; 
header("Location: index.php?fehler=gesperrt");
		exit() ;


	}}
	}
		}
if(!isset($_SESSION["user_id"]))
{
		$cookieak = $_COOKIE["marcovolt-ch"] ; 
if ($_COOKIE["marcovolt-ch"])
	{
	$accesssql = "SELECT * FROM sessions WHERE cookieid = '".mysql_real_escape_string($cookieak)."'" ;
	$result = mysql_query ($accesssql); 
	if (mysql_num_rows ($result) == 1) 
{ 
$data = mysql_fetch_array ($result); 
$_SESSION["user_id"] = $data["user"] ;
$_SESSION["user_nickname"] = $data["nickname"] ;
$_SESSION["user_vorname"] = $data["vorname"] ;
$_SESSION["user_nachnamen"] = $data["nachname"] ;
$_SESSION["admin_level"] = $data["level"] ;
}
	} }

so siehts aktuell aus

 

[splasch]

da ich eben mit einem cookie arbeite müsste ich diese werte also zusätzlich in die DB Speichern und fals der Browser geschlossen wird und man ihn später erneut öffnet auch da nochmals diese daten überprüfen.

Nein die Daten Speichert du nicht in der DB. Weil sich die ändern können du kanst nicht erwarten das ein User sich immer mit dem gleichen Browser einlogt!

Aber man kann erwarten das er während der Sitzung nicht seinen Browser ändern wird.
Mit dem cookie kanst du noch ganz andere sachen prüfen.
bsp einen Hash code der verhindert das 2 user gleichzeitig in einen Acount sein können.
Der muß aber dynamisch sein damit es funktioniert.

Mfg Splasch