Einbruchsversuche verhindern?

[JoergK]

Seit einigen Wochen sehe ich in meinem contao-system-log, das versucht wird, sich mit zufällig generierten Usernamen im contao-Frontend anzumelden.
Die Versuche sind relativ selten, meist etwa 5 Versuche, dann meist mindestens eine Stunde Pause.
Zunächst kamen die Angriffe von einzelnen Adresses, und es half einige Zeit, diese im .htaccess des CMS-root auszusperren.
Inzwischen wechseln die Adressen häufiger und das Sperren wird aufwändiger.
Dazu meine Fragen:
- gibt es eine intelligentere Möglichkeit, gegen die Versuche vorzugehen, als die Adressen zu sperren?
(ich benutze einen shared server, habe also keinen Zugriff auf die System- oder Apache-Konfiguration)
- Warum wird als IP-Adresse im system-log immer eine Netzwerk-Adresse angezeigt (z.B. 198.2.193.0)?
- Ist die Vorgehensweise des Angreifers üblich? Ich kann mir nicht vorstellen, das man mit dieser Angriffsfrequenz in endlicher Zeit erfolgreich sein kann. Alleine das Finden eines gültigen Nutzernamens dauert so doch ewig, und dann muss man schließlich auch noch das Passwort finden...
Die contao-Version ist übrigens die aktuelle 2.11.11.

[BugBuster]

- Warum wird als IP-Adresse im system-log immer eine Netzwerk-Adresse angezeigt (z.B. 198.2.193.0)?

Weil in den Einstellungen im Backend die Anonymisierung aktiviert ist, da wird bei IPv4 die letzte Stelle auf 0 gesetzt.

[fiedsch]

- Warum wird als IP-Adresse im system-log immer eine Netzwerk-Adresse angezeigt (z.B. 198.2.193.0)?

Die .0 bekommst Du, weil in den Contao Einstellungen IP-Adressen anonymisieren eingestellt ist.

- [...] Alleine das Finden eines gültigen Nutzernamens dauert so doch ewig, und dann muss man schließlich auch noch das Passwort finden

Für den Angreifer sollte immer nur Login gescheitert kommen und nie "Benutzername OK, aber Passwort falsch". Das ist im Loginmodul deshalb auch so geregelt. Aber die Benutzernamen könnten natürlcih bekannt sein, z.B. weil man als selbst registrierter User weiß, daß diese immer die E-Mail-Adresse sind oder dem Schema vorname.nachname folgen, oder ...

[JoergK]

Danke für den Tipp mit der Anonymisierung. Finde ich die kompletten Adressen trotzdem noch irgendwo oder muss ich die Anonymisierung abschalten, um sie zu sehen?

[fiedsch]

In den Coontao Logs wirst Du die vollständige IP nicht mehr finden -- sonst wäre die Einstellung ja nichts wert ;-)

Aber im Log des Webservers könnte sie stehen. Der weiß ja schließlich nichts von den Contao Einstellungen.

[jan.theofel]

Hi,

du kannst das Verzeichnis /contao zusätzlich mit einem htaccess-Passwortschutz absichern.

Wenn möglich kannst du den Zugriff darauf auch nur von einzelnen IPs/Netzwerken zulassen. Wenn alle Logins zum Beispiel nur über das Netz meines Kabelbetreibers erfolgen dürfen, kann ich dies auf 91.66.0.0/16 einschränken.

Ich nutze zudem einen Proxy mit fester IP, so dass ich auf Seiten, die ich alleine betreibe, sogar nur Logins von dieser IP zulassen kann.

Jan

[JoergK]

Danke für die Tipps. Bis jetzt sind die Versuche nur am Frontend aufgetreten, da ist es ja nicht ganz so kritisch. Aber das Backend rechtzeitig besser abzusichern ist sicher eine gute Idee.