Search found 28 matches

by KayMacke
Thu Apr 25, 2013 12:58 am
Forum: Generelles in Deutsch
Topic: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Replies: 52
Views: 54179

Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort

Tatsächlich nur über die Passwortstärke. Die Art des Hash ist hier im Grunde irrelevant.

Was man noch machen kann: Eine Verzögerung einbauen, sodass jeder Einloggversuch länger dauert. Auf Wunsch zeige ich entsprechenden Beispielcode, ich müsste selbst nachschauen, wie das mit PHP geht.

Ja, daa ...
by KayMacke
Wed Apr 24, 2013 8:59 pm
Forum: Generelles in Deutsch
Topic: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Replies: 52
Views: 54179

Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort

Ich wüsste nicht, was es bringen sollte, einen User-Login für WP in einer s9y-Installation zu schützen.

Okay. Dann gibt es also für s9y KEINE Abhilfe wie für Wordpress? Anlass darüber nachzudenken gäbe es jetzt, wenn ich tatsächlich von dieser Angriffswelle betroffen war.

O,,erhin beutze ich ...
by KayMacke
Wed Apr 24, 2013 8:00 pm
Forum: Generelles in Deutsch
Topic: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Replies: 52
Views: 54179

Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort

Schluck! Das ist ja schrecklich!! Sollte man die ".htaccess" Ergänzungen ErrorDocument 401 "Unauthorized Access"
ErrorDocument 403 "Forbidden"
<FilesMatch "wp-login.php">
AuthName "Authorized Only"
AuthType Basic
AuthUserFile /home/username/.wpadmin
require valid-user
</FilesMatch> auch für s9y ...
by KayMacke
Wed Apr 24, 2013 6:34 pm
Forum: Generelles in Deutsch
Topic: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Replies: 52
Views: 54179

Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort

Du glaubst nicht ernsthaft, dass der ausschließlich Deinem Webspace gegolten hat, oder?
EUROPA wird ANGEGRIFFEN??!!! DIE CHINESEN? NORDKOREA? KIM DOTCOM? HARHARHAR!
by KayMacke
Wed Apr 24, 2013 6:30 pm
Forum: Generelles in Deutsch
Topic: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Replies: 52
Views: 54179

Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort

Wenn der Angriff nur von 3 PCs ausging, dann klingt das nicht nach Aufwand und viel Geld.

Alle paar Sekunden ein anderer Rechner. Manchmal im Sekundentakt, manchmal ein einzelner Rechner fast 20-30 Sekunden lang - selten über eine ganze Minute, dann wieder eine andere IP-Adresse. Rund um die Uhr ...
by KayMacke
Wed Apr 24, 2013 6:22 pm
Forum: Generelles in Deutsch
Topic: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Replies: 52
Views: 54179

Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort

Du glaubst nicht ernsthaft, dass der ausschließlich Deinem Webspace gegolten hat, oder?
Sagen wir's mal so: ich WILL es glauben! :mrgreen:
by KayMacke
Wed Apr 24, 2013 2:44 pm
Forum: Generelles in Deutsch
Topic: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Replies: 52
Views: 54179

Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort

Sicher ist SFTP zu begrüßen, aber einen Brute-Force-Angriff kann es auch nicht verhindern. Da müßte man schon über Zertifikate arbeiten, was aber kaum ein Hoster machen wird. Einzige Vorteil ist, das PW kann in einem unverschlüsselten WLAN nicht abgegriffen werden.

Ja, ein schwacher Trost. Aber ...
by KayMacke
Wed Apr 24, 2013 2:41 pm
Forum: Generelles in Deutsch
Topic: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Replies: 52
Views: 54179

Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort

Die Frage ist, ob du überhaupt per ftp gehackt worden bist!
Die Angriffe allein besagen dies ja noch nicht....
Ich frage dies, da wir ja vor der Serendipity 1.5.5 Version eine offene Angriffsmöglichkeit über das externe htmlarea/xinha "plugin" hatten, mit dem böse Dateien aufgeladen werden konnten ...
by KayMacke
Wed Apr 24, 2013 1:44 pm
Forum: Generelles in Deutsch
Topic: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Replies: 52
Views: 54179

Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort

Weiß jetzt nicht, ob ich mich geehrt fühlen soll mit dem Hack - oder ob das jeden Tag massig Leuten passiert? Nur eine Frage für's Ego, natürlich. Will sagen, hat mich ein Programm oder ein Programmierer kastriert?
by KayMacke
Wed Apr 24, 2013 1:38 pm
Forum: Generelles in Deutsch
Topic: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Replies: 52
Views: 54179

Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort

Vor allem, wenn du dein FTP-Paßwort nicht geändert hast, kann es der Angreifer weiterhin benutzen.

Ähm, das war das ALLERERSTE was ich gemacht habe, ehrlich gesagt. Es hatte vorher übrigens "nur" 10 Stellen (daher die wochen- oder monatelange Beharkung) - jetzt hat es 12 Stellen, was die ...
by KayMacke
Wed Apr 24, 2013 1:32 pm
Forum: Generelles in Deutsch
Topic: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Replies: 52
Views: 54179

Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort

Nichts davon ändert Dein FTP-Passwort. Die SHA-Verschlüsselung bezieht sich auf Login-Passwörter des s9y-Backends.

Richtig. FTP ist eine andere Baustelle. Es ging ja am Schluss um die Aktualsierung von md5 auf SHA. Und dashat ja dann auch geklappt. :)

Ist das etwa einer dieser tollen Hoster ...
by KayMacke
Wed Apr 24, 2013 9:40 am
Forum: Generelles in Deutsch
Topic: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Replies: 52
Views: 54179

Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort

kleinerChemiker wrote:S9y hat nichts mit deinem FTP Paßwort zu tun.
Right. Aber das Upgrade und fixlogin.php schon, oder?
by KayMacke
Tue Apr 23, 2013 11:55 pm
Forum: Generelles in Deutsch
Topic: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Replies: 52
Views: 54179

Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort

Hallo Ian,

ich hab endlich die Zeit gehabt und habe fixlogin.php erfolgreich durchgeführt und das Passwort salted neu gesetzt!!

Nachdem ich mich eingelesen habe, kapier ich endlich auch warum SHA die md5-Verschlüsselung so alt aussehen lässt wusste ich vorher nicht. Ich hatte eine Brute-Force ...
by KayMacke
Sun Apr 21, 2013 4:31 pm
Forum: Generelles in Deutsch
Topic: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Replies: 52
Views: 54179

Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort

Alles klar. Dann mach ich das so.
by KayMacke
Sun Apr 21, 2013 4:06 pm
Forum: Generelles in Deutsch
Topic: Upgrade von 1.1.4 auf 1.7 - admin Passwort
Replies: 52
Views: 54179

Re: Upgrade von 1.1.4 auf 1.7 - admin Passwort

Sollten also die Datenbankupdates seit 1.1.4 nicht erfolgreich durchlaufen und dein Passwort dann entsprechend den neuen Gegebenheiten (salted SHA1 hash) neu gesetzt sein (via Backend oder fixlogin script) wirst du meines Erachtens unweigerlich auf weitere Probleme stossen.Das heißt einen der ...