Im Moment stellen wir extreme Angriffe gegen Joomla-Webseiten von Kunden fest! Hacker versuchen in den Administrations-Bereich zu posten!
Mit wenigen kleinen Handgriffen, bauen Sie einen zusätzlichen Schutz ein, der das Eindringen in Joomla ein wenig mehr verhindert und zusätzlich dazu führt, daß solche Hacker schneller erkannt werden, von unseren Servern verbannt werden, weltweit negativ gelistet werden und auch der Provider dieser Hacker per Abuse-Nachricht davon erfährt! Dazu müssen Sie nur einen zusätzlichen Paswort-Schutz für den Admin-Bereich einrichten, siehe weiter unten für mehrere Admin-Panels! Aber jetzt erst mal, warum daß so wichtig ist!
Joomla läßt es zu, daß zig fach an den Adminbereich gepostet werden kann, ohne dies mit einem Fehler z.B. 401 abzuweisen! Durch den zusätzlichen Verzeichnisschutz, wird das Falsch-Einloggen negativ protokolliert, was auch insbesondere auf den 1awww.com – Servern als Einbruchsversuch gewertet wird! Also ein oder zwei mal kann man ja ein Passwort falsch eingeben, aber nicht etliche male hinter einander!
Was passiert, wenn zu viele Fehlversuche erkannt werden?
Die 1awww.com – Shared-Hosting-Server führen auf dem betroffenen Server eine Sperrung dieser IP durch, die in der Regel ein paar Stunden anhält. Ferner wird eine Mail an blocklist.de gesendet, wo diese Angreifer – IP negativ gelistet wird und von blocklist.de wird über die IP des Angreifers, der dazugehörige Provider ermittelt und an diesen eine Abuse-Mail gesendet. Wir erhalten darüber auch eine Kopie! Auch führen alle Eintragungen in blocklist.de ebenfalls dazu, daß diese pro Segment des ISP oder ASN-Netzwerkes gezählt werden und ggf. auch ein gesamte ASN gesperrt wird! Nach einem Hacking auf einem der 1awww.com – Server, wird der Angreifer grundsätzlich auf allen Servern bei 1awww.com zeitlich gesperrt!
Diese Technik verhindert eine Menge von Einbrüchen in Webseiten und tatsächlich wird eine Menge an IPs geblockt, die von 99,9931% aus Hackern und Spammern besteht! Also von 4.294.967.296 IPs sind dies ca. 300.000 IPs, also 0,0069 %! Diese 0,0069% belasten aber die Server im Allgemeinen mit 75 % durch Ihren Datenmüll und wir und unsere Kunden möchten immer über die schnellsten Server verfügen! Daher investieren wir immer mehr Aufwand, um Hacker abzuweisen und unsere Kunden zu schützen! Aber ganz klar, unsere Kunden sind auch verpflichtet, ihre Software aktuell (Updates) zu halten und alles zu tun, daß Angriffe in deren Webseiten nicht erfolgen können!
Bei Einlogg-Versuchen, die nicht mit einer Fehlermeldung enden, also auch nicht zu einem Apache-Client-Fehler führen, kann nicht in jedem Fall der Server erkennen, daß es sich um Einbruchsversuche handelt! Es ist verwunderlich, daß viele Programme auch das zig fache Probieren von Einlogg-Versuchen, nicht einfach in eine 401-Seite umleiten, aber daß beste ist eben, wie hier beschrieben, grundsätzlich den Admin-Bereich durch einen zusätzlichen Verzeichnisschutz abzusichern! Diese Maßnahme schützt und führt zu einer schnelleren Erkennung von Einbruchsversuchen!
So geht dies bei:
Plesk: Website & Domains -> bei der jeweiligen Domain -> „v“ – Symbol um die Ansicht zu vergrößern (am unteren Rand der Domain) -> Passwort geschütztes Verzeichnis -> neues Verzeichnis hinzufügen -> Verzeichnis: /administrator // Dokumentenstamm angekreuzt // cgi-bin NICHT angekreuzt // OK einrichten! Anschließend klicken Sie auf das Verzeichnis und legen einen neuen Benutzer an! Prüfen Sie anschließend, daß der Aufruf der Webseite http://MeineDomain.xyz/administrator dazu führt, daß Username und Passwort abgefragt werden! Vielleicht sehen Sie sich auch das Video an, daß wir für nachfolgend cPanel und Confixx-Webspaces veröffentlicht haben! <br class=“clear“ /><br class=“clear“ />
Für cPanel und Confixx-Webspace, haben wir am 4. Januar 2013 ein Video erstellt, daß Sie über den folgenden Artikel abrufen können:<br class=“clear“ /><br class=“clear“ />
3 Gedanken zu „WARNUNG: Joomla dringend absichern – Login-Attacking im Umlauf“