Brute-force aanval op phpBB.com accounts

Nieuws van en over phpBB(.nl) Afbeelding Afbeelding
Gebruikersavatar
Derky
Berichten: 4465
Lid geworden op: 07 apr 2005, 16:24
Locatie: Nederland
Contacteer:

Brute-force aanval op phpBB.com accounts

Bericht door Derky » 19 jan 2010, 19:21

Afgelopen week is er op phpBB.com geprobeerd toegang te verkrijgen tot accounts met behulp van een brute-force aanval. Dit is niet gelukt omdat phpBB over een aantal standaard functies beschikt om zulke aanvallen af te slaan.
Omdat de aanvallers via een zoekmachine met de zoekterm "powered by phpbb" op phpBB.com terecht kwamen, willen we jullie adviseren om de onderstaande punten voor de zekerheid even na te lopen.

Hoe gaat de aanvaller te werk
Voor het uitvoeren van de brute-force aanval, wordt er eerst een account geregistreerd op het forum om te testen of de ledenlijst beschikbaar is. Daarna start de aanvaller een automatisch proces om duizenden gebruikersnamen van de ledenlijst te downloaden. (op phpBB.com waren dit er ongeveer 5000)
Na het verzamelen van de gebruikersnamen probeert de aanvaller toegang tot de accounts te krijgen door vele login pogingen te versturen. Omdat het script dat de aanval uitvoert niet probeert om de "te veel mislukte inlogpogingen" CAPTCHA in te vullen, wordt de aanval gelimiteerd tot het aantal pogingen wat ingesteld staat bij "Maximum aantal inlogpogingen" bij de registratie instellingen.

Kenmerken
Zichtbare kenmerken van deze aanval zijn:
  • Gebruikers moeten ineens een CAPTCHA invullen bij de 1e login poging.
  • Verhoogd CPU gebruik op de server.
  • Erg veel POST aanvragen naar ucp.php?mode=login van hetzelfde IP-adres.
Preventie
  • Om succesvolle brute-forcing tegen te gaan, moet de beheerder controleren of "Maximum aantal inlogpogingen" (te vinden in het Beheerderpaneel onder "Beveiligings instellingen") op een laag aantal staat (standaard staat het op 3), en controleer of de CAPTCHA weergegeven wordt bij te veel mislukte inlogpogingen.
  • Verder zou een beheerder ook kunnen voorkomen dat nieuwe leden de gebruikerlijst kunnen bekijken. Om dit in te stellen, zorg ervoor dat de Nieuw geregistreerde gebruikersgroep ingeschakeld is en dat het "Nieuw lid bericht limiet" groter is dan 0. (Beide zijn in te stellen onder "Instellingen registratie")
    Ga dan naar Permissies -> Gebruikersrollen -> Wijzig "Nieuw geregistreerde gebruiker" -> Profiel -> En zet "Kan profielen bekijken, ledenlijst en `wie is er online´ lijst" op Nooit en klik op bevestig.
  • Uiteindelijk is een goed wachtwoord kiezen natuurlijk het beste middel. Zorg ervoor dat je wachtwoord (en dat van je gebruikers) bestaat uit letters en nummers en geen woorden, zinnen of veelvoorkomende combinaties zoals: wachtwoord, 1234, etc. Je kan de wachtwoord moeilijkheidsgraad voor je forum aanpassen op de "Beveiligings instellingen" pagina in het beheerderspaneel.
We benadrukken nogmaals dat de aanval niet succesvol was, maar beheerders zouden bovenstaande maatregelen moeten nemen om de veiligheid van hun forum én gebruikers te garanderen.

Mocht je vragen hebben over bovenstaande maatregelen, dan kan je een nieuw onderwerp aanmaken in het supportforum.

Plaats reactie