Sicherheitsproblem Registrierung User per direktem Zugriff ?!

    Mein System

    3.9.1 mit php 7.x auf Strato.

    Einigen bösen Jungs aus China gelingt es Benutzer anzulegen.

    Erst nach Sperrung des IP-Adressbereiches China per htaccess gelingt ihnen das Anlegen nicht mehr, aber ein direkter Zugriff zum Adminbereich scheint immer noch möglich.

    Ist erstmalig am 27. Dezember aufgetreten, habe die User dann immer gelöscht.

    Ein Suchlauf auf geänderte Resourcen im System zum besagten Zeiraum hat kein Ergebnis geliefert.

    Ich häng mal das LOG mit ran, vielleicht hat ja einer eine Idee.:!:

    Ich habe im Moment keinen Schimmer wie denen der direkte Zugriff gelingt, hab schon mal vorsorglich alle index.php gelöscht und durch die aus dem Installationsordner ersetzt .

    Code
    anon-119-0-1-183.ip6.invalid - - [08/Jan/2019:00:30:04 +0100] "GET /index.php?option=com_users&view=registration HTTP/1.0" 200 13870 "http://www.sv-hohnhorst.ksv-nesselblatt.de/index.php?option=com_users&view=registration" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.87 Safari/537.36"
anon-119-0-1-183.ip6.invalid - - [08/Jan/2019:00:30:47 +0100] "POST /index.php/component/users/?task=registration.register&Itemid=9 HTTP/1.0" 303 - "http://www.sv-hohnhorst.ksv-nesselblatt.de/index.php?option=com_users&view=registration" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.87 Safari/537.36"
anon-119-0-1-183.ip6.invalid - - [08/Jan/2019:00:30:50 +0100] "GET /index.php/component/users/?view=registration&layout=complete&Itemid=9 HTTP/1.0" 200 27177 "http://www.sv-hohnhorst.ksv-nesselblatt.de/index.php/component/users/?view=registration&layout=complete&Itemid=9" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.87 Safari/537.36"
anon-119-0-1-183.ip6.invalid - - [08/Jan/2019:00:35:23 +0100] "GET /index.php/component/users/?task=registration.activate&token=353e6477ac17e7cc1a027360dc8484e0&Itemid=9 HTTP/1.0" 303 - "http://www.sv-hohnhorst.ksv-nesselblatt.de/index.php/component/users/?task=registration.activate&token=353e6477ac17e7cc1a027360dc8484e0&Itemid=9" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.75 Safari/537.36"
anon-119-0-1-183.ip6.invalid - - [08/Jan/2019:00:35:26 +0100] "GET /index.php/component/users/?view=login&Itemid=9 HTTP/1.0" 200 29501 "http://www.sv-hohnhorst.ksv-nesselblatt.de/?view=login&Itemid=9" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.75 Safari/537.36"
anon-119-0-1-183.ip6.invalid - - [08/Jan/2019:00:36:22 +0100] "POST /index.php/component/users/?task=user.login&Itemid=9 HTTP/1.0" 303 - "http://www.sv-hohnhorst.ksv-nesselblatt.de/index.php/component/users/?view=login&Itemid=9" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.75 Safari/537.36"
anon-119-0-1-183.ip6.invalid - - [08/Jan/2019:00:36:24 +0100] "GET /index.php/component/users/profile?Itemid=9 HTTP/1.0" 200 27934 "http://www.sv-hohnhorst.ksv-nesselblatt.de/profile?Itemid=9" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.75 Safari/537.36"
anon-119-0-1-183.ip6.invalid - - [08/Jan/2019:00:36:27 +0100] "GET /index.php/component/users/profile?Itemid=9 HTTP/1.0" 200 27934 "http://www.sv-hohnhorst.ksv-nesselblatt.de/index.php/component/users/profile?Itemid=9" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.75 Safari/537.36"
    Zitat von Trubadix

    aber ein direkter Zugriff zum Adminbereich scheint immer noch möglich.

    Mach einen .htaccess PW-Schutz.


    Brauchst Du denn die Benutzeranmeldung?
    Wenn nicht deaktiviere sie.

    Sind die neuen Benutzer auch freigeschaltet?

    Was haben die Benutzer für Gruppenrechte?
    Schon mal ein Captcha für die Registrierung eingesetzt?

    Indigo66

    Mach einen .htaccess PW-Schutz.

    Behalte ich mir als letzte Möglich für den webmaster und admin vor.


    Brauchst Du denn die Benutzeranmeldung?

    Nein

    Wenn nicht deaktiviere sie.

    [Trubadix] Hatte die mod_login schon beim ersten Auftreten umbenannt.


    Sind die neuen Benutzer auch freigeschaltet?

    [Trubadix] Ja, haben sogar ein Login-Datum/Zeit


    Was haben die Benutzer für Gruppenrechte?

    [Trubadix] Habe ich leider nicht drauf geachtet (-;

    Habe bei Eintreffen der Mail sofort gelöscht.


    Schon mal ein Captcha für die Registrierung eingesetzt?

    [Trubadix] Eine Benutzeranmeldung ist für die Seite nicht vorgesehen.

    Die Seite hat 2 Benutzer, admin und webmaster, weitere sind nicht vorgesehen.

    Vielen Dank für Eure Unterstützung.

    Habe die ersten Hinweise umgesetzt, wobei ich mich erst mal auf die Systemeinstellung beschränkt habe.

    Werde meine Pflegefälle weiter beobachten und bei Bedarf dann doch noch die Keule auspacken und den ".htaccess PW-Schutz" aktivieren.

    Werden die Webmaster der Subdomains zwar maulen, "Was schon wieder was neues 2x Anmelden"

    Wenn's nur die Webmaster währen :)

    Aber auf einer Domain sind es ca. 300 Funktionsträger, die sich für den Zugriff auf den Internen Bereich anmelden müssen.

    Und das sind nicht die jüngsten und bräuchten ein Training on the Job.

    Du siehst administrativ ist das nicht so einfach, eben mal schnell, aus dem Ärmel zu schütteln.

    Hallo,


    ich bleibe dabei, es muss niemand einen extra Kurs machen um einen weiteren Benutzernamen und ein weiteres Passwort einzugeben. Egal wie alt... Probiers und du wirst sehen, dass es jeder verstehen wird und auch umsetzen kann. Zudem denke ich, dass es schon alleine gefährlich ist, so vielen "Funktionsträgern" Zugang zum Backend zu geben. Durch die flexible Rechtevergabe kannst du ja eventuell eigens für diese Benutzergruppe die benötigten Rechte auch auf dem Editor Level realisieren. Ich sage nicht, dass es einfach ist und ruck zuck geht, aber auf lange Sicht wirst nicht glücklich damit werden, es so zu belassen wie es jetzt ist. Vor allem wo "Sie" dich jetzt auf dem Schirm haben.

    Zitat von Trubadix

    Werde meine Pflegefälle weiter beobachten und bei Bedarf dann doch noch die Keule auspacken und den ".htaccess PW-Schutz" aktivieren.

    Werden die Webmaster der Subdomains zwar maulen, "Was schon wieder was neues 2x Anmelden"

    Maulen werden sie, sobald ihre Arbeit zunichte gegangen ist, weil die Webseite gehackt wurde.

    Ich kenne niemanden, der sich darüber aufgeregt hat. Man muss die Thematik nur sachlich erklären und alles ist gut.

    Du hast ja auch nicht ohne Grund dieses Thema eröffnet.

    Und diejenigen, die lieber ertrinken würden, als sich retten zu lassen, na ja......

    Welche Rechte brauchen den Funktionsträger im Backend?

    Schreiben die Artikel etc. oder lesen sie nur in einem nicht öffentlichen Bereich?

    Im letzteren Fall ist ein Frontenlogin ausreichend. Backend-Zugriff brauchen sie dann nicht und das gefühltes 2 malige anmelden entfällt.

    Wenn sie richtig im Backend arbeiten und die zweimalige Anmeldung ist Ihnen zu viel, hast du sowieso ein Sicherheitsproblem. Vielleicht solltet ihr euer gesamtes Konzept Mal überdenken.