CrackerTracker und IP-Range-Meldung

Hier kann nur von Admins und Mods ein Thema eröffnet werden

CrackerTracker und IP-Range-Meldung

Beitragvon motorang » 17. März 2008 10:55

Tach nochmal,

CrackerTracker ist unsere Alarmanlage, die Einbruchsversuche erkennen und verhindern soll. Meist werden ganz harmlose Dinge wie das Löschen der eigenen PNs als Angriff fehlinterpretiert, dann bitte PN an mich und ich versuche das anders einzustellen.

IP-Range-Meldung:
Kommt hoch wenn sich der IP-Bereich des Benutzers ändert - das KÖNNTE ein Hinweis sein dass sich ein Fremder mit Deinen Nutzerdaten von einem anderen Rechner aus anmeldet. Sinnvoll nur dann wenn Du IMMER vom gleichen Rechner aus auf das Forum zugreifst. Sobald man (einwahlbedingt) wechselnde IP-Adressen hat, oder von der Arbeit UND privat zugreift, bringt die Meldung wenig und kann abgeschaltet werden - das kannst Du im Meldungsfenster selbst machen.

Gryße!
Andreas, der motorang
Zuletzt geändert von motorang am 4. März 2009 05:43, insgesamt 2-mal geändert.
Es gibt zwei Arten von Daten: von den wichtigen hat man ein Backup, und der Rest ist halt unwichtig.
:476: [Impressum] [motorang.com] [Die AIA]
Benutzeravatar
motorang
Administrator
 
Beiträge: 2747
Registriert: 16. Oktober 2005 07:37
Wohnort: Österreich

Beitragvon kutt » 17. März 2008 13:54

bevor ich das alles noch mal schreibe poste ich mal den link zur mz-forum knowledge base -> da habe ich das mal vor einer weile erklärt

http://mz-forum.com/knowledge/kb_show.php?id=24

PS: andreas -> die debug meldung sehen nur admins ;)

Edit von motorang: hier als Vollzitat falls sich der Link mal ändert:

HILFE! Meine "IP-Range" hat sich geändert

Was ist, wenn ich beim Login so einen Hinweis bekomme? Wurde mein Login geknackt?

Erst mal: Ruhe bewahren

Zur Erklärung was das ist und was der Grundgedanke hinter dieser Sache ist.

In den "Foren für Foren" liest man oft, daß Logins "gehackt" wurden. Meistens weis/merkt der Betroffene gar nichts davon, bis es zu spät ist. Wird der Login eines "normalen" Nutzers geknackt, dann wird dieser meist dazu verwendet, sich einen Spaß draus zu machen und die Leute gegeneinander aufzubringen. Wird ein Admin Account abgegriffen ist logisch was dann passiert. Sicher wird die Datenbank kopiert, alle Nutzer bekommen ab dann Spam-mails und das Forum wird zerstört. Da hilft meist nur noch der Griff zum rettenden Backup.

Selbst wenn dies passiert ist, ist es nur schwer nachvollziehbar wer wann manipuliert hat.

Wie genau ein Login geknackt wird werde ich hier nicht schreiben. Wir sind aber bemüht alle serverseitigen Schwachstellen dicht zu bekommen.

Und genau an dieser Stelle setzt die "Loginsicherheit" des CTrackers an.

Zum einen speichert das Tool die letzten 10 IP Adressen, die der Nutzer verwendet hat.
Zum anderen wird immer die IP mit der vorhergegangenen verglichen.

Dabei ergibt sich aber folgendes Problem:

Viele Nutzer haben dynamische IP's. Das bedeutet: Die IP ist nach jedem Einwählen anders bzw. ändert sich nach einer bestimmten Zeit (Zwangstrennung).

Meistens ändern sich nach einer solchen Trennung nur die letzten 2 Ziffern der IP. (also im Klasse B Bereich)

Was sind Klasse A,B und C?

Wenn sich nur die letzte Zahl ändert dann spricht man von einem Klasse C Bereich. Dieser enthält 254 mögliche Adressen
z.B. 10.10.10.1 bis 10.10.10.255

Wenn sich die letzten 2 Zahlen ändern dann spricht man von einem Klasse B Bereich. Dieser enthält 65.534 mögliche Adressen
z.B. 10.10.1.1 bis 10.10.255.255

Wenn sich die letzten 3 Zahlen ändern dann spricht man von einem Klasse A Bereich. Dieser enthält 16.777.214 mögliche Adressen
z.B. 10.1.1.1 bis 10.255.255.255

Nun ist der wahrscheinlichste Fall, daß sich Die IP nur im Klasse B Bereich ändert. Dem nach werden nur die ersten beiden Zahlen verglichen. Da viele Anbieter regional immer die selben beiden ersten Oktette verwenden kann man dadurch ziemlich sicher sein, daß der Login nicht mißbraucht wurde.

Nun gehen aber manchmal den Anbietern die IP's aus. Klasse B hat ja nur knapp 65000 mögliche IP's. Deshalb wird immer mal eine andere IP im zweiten Oktett verwendet. Für den Anbieter ist das gleich, da ihm ja diese Netzbereiche gehören und er die IP's vergeben kann , wie er will.

Und genau in diesem Moment springt dann auch der CTracker an, da die ersten beiden Oktette h sind.

Jetzt gibt es 2 Möglichkeiten:

1: Man weis, daß sein Anbieter diese IP benutzt - somit kann man diesen Hinweis ignorieren
2: Die vorherige IP ist einem Fremd und man sollte etwas nachforschen.

Dazu klickt man auf "Loginsicherheit"

Dort sieht man die letzten 10 IP's. Man kopiert sich die IP, die der CTracker als Warnung beanstandet hat und gibt folgenden Link im Browser ein:

http://network-tools.com/default.asp?pr ... x.xx.xx.xx
statt der xx.xx.xx.xx ist die IP einzusetzen

Man sieht dann wem die IP gehört. Steht auf der Seite der selbe Anbieter, den mal auch hat, kann man relativ sicher sein, daß alles OK ist.

Steht dort aber ein anderer Anbieter, bzw. kann man den Zeitpunkt des Einloggens (Datum und Uhrzeit stehen ja in der "Loginsicherheit") überhaupt nicht nachvollziehen, dann sollte man auf jeden Fall mal sein Paßwort ändern und einen Admin/Mod bitten dort mal nach zuforschen. Bitte dazu die IP und die genaue Zeit + Datum beifügen.

Falls der Hinweis ständig kommen sollte kann man diesen auch deaktivieren. Dies geht auch in der "Loginsicherheit". Der CTracker wird dann auch die IP's speichern, die zum Login verwendet wurden.

Um es noch mal klarzustellen: die Loginsicherheit sucht nicht nach Vieren oder ähnlichem. Es wird nur, für jeden Nutzer persönlich, ein IP Logging der letzen 10 IP.s erstellt und die letzte IP mit der neuen verglichen.

In diesem Sinne - Viel Spaß
Benutzeravatar
kutt
Technischer Admin
 
Beiträge: 234
Registriert: 16. Oktober 2005 06:52
Wohnort: Freiberg

Beitragvon motorang » 17. März 2008 13:58

:oops:

Mist,
zu viele Rechte ... :-D

Gryße!
Andreas, der motorang
Es gibt zwei Arten von Daten: von den wichtigen hat man ein Backup, und der Rest ist halt unwichtig.
:476: [Impressum] [motorang.com] [Die AIA]
Benutzeravatar
motorang
Administrator
 
Beiträge: 2747
Registriert: 16. Oktober 2005 07:37
Wohnort: Österreich

Beitragvon Roll » 17. März 2008 23:09

"IP Range Scanning für Deinen Account ist EINGESCHALTET

2 Angriffe abgewehrt"

...bedeutet also eher erstmal nur, daß die IP zweimal gewechselt hat, wenn ich das richtig verstehe :?: :!: :?:
Ein Prophet schaut zurück. Das neue Programm. miro2
Benutzeravatar
Roll
 
Beiträge: 1738
Registriert: 17. März 2007 06:00
Wohnort: Wo im Neckar Wale heimisch sind

Beitragvon motorang » 18. März 2008 07:04

Hallo Roll

Das sind zwei Paar Schuhe ...

Das IP-Range-Dings habe ich oben erklärt - das zählt aber nicht hoch.

Die zwei abgewehrten Angriffe sind das, was der geneigte Nicht-Admin von der Tätigkeit des CrackerTracker mitbekommt - beziehen sich aufs Forum und nicht auf den User. Das sind auch nicht unbedingt echte Angriffe gewesen, sondern wahrscheinlich Fehlalarme.

Gryße!
Andreas, der motorang
Es gibt zwei Arten von Daten: von den wichtigen hat man ein Backup, und der Rest ist halt unwichtig.
:476: [Impressum] [motorang.com] [Die AIA]
Benutzeravatar
motorang
Administrator
 
Beiträge: 2747
Registriert: 16. Oktober 2005 07:37
Wohnort: Österreich

Beitragvon motorang » 3. März 2009 11:58

Nachtrag: warum eine IP-Adresse auch wechselt wenn man immer vom gleichen Rechner surft und der immer an ist:

http://de.wikipedia.org/wiki/Zwangstrennung

Gryße!
Andreas, der motorang
Es gibt zwei Arten von Daten: von den wichtigen hat man ein Backup, und der Rest ist halt unwichtig.
:476: [Impressum] [motorang.com] [Die AIA]
Benutzeravatar
motorang
Administrator
 
Beiträge: 2747
Registriert: 16. Oktober 2005 07:37
Wohnort: Österreich

Beitragvon Feinmotoriker » 3. März 2009 13:35

Bei mir hat genau bei Ausfall des Servers /Bzw Abschaltung der beiden Foren das Antivir Alarm gemacht und einen Fund /malware gemeldet.
Da weiter nichts offen war als nur AIA und Dreiradler, denke ich, daß das u.U zusammenhängt, quasi...
Feinmotoriker
 
Beiträge: 1390
Registriert: 27. November 2008 19:58

Beitragvon motorang » 3. März 2009 13:53

Ich glaube das ist Zufall gewesen.

An den Foren auf diesem Server hängen ein paar tausend Leute ... wär seltsam wenn nur bei Dir der Antivir hochgekommen wäre ... aber ich sags mal den Kutt weiter.

Gryße!
Andreas, der motorang
Es gibt zwei Arten von Daten: von den wichtigen hat man ein Backup, und der Rest ist halt unwichtig.
:476: [Impressum] [motorang.com] [Die AIA]
Benutzeravatar
motorang
Administrator
 
Beiträge: 2747
Registriert: 16. Oktober 2005 07:37
Wohnort: Österreich

Beitragvon motorang » 4. März 2009 11:19

Kutts knappe Antwort:

AntiVir->Tonne

die finden alles, außer Viren


:eek:

Gryße!
Andreas, der motorang
Es gibt zwei Arten von Daten: von den wichtigen hat man ein Backup, und der Rest ist halt unwichtig.
:476: [Impressum] [motorang.com] [Die AIA]
Benutzeravatar
motorang
Administrator
 
Beiträge: 2747
Registriert: 16. Oktober 2005 07:37
Wohnort: Österreich

Beitragvon motorang » 10. Januar 2011 08:32

Nachtrag weil gerade entdeckt :oops:

Wen die Meldung nervt weil er beispielsweise von der Arbeit und von daheim, also immer mit wechselnder Adresse zugreift, der kann die Warnung deaktivieren - einfach oben auf "Loginsicherheit" klicken. Oder hier: http://forum.dreiradler.org/ct_login_history.php

Gryße!
Andreas, der motorang
Es gibt zwei Arten von Daten: von den wichtigen hat man ein Backup, und der Rest ist halt unwichtig.
:476: [Impressum] [motorang.com] [Die AIA]
Benutzeravatar
motorang
Administrator
 
Beiträge: 2747
Registriert: 16. Oktober 2005 07:37
Wohnort: Österreich

Re:

Beitragvon Feinmotoriker » 5. Januar 2012 21:10

motorang hat geschrieben:Kutts knappe Antwort:

AntiVir->Tonne

die finden alles, außer Viren




Das hatte ich mir seinerzeit zu Herzen genommen und umgestellt. Zufriedenheit. :-D

Und meinen Dank für den Tipp an Kutt!
Feinmotoriker
 
Beiträge: 1390
Registriert: 27. November 2008 19:58


Zurück zu Mitteilungen und Tipps

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 10 Gäste