Botnet Angriffe auf WordPress-Login und Anmeldeformular unseres Systems

Dieses Thema enthält 2 Antworten und 2 Teilnehmer. Es wurde zuletzt aktualisiert von  Anonym 12. Juli 2013 at 00:39.

Ansicht von 3 Beiträgen - 1 bis 3 (von insgesamt 3)
  • Autor
    Beiträge
  • #42755

    Kristan Angwin
    Teilnehmer

    Hallo

    Nach etwas Recherche bin ich auf die Seite und das Forum hier gestoßen. Nach dem Durchstöbern einiger Themen und anderer Internetseiten ist mir klar geworden das man nicht wirklich etwas gegen die Botnetze unternehmen kann, nur die eigene Website anpassen und hoffen das den “Bots” die Lust vergeht 😉

    Ich betreue die Websites meiner Firma und in letzter Zeit sind mir zwei Sachen aufgefallen:

    1. Tägliche Aufrufe der /wp-login.php – Laut google scheint es sich dabei scheinbar um Versuche zu handeln das Passwort für den Standardnutzer “admin” zu bruteforcen (oder irgendwas in der Art). Große Sorgen mach ich mir deswegen nicht, mich würde nur interessieren ob irgendwie bekannt ist, wie man das Ziel solcher Bots wird?

    2. Der nächste Fall ist etwas spezieller:

    Um Kunde unserer Firma zu werden muss man sich mit gültigen Kreditkartendaten registrieren. Nach Eingabe der Daten (Nr, Gültigkeit, CVV) wird direkt per 1,00 €-authorization gecheckt ob die Karte funktioniert und ob Geld darauf ist – nur dann wird das Kundenkonto aktiviert.

    Seit 3 Monaten erhalten wir regelmäßig Anmeldungen mit komplett gefälschten Kontaktdaten (Fantansienamen, komische Telefonnummern) ABER mit gültigen Zahlungsinformationen. Anfangs waren es nur vielleicht 10 Anmeldungen je Woche und ich habe mir nicht viel dabei gedacht, inzwischen wird es aber mehr und ich hab die Anmeldungen genauer überprüft. Ca 95% der Anmeldungen kommen von privaten Internetanschlüßen mit dynamischen IPs – diese habe ich erst einmal außer acht gelassen und mich auf die IPs konzentriert die sich eindeutig identifizieren lassen. Nach ein paar Anrufen hat sich sehr schnell rausgestellt das es sich um infizierte Rechner handelt die diese Anmeldungen unbewusst auslösen. Ihr könnt euch sicher vorstellen das die Leute die ich angerufen habe sich erst über meine Anfrage gewundert haben, hinterher aber dankbar waren.

    Da meine Firma viel mit Affiliate Marketing rumprobiert hat, ist meine Hauptvermutung das eine der von uns beauftragten Unternehmen etwas über das Ziel hinaus geschoßen ist. Die Marketing Aktionen sind seit letzten Monat vorbei und die Anmeldungen kommen weiter. Mir glaubt natürlich keiner und ich muß gestehen es hört sich auch sehr nach Verschwörungstheorie an.

    Im Internet habe ich nichts darüber gefunden, mich würde aber interessieren ob Fälle dieser Art bekannt sind. Bots die maßenhaft Fakeanmeldungen außlösen und gültige Zahlungsdaten hinterlassen, scheinen doch sehr speziell zu sein.

    Bin ich paranoid? Habt ihr einen Vorschlag für mich, wie ich diesen Kram noch weiter aufdecken kann? Ich hoffe in den nächsten Tage noch besseren Kontakt zu den von mir kontaktierten Admins zu bekommen.

    Das Anmeldeformular wird demnächst mit Captcha abgesichert und dann hört das hoffentlich auf.

    Ich freue mich auf eure Meinung dazu und hoffe das wir zusammen vielleicht etwas schlauer werden 🙂

    #136259

    Petra
    Moderator

    Hallo muchti22,

    Dein Thread ist offensichtlich übersehen worden, sorry. Ist das Problem noch aktuell?

    Lasse ggfs. Deine Website von unserer Initiative-S prüfen.

    [°¿°] Ciao, Petra
    Forenregeln | Kein Support per PN oder Mail! | Daten sichern! | Initiative-S

    #136258

    Anonym

    @muchti22 101003 wrote:

    1. Tägliche Aufrufe der /wp-login.php – Laut google scheint es sich dabei scheinbar um Versuche zu handeln das Passwort für den Standardnutzer “admin” zu bruteforcen (oder irgendwas in der Art). Große Sorgen mach ich mir deswegen nicht, mich würde nur interessieren ob irgendwie bekannt ist, wie man das Ziel solcher Bots wird?

    Hier reicht es aus, dass Du WordPress als CMS Deiner Wahl nutzt und das Login-Formular dieses sehr weitverbreiteten CMS-Systems nicht versteckst (z.B. hinter einer .htaccess-Datei). Bei diesen Angriffen handelt es sich nicht um gezielte Angriffe, sondern das sind “gescriptete” Vorgänge.

    @muchti22 101003 wrote:

    Im Internet habe ich nichts darüber gefunden, mich würde aber interessieren ob Fälle dieser Art bekannt sind. Bots die maßenhaft Fakeanmeldungen außlösen und gültige Zahlungsdaten hinterlassen, scheinen doch sehr speziell zu sein.

    Nein, solche Fälle gibt es. Diese Bots sind zu Hauf’ unterwegs und sind teilweise auch in der Lage Captcha zu “brechen”.

    Was auch denkbar ist und duchaus gängige Praxis, ist dass auf den Rechner der infizierten Endkunden ein Bot läuft, den die infizierte Kiste zu einem “Proxy” macht. Dadurch nutzen Cyberkriminellen die Kiste als “Surfstation”. Es gibt Dienste in der Underground Economy, bei denen man dies für ein paar Euro einkaufen kann. Für den Anbieter, also Dich, sind solche Geschichte natürlich nur sehr schwer erkennbar und so gut wie nicht abblockbar.

    Eine Alternative zu Eurem gegenwärtigen Verfahren (Überweisung von EUR 1,00 bzw. Abbuchung von EUR 1,00) ist, dass Ihr eine 2-Vektor-Authentifizierung über SMS-PIN. Von den Kosten her dürfte das fast identisch sein, so dass Euch da nicht wirklich Mehrkosten entstehen sollten.

Ansicht von 3 Beiträgen - 1 bis 3 (von insgesamt 3)

Das Thema „Botnet Angriffe auf WordPress-Login und Anmeldeformular unseres Systems“ ist für neue Antworten geschlossen.