Anfang des Jahres haben wir im Blog bereits über die zunehmenden Angriffe auf Joomla-Installationen hingewiesen und unseren Kunden nahegelegt, ihr CMS inkl. der installierten Erweiterungen zu aktualisieren und auf neuere Versionen umzustellen.
Auch bei WordPress gab es im April und Mai weltweit ebenfalls Attacken, die sich zwischenzeitlich glücklicherweise etwas abgeschwächt haben. Diese versuchten zwar nicht, bekannte Sicherheitsklücken in älteren WordPress-Versionen auszunutzen, sondern gezielt Zutritt in das System mittels bekannter Standard-Benutzernamen und Passwörtern über die Loginseite zu erhalten. Dies ist jedoch nicht weniger gefährlich und wir gaben damals bereits ein paar Tipps zum Schutz des WordPress-Logins.
Heute müssen wir leider erneut darauf aufmerksam machen, dass die Angriffe auf eine weitere Software massiv zugenommen haben – das TYPO3 CMS – und auch bei uns vermelden die Kolleginnen und Kollegen aus der technischen Abteilung seit ca. einer Woche einen Anstieg an Sperrungen von TYPO3-Installationen und der Unterstützung der betroffenen Kunden.
Auch dieser Angriff geht primär direkt auf die Loginseite und es wird versucht, über das Standard-Benutzerkonto „admin“ Zugriff auf das TYPO3 Backend zu erhalten. Nachfolgend ein paar Tipps zur Verringerung des Risikos eines erfolgreichen Angriffs:
Die Loginseite von TYPO3 absichern
- Ändern Sie den Namen des Benutzerkontos. Loggen Sie sich dafür zunächst im TYPO3 Backend an und rufen in der Gruppe der Adminwerkzeuge (Admin Tools) den Menüpunkt „Benutzer“ (Backend Users) auf. Editieren Sie dort das Konto für den „admin“ und geben im Feld für den Benutzernamen bitte eine andere Bezeichnung ein. Speichern Sie die Änderung ab und loggen sich danach bitte aus und mit dem geänderten Namen wieder ein.
- Zusätzlich können Sie sich auch per E-Mail vom System informieren lassen, sobald jemand versucht hat, sich anzumelden. Dazu öffnen Die bitte das Install-Tool (Install) (dieses müssen Sie im Regelfall dann noch aktivieren) und wechseln in den Bereich „All Configuration“. Scrollen Sie anschließend bis zum Parameter „warning_email_addr“ und tragen dort die E-Mail-Adresse ein, an die Sie die Benachrichtigung wünschen.Direkt darunter existiert noch der Parameter „warning_mode“, den Sie bitte auf 1 setzen, um bei jedem Anmeldeversuch informiert zu werden. Möchten Sie nur bei Logins von Administratoren eine E-Mail erhalten, so tragen Sie dort bitte die 2 ein.
- Zur allgemeinen Absicherung der Loginseite kann auch die Aktivierung des ausschließlichen SSL-Zugriffs hilfreich sein. Ebenfalls im Install-Tool im Bereich „All Configuration“ zu konfigurieren, scrollen Sie bitte bis zu „lockSSL“. Setzen Sie den Wert auf 2 damit User, die versuchen über eine nicht-HTTPS Verbindung Admin-URLs aufzurufen auf HTTPS-URLs weitergeleitet werden.
Über den Autor
Dietmar ist seit 2005 bei domainFACTORY in wechselnden Aufgabenbereichen tätig. Seit 2013 unterstützt er als "Spezialist Qualitätssicherung Web" die Kollegen in der Entwicklungsabteilung bei allen Themen rund um Quality Assurance / Testing. Dabei kommt ihm die jahrelange Erfahrung im direkten und indirekten Kundensupport und der Begleitung bei der Einführung unseres ResellerProfessional-Systems zu Gute. Auch für viele Kollegen ist er bei Fragen dazu oder sehr alten Tarif-Konstellationen noch immer gerne eine Anlaufstelle.
Gibt es für TYPO3 auch ein Addon, das eine Art Brute-Force-Schutz bietet?
Oder eine Möglichkeit fail2ban hierfür einzusetzen?
Habt ihr Zahlen zu den Angriffen? Also wieviele es gab und wieviele erfolgreich waren?
Danke Dietmar!
Erst einmal meine Spiele-Typo3 Installationen abgesichert, muss ja nicht sein, dass darüber ein Kennwort per Brute-Force herausgefunden wird.
Hallo df.eu_blog_gast,
es gibt von TYPO3 noch den offiziellen und ausführlichen „Security Guide“ (
http://docs.typo3.org/typo3cms/SecurityGuide/Index.html) bzw. die schon einige Jahre alte „Security Checklist“ (http://www.workshop.ch/openmind/wp-content/uploads/2011/06/TYPO3-Security-Checklist-0.9.3.pdf) die auch die von uns aufgeführten Punkte bereits nennt.
Spezielle Erweiterungen für den von Ihnen angesprochenen Schutz sind uns so aber nicht direkt bekannt, failtoban ist auch nur auf einem Server mit Rootrechten wie z.B. JiffyBox individuell konfigurierbar.
Ich habe die erwähnte E-Mail-Benachrichtigung bei falschen Loginversuchen aktiviert und seit Jahren so gut wie keine Bruteforce-Angriffe zu verzeichnen.
Wie mache ich das? Ganz einfach: im HTML-Quelltext und den URLs habe ich die meisten Hinweise auf Typo3 entfernt. Das heißt zum Beispiel, dass man das „Generator“-Metatag und den Copyright-Kommentar aus dem HTML-Header entfernt. Über das Generator-Metatag gibt Typo3 sogar standardmäßig die verwendete Typo3-Version mit aus, was es den Hackern noch einfacher macht, gleich passende Sicherheitslücken ausnutzen zu können und nicht mehr lange rumprobieren zu müssen.
Weitere Maßnahmen, die in die gleiche Richtung gehen, helfen ungemein, dass man nicht mehr so einfach automatisiert über Google-Suchanfragen oder selbstprogrammierte Bots erkennen kann, dass es sich um ein Typo3-System handelt. Fällt natürlich alles in die Rubrik „Security by Obscurity“, d.h. es entbindet einen nicht davon, Sicherheitsupdates einzuspielen. Aber zumindest die Bruteforce-Attacken kann man damit recht wirkungsvoll eindämmen.
Hallo Anonymous,
wir ermitteln natürlich zu veralteter Software und Angriffen für uns selbst Statistiken, um auch entsprechend reagieren und Ressourcen und Gegenmaßnahmen planen zu können; bitten zugleich aber um Verständnis, dass wir hier keine Details zu Zahlen öffentlich machen möchten, um nicht „die Angreifer“ auch noch herauszufordern.
Wir hatten solche massiven Angriffe bereits vor einem knappen Jahr und vor 3 Monaten. Wir haben die betreffenden IP-Adressen, von denen die Angriffe ausgingen, kurzerhand auf unserem Managed Server manuell in der Firewall gesperrt.
@Dietmar: Bei meinen Recherchen ist mir ebenfalls keine Extension o. ä. begegnet, die eine Absicherung des Logins gegen solche Attacken ermöglicht.
Vielleicht sollte man per Crowdfunding versuchen, so einen Schutz gegen Brute-Force-Angriffe realisieren zu lassen.
Einen kleinen Brute Force Schutz hat TYPO3 schon eingebaut, wenn das Login nicht erfolgreich ist, dann dauert es deutlich länger, bis die Login Seite wieder geladen wird.
Am besten wäre es, wenn jemand dieses Thema mal auf einem Code Sprint anspricht, jedoch denke ich, dass man einen Brute-Force Schutz auf Serverebene viel effektiver implementieren kann. Insbesondere ist dann auch der DOS Effekt des Brute-Force Schutzes viel kleiner.
Man muss immer bedenken, dass ein Brute-Force Schutz Rechenzeit vergeudet und sich den Zustand jedes möglichen Angreifers merken muss. Allein durch das merken des Zustandes können viele Ressourcen verbraucht werden, besonders wenn es sich um eine DDOS Attacke handelt.
Ich sichere meine WP-Logins mit Yubikey ab, das funktioniert perfekt und simpel. Ein Plugin für Yubikey gibt es auch für Typo3 wie ich gesehen habe, ich kann das nur empfehlen.
Mehr zum YubiKey: http://www.yubico.com/products/yubikey-hardware/
Ich habe meinen am Schlüsselbund hängen und daher immer dabei. Der YubiKey ist extrem robust und als YubiKey Neo funktioniert der auch per NFC mit dem Handy. Zusätzlich nutze ich LastPass für all meine Passwörter zusammen mit dem YubiKey, nach etwas Umgewöhnung möchte ich das ganze nicht mehr missen!
Ich hatte z.B. die Warning_email eingerichtet und hatte nun schon auf unterschiedlichen Systemen die Attacken. Man weiß zwar das da jemand anklopft, aber um die 380 E-Mails im PostEingang zu haben ist dann auch nicht unbedingt praktisch.
Auf der englischen Typo3-Liste ist heute ein Link auf eine passende Extension gepostet worden:
http://www.abaton.at/downloads/typo3/T3X_aba_bruteforceblocker-manual.pdf
http://www.abaton.at/downloads/typo3/T3X_aba_bruteforceblocker-latest.t3x
Ich habe mir die Ext noch nicht im Detail angesehen. Laut Doku sichert sie das BE aber entsprechend ab.
@Phil: Natürlich wäre eine Absicherung auf Serverebene mit fail2ban o. ä. am besten. Das lässt sich allerdings ohne Root-Rechte nicht einrichten und geht folglich bei df nicht (außer JiffiBox, s.o.).
Hallo Jan, und was schlägst du bezüglich des Log in Bereichs zur Absicherung vor? Ich hab über diesen Vorfall noch nichts gehört, von daher hatten wir diesbezüglich auch keine Probleme.
@Prajit: Für den FE-Login gibt es im TER irgendwas. Dort einfach mal die Suche anwerfen. Hier im Thread geht es hingegen um den BE-Login, wofür im TER nichts zu finden ist.
Laut einer Studie des Bundesamtes für Sicherheit sind die Extensions von Drittanbietern ein wesentliches Risiko für Hack Attacken.
Hilfreich ist es hier die Typo3 Installationen zu überwachen.
Bsp: http://www.typo3-caretaker.org/
Hier gibt es eine fail2ban Lösung für Typo3: http://krefcom.eu/fail2ban-fuer-typo3-7-6-12/