Archief - PHP:Iemand volledig bannen

Imp · 3 mrt 2005

Ik ban dus op mijn site mensen op ip, niet op username da zou geen nut hebben want da gaat bruteforcing nie tegen.
ik dacht met de ip functie die ik nu gebruik goed te zitten :
function ip() {
if(getenv("HTTP_X_FORWARDED_FOR")) {
$IPadress = getenv("HTTP_X_FORWARDED_FOR");
} elseif(getenv("HTTP_CLIENT_IP")) {
$IPadress = getenv("HTTP_CLIENT_IP");
} else {
$IPadress = $_SERVER["REMOTE_ADDR"];
}
return $IPadress;
}

blijkbaar is da dus nie zo het geval en kunde via anonieme proxies gewoon terug op mijn site,
cookie zetten zou ook te easy zijn om voorbij te geraken
dacht bannen op mac adress, da zou gaan ma hoe kunde da zien via php, als da al gaat ?
anybody any id ?
thnx

Erlend · 3 mrt 2005

mac-adres ; uitgesloten trouwens een mac-adres kan je
nog emuleren.

killgore · 3 mrt 2005

iemand perm bannen?

onmogelijk

maar je kan combinatie van cookies, accountban, ipban en alles wat je maar kan uitvinden doen om de meeste (noobs) toch effe weg te houden

.

Imp · 3 mrt 2005

i know ma tis bedoelt om bruteforcing tegen te gaan

dus dan spreeken we al nie meer over noobs, accounts bannen zou ook nutteloos zijn in dit geval, want in meeste gevallen gaat het niet over de user zelf die dat veroorzaakt

Radiance · 3 mrt 2005

Misschien dat iemand met meer ervaring van linux en TCP/IP implementatie mij kan zeggen waarom MAC bannen eigenljk onmogelijk is?
Uiteraard omdat MAC adressen atm niet aan de webservice worden doorgegeven.
Maar is het dan niet mogelijk om een apache/PHP extensie te schrijven die in de TCP/IP stack gaat rommelen, zou uiteraard root access vragen, en dus wel niet zo secure dat het vanaf alpha releases op een production webserver kan, maar waarom kan het niet?

Want ja, een MAC is te emuleren, maar de mensen die ik ken die weten hoe dat moet kan ik toch wel op één hand tellen.

Spacy2003 · 3 mrt 2005

Radiance zei:
Misschien dat iemand met meer ervaring van linux en TCP/IP implementatie mij kan zeggen waarom MAC bannen eigenljk onmogelijk is?
Uiteraard omdat MAC adressen atm niet aan de webservice worden doorgegeven.
Maar is het dan niet mogelijk om een apache/PHP extensie te schrijven die in de TCP/IP stack gaat rommelen, zou uiteraard root access vragen, en dus wel niet zo secure dat het vanaf alpha releases op een production webserver kan, maar waarom kan het niet?

Want ja, een MAC is te emuleren, maar de mensen die ik ken die weten hoe dat moet kan ik toch wel op één hand tellen.

En als je het al kan schrijven zal er zeker niemand aan denken om dat te emuleren

Imp · 3 mrt 2005

ik zoek dus iets in die richting yeah

laat ze dan nog mac adress emuleren, tegen die soort attackers ga da geen nut hebben die te bannen

maT' · 3 mrt 2005

Een doodeenvoudige truuk die vaak werkt:
maak uw registratie-systeem zo irritant dat mensen zich maar 1x willen registreren

als er dan iemand lastig doet, ban je gewoon zijn/haar gebruikersnaam, als alles goed gaat zullen ze niet geneigd zijn een nieuwe account te maken.

tipjes:
account activatie via e-mail, 24u wachttijd tot nieuwe account intreedt, ...

Cyberkef · 3 mrt 2005

Radiance zei:
Want ja, een MAC is te emuleren, maar de mensen die ik ken die weten hoe dat moet kan ik toch wel op één hand tellen.

Bij mijn weten is dat toch niet ZO extreem moeilijk, op de LAN party van men broer had die een simpele router die dat ondersteunde (was iets ivm gameconsoles, kheb me er niet in verdiept omdat ik het niet nodig had) en zelfs met een paar "basic" sniffers (zoals bvb cain) was dat mogelijk als ik me niet vergis.

Bedoel je met bruteforcing het raden van paswoorden van members? vBB steekt daar als beveiliging in dat je maar 5 paswoorden kan ingeven, vanaf dan 15 minuten onmogelijke inlog voor die user (dus een soort logintempban)...

Wel spijtig voor die ene gebruiker als die toevallig zelf wil inloggen in die periode

Mss kan je zo iets proberen

**edit: als je bruteforce registration bedoeld, zijn er natuurlijk ook +/- zo'n oplossingen doenbaar**

PerfectPC · 3 mrt 2005

bannen op mac is onmogelijk, om de eenvoudige reden dat routers geen mac adressen doorgeven...

LunchBox · 3 mrt 2005

Cyberkef zei:
Bij mijn weten is dat toch niet ZO extreem moeilijk

integendeel, met eenvoudige applicaties die iedereen wel kan vinden online is het maar'n druk op de knop. hoeveel mensen daaraan zouden denken bij een ban dat aantal is wel klein zoals radiance aanhaalt.

je kan misschien nog een extra flash-fileke toevoegen dat een variabele van de visit wegschrijft als sharedObject // denk dat nog minder mensen eraan zouden denken die te gaan wissen

Imp · 3 mrt 2005

momenteel ban ik ze bij elke foutieve login, of de username nu in database staat of nie

ik zou dus als extra beveiliging de username kunnen blokeeren voor 15 minuten zoals jij zegt maar dan zit die rechtmatige eigenaar van die account wel 15 minuten te wachten door iemand met minder goede bedoelingen.
extra zou ik ook nog een cookie kunnen zetten (sessions haalt ook nie veel uit dacht ik om da da op cookies gebaseert is/werkt) en indien die cookie gezet is de user ook direct terug bannen, maja dan kan em gewoon zen cookies legen en das ook al weg.
maar beter zou toch iets veiliger zijn, kan toch nie da php nix heeft voorzien in die richting ?

edit 1:
idd lunchbox, kheb aan ne maat van mij die wa me linux bezig is da gevraagt die wist mij direct 10 progs op te noemen, mja da gebeurt nie automatisch of incombinatie me apache & php ofzo

edit 2 :
ik lees hier juist op phpfreakz.nl da er dll's zijn die achter het type processor enz kunnen komen ...
http://www.phpfreakz.nl/library.php?sid=11609
dan moet er toch iets bestaan waarmee ik iemand defitg kan bannen

edit 3 :
da zou mss wel iets zijn lunchbox
hebde daar mss meer info over ?

Cyberkef · 3 mrt 2005

Ik denk dat dat stats van de windowsserver zelf zijn, niet van de client

... maar dan zit die rechtmatige eigenaar van die account wel 15 minuten te wachten door iemand met minder goede bedoelingen.

Boh, alleen als ie wilt inloggen hé, als ie al ingelogd is met cookie dan zal ie er nooit last van hebben

Zie maar naar mijn account op dit forum. Ik leg er gerust geld op dat er al verschillende mensen een attackje hebben geprobeerd, maar persoonlijk heb ik daar toch nooit last van (alleen de server

)

Radiance · 3 mrt 2005

PerfectPC zei:
bannen op mac is onmogelijk, om de eenvoudige reden dat routers geen mac adressen doorgeven...

/slap *me*
uiteraard

Imp · 3 mrt 2005

na de comments van die post beter te bekijken blijk je gelijk te hebben cyberkef

mm dan zou ik men sessions al langer moetten maken
want bij het afsluiten van de browser, ben je uitgelogged

LunchBox · 4 mrt 2005

Imp zei:
edit 3 :
da zou mss wel iets zijn lunchbox
hebde daar mss meer info over ?

uh, wel kheb even een voorbeeldje ineengestoken - misschien dat je'r iets mee bent. (misschien ook ni ma bon) kan zijn dat de code beter/logischer kan maar't is laat en de andere helft van't excuus ben'k zelfs vergeten, anyway:
> voorbeeld: http://research.web-lab.be/sharedobject/multiplevisits.html (refresh de pagina)
> download: (fla/swf/html) http://research.web-lab.be/sharedobject/download.rar

Code:

so=SharedObject.getLocal();
if(so.data.VisitCount==undefined){
	so.data.VisitCount=1;
	this.myCheckBox.selected=false;
	numbercount_txt.text="first visit";
}else{
	so.data.VisitCount+=1;
	this.myCheckBox.selected=true;
	trace(so.data.VisitCount);
	numbercount_txt.text=so.data.VisitCount+" visits";
}

ps: nogmaals benadrukken, het heeft eigenlijk niets met bans enzo vandoen - maar het kan wél een extra check zijn die je toevoegt natuurlijk.. net zoals je cookies plaatst of sessions start etc.. alleen heb ik de indruk dat weinig mensen van sol-files (sharedobject-files) weet hebben op hun computer. (en dat voordeel kan je positief benutten)

den Acid Burn · 4 mrt 2005

die bepaalde kerel koudmaken is nog de effectiefste methode me dunkt

*je kan ook eens vrage aan een van de admins hier hoe ze ons op dit forum bannen.
dan kunnne we daar ook weer een workaround voor maken

Imp · 4 mrt 2005

thnx lunchbox, ik ga dit zeker verder bekijken.
ik weet dat flash goed te combineren valt met php dus dat is al zeker een extra mogelijkheid

kan er mij nog iemand zeggen of ik best nog een sessie zet of een cookie en waarom ?
thnx all

dJeez · 4 mrt 2005

Je zou er stom van staan hoe effectief het bannen via een cookie wel kan zijn... Maar bannen op username in combinatie met een beperking van het aantal inlogpogingen (om brute forcing te vermijden) is misschien de aangewezen oplossing.

Je kan op basis van IP tijdelijk gaan bannen na X aantal pogingen, dan zal hij al veel proxies moeten kennen...

BTW Als je op username bant automatisch het laatst gebruikte IP ook bannen is misschien handig. En daarna registreren via welke IPs hij nog binnenkomt (adhv een "remember me" cookie of zo) en die ook bannen maakt het helemaal compleet

.

PerfectPC · 4 mrt 2005

wat ge ook kunt doen is zowiezo alle gekende open proxies bannen en verder bannen op den reverse dns van z'n ip. zo kan hij/zij niet snel een ip change forceren

Archief - PHP:Iemand volledig bannen

Imp

Legacy Member

Erlend

Legacy Member

killgore

Legacy Member

Imp

Legacy Member

Radiance

Legacy Member

Spacy2003

Legacy Member

Imp

Legacy Member

maT'

Legacy Member

Cyberkef

Legacy Member

PerfectPC

Legacy Member

LunchBox

Legacy Member

Imp

Legacy Member

Cyberkef

Legacy Member

Radiance

Legacy Member

Imp

Legacy Member

LunchBox

Legacy Member

den Acid Burn

Legacy Member

Imp

Legacy Member

dJeez

Legacy Member

PerfectPC

Legacy Member