CrackerTracker ist unsere Foren-Alarmanlage, die Einbruchsversuche erkennen und verhindern soll. Meist werden bei einem Alarm ganz harmlose Dinge wie das Löschen der eigenen PNs als Angriff fehlinterpretiert, dann bitte PN an mich und ich versuche das anders einzustellen. Ich muss dazu einen Logger einschalten, und wenns nochmal auftritt, seh ich die Ursache und kann handeln.
IP-Range-Meldung:
Kommt hoch wenn sich der IP-Bereich des Benutzers ändert - das KÖNNTE ein Hinweis sein dass sich ein Fremder mit Deinen Nutzerdaten von einem anderen Rechner aus anmeldet. Sinnvoll nur dann wenn Du IMMER vom gleichen Rechner aus auf das Forum zugreifst. Sobald man (einwahlbedingt) wechselnde IP-Adressen hat, oder von der Arbeit UND privat zugreift, bringt die Meldung wenig und kann abgeschaltet werden - das kannst Du im Meldungsfenster selbst machen.
Auch ein Rechner der ständig am Netz hängt ändert seine IP-Adresse - das wird vom Provider gemacht damit man keinen Webserver betreiben kann ... ne Standleitung (= fixe IP) kostet deutlich mehr Kohle.
Gryße!
Andreas, der motorang
PS: Wen es genauer interessiert - hier hat kutt das mal genau erklärt mit der IP-Sache:
http://mz-forum.com/knowledge/kb_show.php?id=24
Und hier als Vollzitat falls sich der Link mal ändert:
HILFE! Meine "IP-Range" hat sich geändert
Was ist, wenn ich beim Login so einen Hinweis bekomme? Wurde mein Login geknackt?
Erst mal: Ruhe bewahren
Zur Erklärung was das ist und was der Grundgedanke hinter dieser Sache ist.
In den "Foren für Foren" liest man oft, daß Logins "gehackt" wurden. Meistens weis/merkt der Betroffene gar nichts davon, bis es zu spät ist. Wird der Login eines "normalen" Nutzers geknackt, dann wird dieser meist dazu verwendet, sich einen Spaß draus zu machen und die Leute gegeneinander aufzubringen. Wird ein Admin Account abgegriffen ist logisch was dann passiert. Sicher wird die Datenbank kopiert, alle Nutzer bekommen ab dann Spam-mails und das Forum wird zerstört. Da hilft meist nur noch der Griff zum rettenden Backup.
Selbst wenn dies passiert ist, ist es nur schwer nachvollziehbar wer wann manipuliert hat.
Wie genau ein Login geknackt wird werde ich hier nicht schreiben. Wir sind aber bemüht alle serverseitigen Schwachstellen dicht zu bekommen.
Und genau an dieser Stelle setzt die "Loginsicherheit" des CTrackers an.
Zum einen speichert das Tool die letzten 10 IP Adressen, die der Nutzer verwendet hat.
Zum anderen wird immer die IP mit der vorhergegangenen verglichen.
Dabei ergibt sich aber folgendes Problem:
Viele Nutzer haben dynamische IP's. Das bedeutet: Die IP ist nach jedem Einwählen anders bzw. ändert sich nach einer bestimmten Zeit (Zwangstrennung).
Meistens ändern sich nach einer solchen Trennung nur die letzten 2 Ziffern der IP. (also im Klasse B Bereich)
Was sind Klasse A,B und C?
Wenn sich nur die letzte Zahl ändert dann spricht man von einem Klasse C Bereich. Dieser enthält 254 mögliche Adressen
z.B. 10.10.10.1 bis 10.10.10.255
Wenn sich die letzten 2 Zahlen ändern dann spricht man von einem Klasse B Bereich. Dieser enthält 65.534 mögliche Adressen
z.B. 10.10.1.1 bis 10.10.255.255
Wenn sich die letzten 3 Zahlen ändern dann spricht man von einem Klasse A Bereich. Dieser enthält 16.777.214 mögliche Adressen
z.B. 10.1.1.1 bis 10.255.255.255
Nun ist der wahrscheinlichste Fall, daß sich Die IP nur im Klasse B Bereich ändert. Dem nach werden nur die ersten beiden Zahlen verglichen. Da viele Anbieter regional immer die selben beiden ersten Oktette verwenden kann man dadurch ziemlich sicher sein, daß der Login nicht mißbraucht wurde.
Nun gehen aber manchmal den Anbietern die IP's aus. Klasse B hat ja nur knapp 65000 mögliche IP's. Deshalb wird immer mal eine andere IP im zweiten Oktett verwendet. Für den Anbieter ist das gleich, da ihm ja diese Netzbereiche gehören und er die IP's vergeben kann , wie er will.
Und genau in diesem Moment springt dann auch der CTracker an, da die ersten beiden Oktette h sind.
Jetzt gibt es 2 Möglichkeiten:
1: Man weis, daß sein Anbieter diese IP benutzt - somit kann man diesen Hinweis ignorieren
2: Die vorherige IP ist einem Fremd und man sollte etwas nachforschen.
Dazu klickt man auf "Loginsicherheit"
Dort sieht man die letzten 10 IP's. Man kopiert sich die IP, die der CTracker als Warnung beanstandet hat und gibt folgenden Link im Browser ein:
http://network-tools.com/default.asp?pr ... x.xx.xx.xx
statt der xx.xx.xx.xx ist die IP einzusetzen
Man sieht dann wem die IP gehört. Steht auf der Seite der selbe Anbieter, den mal auch hat, kann man relativ sicher sein, daß alles OK ist.
Steht dort aber ein anderer Anbieter, bzw. kann man den Zeitpunkt des Einloggens (Datum und Uhrzeit stehen ja in der "Loginsicherheit") überhaupt nicht nachvollziehen, dann sollte man auf jeden Fall mal sein Paßwort ändern und einen Admin/Mod bitten dort mal nach zuforschen. Bitte dazu die IP und die genaue Zeit + Datum beifügen.
Falls der Hinweis ständig kommen sollte kann man diesen auch deaktivieren. Dies geht auch in der "Loginsicherheit". Der CTracker wird dann auch die IP's speichern, die zum Login verwendet wurden.
Um es noch mal klarzustellen: die Loginsicherheit sucht nicht nach Vieren oder ähnlichem. Es wird nur, für jeden Nutzer persönlich, ein IP Logging der letzen 10 IP.s erstellt und die letzte IP mit der neuen verglichen.
In diesem Sinne - Viel Spaß
