CrackerTracker Pro 2nd Edition (4.x)

Neue Projekte und Anfragen, Teamarbeiten und Alpha/Beta Scripte jeder Art.
KEINE Supportanfragen zu bestehenden MODs!
diegoriv
Beiträge: 314
Registriert: Di 01.Feb, 2005 15:25
Wohnort: Wien
Kontaktdaten:

Beitrag von diegoriv »

@Sk.....
Du hast sowieso autologin aktiviert, weil diese groß-klein-wechslerei würde mir sämtliche Finger brechen ;)
nichts für ungut.

Ich hoffe, ich verbreite da keinen Schwachsinn. Ich möchte die großartige Arbeit von cback nicht verunstalten:
Jedenfalls hab ich 2 Kleinigkeiten in der login.php angepasst:
inder Zeile, wo die Variable ct_logintry = 1 gesetzt wird, da erhöhe ich um 1

Code: Alles auswählen

SET ct_logintry = ct_logintry + 1
und weiter oben bei der Abfrage nach selbiger habe ich

Code: Alles auswählen

if($row['ct_logintry'] == 0)
durch

Code: Alles auswählen

if($row['ct_logintry'] < 2)
ersetzt.
Ich lasse also 0 und 1 zu.
Meiner Meinung nach bleibt sich das völlig wurscht, weil wenn einer dieser ScriptKiddys (eigentlich ein schönes Vokalbel) aktiv wird, dann ändert es nichts daran, ob der VisCode beim ersten oder 15. Fehlversuch sich dazuschaltet. Die Sperre von 2.0.19 wird umschifft - Das ist der wesentliche Punkt.

j.
Zuletzt geändert von diegoriv am Mo 16.Jan, 2006 23:25, insgesamt 1-mal geändert.
[center]***********************************************************
Alpinum.at - Forum f?r Bergfreunde
***********************************************************[/center]
SkYfiGhTeR
Beiträge: 153
Registriert: Do 28.Okt, 2004 09:01

Beitrag von SkYfiGhTeR »

Hi,

nein - AutoLogIn habe ich nicht aktiviert. *g* Habe mich da dran gewöhnt und bekomme den so schon schneller hin als alles klein zu schreiben, außerdem tipp ich meist das S ein und dann Pfeil nach unten und "Enter" und dann ist der ganze Name...Autovervollständigungen sind an. ;)
AutoLogIn mag ich nicht so. *g*

Ja..also eigentlich keine schlechte Sache und wirklich die Sicherheit "verschlechtern" tut es ja auch nicht...wenn da nicht igrendwelche Bedenken oder so seitens cback kommen, dann überlege ich mir das auch mal, ob ich's nicht auf zwei Versuche mache, falls wirklich mal ein Vertipper dabei ist und man dann trotzdem noch ohne VisCode rein kommt, wenn beim 2. Versuch dann das PW korrekt ist.


Grüße
SkYfiGhTeR
diegoriv
Beiträge: 314
Registriert: Di 01.Feb, 2005 15:25
Wohnort: Wien
Kontaktdaten:

Beitrag von diegoriv »

Besser wir warten das ok von cback ab, weil ich bin eher der Bastler als der Wissende *outing*
[center]***********************************************************
Alpinum.at - Forum f?r Bergfreunde
***********************************************************[/center]
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Oh man *stöhn* noch schneller und CBack arbeitet mit Lichtgeschwindigkeit :D

Wie immer supi Arbeit und ich kann mich nur wiederholen: Du setzt Ideen einfach immer wieder genial um!
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
tom10
Beiträge: 1106
Registriert: Sa 29.Jan, 2005 14:58
Kontaktdaten:

Beitrag von tom10 »

Sehr schön, sehr schön ! Danke Cback !

Was ich bei mir gerade festgestellt habe:

Ich gebe beim 1. versuch ein falsches Password ein --->
Dann kommt die Seite mit "sie haben ein falschen benuternamen...blabla"
Nun gebe ich wieder ein falschen Benutzernamen ein --->
Und nun kommt die Seite mit dem Visuellen Code....
Und ich kann ein 3tes mal die login daten eingeben wie gesagt nun mit dem Visuellen Code.
Genau so finde ich es gut!
Ich dachte es käme schon nach dem 1. versuch die sache mit dem Visuellen Code....und von daher sauch der vorschlag nach einer 2ten Möglichkeit das Password nochmal einzugeben. Aber wie gesagt so wie es momentan bei mir ist finde ich es gut gelöst.
Zuletzt geändert von tom10 am Di 17.Jan, 2006 06:41, insgesamt 1-mal geändert.
Der Versuch was neues zu versuchen....
http://simson-le.de.vu
diegoriv
Beiträge: 314
Registriert: Di 01.Feb, 2005 15:25
Wohnort: Wien
Kontaktdaten:

Beitrag von diegoriv »

[quote="tom10 - Di 17.Jan, 2006 06:40";p="52223"]Sehr schön, sehr schön ! Danke Cback !

Was ich bei mir gerade festgestellt habe:

Ich gebe beim 1. versuch ein falsches Password ein --->
Dann kommt die Seite mit "sie haben ein falschen benuternamen...blabla"
Nun gebe ich wieder ein falschen Benutzernamen ein --->
Und nun kommt die Seite mit dem Visuellen Code....
Und ich kann ein 3tes mal die login daten eingeben wie gesagt nun mit dem Visuellen Code.
Genau so finde ich es gut!
Ich dachte es käme schon nach dem 1. versuch die sache mit dem Visuellen Code....und von daher sauch der vorschlag nach einer 2ten Möglichkeit das Password nochmal einzugeben. Aber wie gesagt so wie es momentan bei mir ist finde ich es gut gelöst.[/quote]
Soweit ich das verstanden habe, ist es beim zweiten Versuch völlig egal, ob du ein richtiges oder falsches PW eingibst. Du kommst in jedem Fall zum VisCode. Dort musst du dann alle drei Felder korrekt nochmal ausfüllen.
Das ist auch vielleicht noch der gaaanz kleine Schönheitsfehler an dieser Lösung, aber immer noch viel besser, als wenn man bei jedem einloggen den VisCode abtippen müsste.
[center]***********************************************************
Alpinum.at - Forum f?r Bergfreunde
***********************************************************[/center]
Benutzeravatar
cback
Beiträge: 1391
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

@diegoriv:
Deine Lösung ist auch OK und 2 mal macht bei Brute Force auch nichts, wer beim 2. Versuch schon Dein Passwort weiß das wär schlecht. ;)


Ansonsten muss das so gelöst werden mit dem Code, da die Loginseite erst wissen muss wer kommt. Was ich vorher sagte. Bevor Du Deinen Nick eingegeben hast und Absenden klickt weiß CTracker noch nicht wer sich da anmelden will. Erst nachdem das geschehen ist schaut er nach, ob schon ein Fehlerversuch bei dem User vorlag. Wenn nein, dann loggt er ein, wenn doch zeigt er halt den Code an und verhindert den Login.

Genauso wies sein sollte und auch die einzige Möglichkeit sowas beim Login umzusetzen, denn auf der Loginseite weiß das Skript logischerweise nicht wer kommt.


Und kommt nicht mit Cookies oder IP, denn BruteForce Attacken löschen meist die Cookies nach jedem Versuch und rotieren ihre IP ;)
Benutzeravatar
tom10
Beiträge: 1106
Registriert: Sa 29.Jan, 2005 14:58
Kontaktdaten:

Beitrag von tom10 »

Nur mal so von mir weiter gesponnen.....(weil ich es noch immer nicht so ganz verstanden hab)
Ist es also egal was ich beim 2ten Versuch eingebe... es kommt immer noch ein 3ter Versuch ?!?
Und wenn man die 2te Eingabemöglichkeit gleich weg lassen würde und dafür die mit dem visuellen Code nehmen würde und alle weiteren dann eben auch mit dem Visuellen code?

Schlag mich bitte nicht.....aber da kann man sich doch (wie es jetzt ist) das 2 Eingabefenster schenken ?!? :eek:
Zuletzt geändert von tom10 am Di 17.Jan, 2006 17:14, insgesamt 1-mal geändert.
Der Versuch was neues zu versuchen....
http://simson-le.de.vu
Benutzeravatar
cback
Beiträge: 1391
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

Nö.
Erster Login schlägt fehl, Forum weiß danach nicht mehr wer kommen will. Würde sich nun also ein anderer User einloggen käme die Visuelle Bestätigung ja nicht, nur wenn der es wieder versucht der vorher schon falsch eingegeben habt.

Bedenkt bitte:
Skript muss wissen WER sich einloggen will :)
Weiß er vorher noch nicht ;)
Zuletzt geändert von cback am Di 17.Jan, 2006 17:13, insgesamt 1-mal geändert.
Benutzeravatar
tom10
Beiträge: 1106
Registriert: Sa 29.Jan, 2005 14:58
Kontaktdaten:

Beitrag von tom10 »

Ich hab gerade nochmal bei mir getestet.

Ich gebe irgend was sinnloses als Benutzernamen ein und auch beim Password --> Da kommt gleich die Visuelle Bestätigung... (Klar, kann und soll sie auch)

2ter Test: Ich gebe ein richtigen Nick ein und ein falsches Password-->
Da kommt (sie haben falsches password usw. eingegeben) (ist klar und richtig so)
Und nun kommt nochmal ein Eingabefenster ohne visuellen Code -->
Jetzt gebe ich die richtigen Zugangsdaten ein und dachte ich lande nun eingeloggt im forum, aber es kommt das 3te mal ein eingabefenster mit dem visuellen Code...
Sollte ich nicht eigentlich nachdem ich die richtigen zugangsdaten eingegeben habe eingeloggt werden ?
Der Versuch was neues zu versuchen....
http://simson-le.de.vu
Benutzeravatar
cback
Beiträge: 1391
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

Nein wenn Du ein falschen Login erzeugt hast vorher natürlich nicht, sonst hätte ein BruteForcer ja die Möglichkeit den Schutz auszutricksen wenn er immer wieder die login.php aufruft. ;)
Benutzeravatar
tom10
Beiträge: 1106
Registriert: Sa 29.Jan, 2005 14:58
Kontaktdaten:

Beitrag von tom10 »

Aha, schon verwirrend irgend wie das ganze....
Der Versuch was neues zu versuchen....
http://simson-le.de.vu
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Nochmal in chonologischer Reihenfolge:

- User meldet sich an
- Anmeldung schlägt fehl (Passwort falsch)
- Script merk (erst jetzt!!!!!) wer sich falsch angemeldet hat
- Account wird gesperrt
- Login erscheint erneut (es ist nun bekannt, wer sich anmelden wollte)
- Anmeldung durch User erfolgt (User wird mitgeführt. Und genau hier kann der auch von Scripts ausgelesen werden!!!!!)
- Login erscheint nun zum 3. Mal, aber jetzt mit Visual Confirmation, um fehlerhafte Anmeldung zu vermeiden, die korrekte Anmeldung zu bestätigen und Eindringlinge weiterhin abzufangen.
- Account wird entsperrt und der User angemeldet.

Soweit jetzt klarer?
Erscheint auf den ersten Blick lästig, aber nur so kann man falsche Anmeldungen wirksam abfangen und dem User mit der VC gezielt und sicher anmelden.
Oder die VC wäre halt immer an ;)
Im Original müsste man sich halt einfach nochmal anmelden.
Der Ctracker verlangt hier aber einfach nochmal eine Bestätigung, die kein Script oder Wurm erledigen kann. Halt: Schotten dicht!
Zuletzt geändert von oxpus am Di 17.Jan, 2006 19:17, insgesamt 1-mal geändert.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
tom10
Beiträge: 1106
Registriert: Sa 29.Jan, 2005 14:58
Kontaktdaten:

Beitrag von tom10 »

Alles klar. Nun verstehe ich die Problematik ! Danke nochmal für die Erklärung.
Der Versuch was neues zu versuchen....
http://simson-le.de.vu
Benutzeravatar
cback
Beiträge: 1391
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

Version 4.1.2 veröffentlicht.

Paketdownload siehe bitte aller erster Post dieses Topics. Dort befindet sich auch der Downloadlink. Im Downloadpaket liegt eine Updateanleitung dabei, ist sehr schnell gemacht das Update. Dank Modularer Bauweise muss nur eine Datei ersetzt und das DB Update ausgeführt werden.
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Und schon sind wie wieder aktuell.
Danke Cback!
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
cback
Beiträge: 1391
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

Bitte, gern geschehen. :)
Benutzeravatar
skittles
Beiträge: 820
Registriert: So 04.Apr, 2004 01:07
Wohnort: Wien

Beitrag von skittles »

@cback
Gibts deinen Ctracker auch fürs wbb?
ich frage aus 2 gründen!

1. habe ich es durch Zufall gesehen, und wollte sichergehen dass da keine Copyright verletztung statt findet.
Siehe Footer http://www.german-torrent-division.de.vu/ bzw
http://www.radiosunlight.de/
2. tät ich ihn selber gerne mal einbauen bei mir!

Über eine Antwort würde ich mich freuen! Liegt ja zu 50% auch in deinem Interesse *ggg*
[center]Populanten von transparenten Domizilen sollten
mit fester Materie keine transzendenten Bewegungen durchf?hren.
[/center]


Bild
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Titus
Beiträge: 235
Registriert: Fr 18.Mär, 2005 22:23

Beitrag von Titus »

es gibt die CT-portierung von
http://birc-script.de/wbb2/index.php

und ein ähnliches system von
www.wbb-security.de
vom umfang recht identsich mit dem phpBB CT (was man in der basic version so sieht)

und natürlich den standalone wie oxpus schon geschrieben hat
Benutzeravatar
skittles
Beiträge: 820
Registriert: So 04.Apr, 2004 01:07
Wohnort: Wien

Beitrag von skittles »

Danke für die antworten!

:-)
[center]Populanten von transparenten Domizilen sollten
mit fester Materie keine transzendenten Bewegungen durchf?hren.
[/center]


Bild
Benutzeravatar
tom10
Beiträge: 1106
Registriert: Sa 29.Jan, 2005 14:58
Kontaktdaten:

Beitrag von tom10 »

Recht vielen Dank für das Update Cback! Habs gleich eingebaut!
Der Versuch was neues zu versuchen....
http://simson-le.de.vu
Benutzeravatar
cback
Beiträge: 1391
Registriert: Sa 15.Mai, 2004 15:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback »

[quote="skittles";p="57680"]@cback
Gibts deinen Ctracker auch fürs wbb?
ich frage aus 2 gründen!

1. habe ich es durch Zufall gesehen, und wollte sichergehen dass da keine Copyright verletztung statt findet.
Siehe Footer http://www.german-torrent-division.de.vu/ bzw
http://www.radiosunlight.de/
2. tät ich ihn selber gerne mal einbauen bei mir!

Über eine Antwort würde ich mich freuen! Liegt ja zu 50% auch in deinem Interesse *ggg*[/quote]

Das ist eine erlaubte Portierung, der Link zu CBACK.de ist ja auch noch intakt. Es gibt mittlerweile Portierungen auf WBB, VBulletin und UBB.
Benutzeravatar
skittles
Beiträge: 820
Registriert: So 04.Apr, 2004 01:07
Wohnort: Wien

Beitrag von skittles »

Wußte ja nicht dass du "fremdgehst"
*lol*
cback erobert die Welt!
[center]Populanten von transparenten Domizilen sollten
mit fester Materie keine transzendenten Bewegungen durchf?hren.
[/center]


Bild
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Öh, falsch: Die Welt GEHÖRT bereits Cback :D
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Antworten