Einführung von AdminExile für Joomla-Applikationen

Es kann vorkommen, dass die Admin-Oberfläche des Joomlas von Hackern mit Bruteforce-Attacken angegriffen wird. Um zu verhindern, dass der Angreifer beliebig viele Passwörter ausprobieren kann, gibt es eine Extension namens AdminExile. Diese bringt, eine zusätzliche Authentifizierung mit, welche beim Aufruf der Admin-Oberfläche aktiv ist.

Absicherung der Admin-Oberfläche

AdminExile fügt einen Schlüssel hinzu, welcher beim Aufruf der Admin-Oberfläche mitgegeben werden muss. Dies kann wie folgt aussehen: mydomain.ch/administrator?aeShee9Quohzu8uiBaeb
Wenn nun ein Unbefugter auf mydomain.ch/administrator zugreiffen will, kommt er nicht auf die Admin-Oberfläche. Das Verhalten ist dabei konfigurierbar. Man kann auf die Hauptseite oder eine beliebige andere Seite weiterleiten, sowie eine 404-Seite anzeigen lassen. So hat der Angreiffer das Gefühl, dass diese Seite nicht existiert.

Schlüssel erhalten

Was ist jedoch wenn man den Schlüssel für die Admin-Oberfläche vergessen hat? Ganz einfach: Man geht auf mydomain.ch/administrator?email=benutzername, wobei “benutzername” der eigene Benutzer ist. Man bekommt anschliessend eine E-Mail an die dem Benutzer hinterlegte E-Mail-Adresse mit dem richtigen Link zur Admin-Oberfläche.

Konfiguration

Man kann diverse Einstellungen für den Bruteforce-Schutz vornehmen:

Name Beschreibung Empfehlung
Redirection Destination Man kann die Anzeige bei invalidem Zugriff selber auswählen. Zur Verfügung stehen:

  • {HOME} => Verweist auf die Hauptseite.
  • {404} => Zeigt eine eigene 404-Seite an um dem Angreifer zu zeigen, dass diese nicht existiert. Sie ist eine Nachbildung der 404-Seite von Apache.
  • Eigene Url => Eine beliebige eigene URL, wie zum Beispiel eine statische 404-Seite.
{HOME}
Max Attempts Die Anzahl von Versuchen bevor eine IP-Adresse geblockt wird. 3
Penalty Die Anzahl von Minuten die eine IP-Adresse geblockt wird (auch wenn sie einen Zugriff auf /administrator mit gültigen Schlüssel macht) 5
Penalty Multiplier Die Nummer mit der Penalty vergrössert wird bei jedem weiteren fehlerhaften Zugriff. Zum Beispiel bei Multiplier = 2 und Penalty = 20:

  1. Fehlerhafter Versuch: 20 Minuten
  2. Fehlerhafter Versuch: 40 Minuten (2 * 20 Minuten)
  3. Fehlerhafter Versuch: 80 Minuten (2 * 40 Minuten)
2
Email Admin Der Administrator der bei fehlerhaften Anmeldversuchen informiert wird.

Wenn alles schief geht

Es kann natürlich vorkommen, dass man die eigene IP blockiert hat und nicht mehr auf die Admin-Oberfläche zugreifen kann. In einem solchen Fall: Keine Panik. Das Problem kann in drei Schritten behoben werden:

  1. adminexile.php in /plugins/system/adminexile umbenennen, zum Beispiel nach Xadminexile.php. Ab jetzt wird die Admin-Oberfläche nicht mehr durch AdminExile geschützt.
  2. Nun kann man in die Admin-Oberfläche gehen und AdminExile im Plugin-Manager deaktivieren.
  3. Wenn man jetzt Xadminexile.php zurück umbenennt nach adminexile.php kann man sich selbst von den Blockierten IP-Adressen löschen oder anderweitig das Problem beheben.

Weitere Informationen

Einführung bei Citrin Kunden
Extension Beschreibung auf joomla.org
Dokumentation von AdminExile