id	summary	reporter	owner	description	type	status	priority	milestone	component	version	resolution	keywords	cc	blockedby	blocking
188	Fehlerhafte Login-Versuche loggen	Torsten Riemer	somebody	"Angeregt durch das Thema ""[http://www.modified-shop.org/forum/index.php?topic=26078.msg240809#msg240809 Script Kiddies?]"" habe ich hier den Wunsch von Benutzer ""[http://www.modified-shop.org/forum/index.php?action=profile;u=8645 ShopNix]"" nochmal festgehalten:

>Das Thema kommt immer mal wieder hoch, und ich denke, ich habe jetzt einen ideale Ansatz gefunden.
>
>Jeder Anmeldeversuch kommt in login.php raus, und genau an den zwei Stellen, an denen die Fehlermeldung hochkommt, schreibe ich in per error_log() eine Meldung.
>
>Auf meinem System kommt die im Fehlerprotokoll des Webservers an, solange ich in php.ini nicht explizit etwas anderes angebe.
>
>Dort kann ich sie z.B. über fail2ban sehr differenziert zur Sperrung der IP-Adresse verwenden.
>
>Code, ca. ab Zeile 50:

{{{
	if (!xtc_db_num_rows($check_customer_query)) {
		$_GET['login'] = 'fail';
		$info_message = TEXT_NO_EMAIL_ADDRESS_FOUND;
		@error_log('modified login: mail address failed:');
	} else {
		$check_customer = xtc_db_fetch_array($check_customer_query);
		// Check that password is good
		if (!xtc_validate_password($password, $check_customer['customers_password'])) {
			$_GET['login'] = 'fail';
			$info_message = TEXT_LOGIN_ERROR;
			@error_log('modified login: password failed');
		} else {
}}}

>Wäre schön, wenn wir das in den Standard bekämen!"	Erweiterung	closed	normal	modified-shop-2.0.0.0	Sicherheit	1.06	fixed