Попытки подбора паролей брутфорсом.

Автор Babayka, 16 февраля 2011, 13:14:36

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Babayka

Несколько суток уже кто-то пытается подобрать пароли к аккаунтам. Просто не понятно для чего? Каждые 5-15 минут в логи выдается ошибка с "неправильный пароль ****". То, что подбирают - точно, ибо даже мой пытаются подобрать. У меня два форума, атакуется только один на SMF2.0 RC4. Ни у кого не происходит подобного? Мне пришлось увеличить кол-во неудачных попыток до попадания в восстановление пароля с 3-х до 10-ти, что бы просто юзерам письма не пошли с новыми паролями валом. При проверки айпи атакующего, выяснилось полное совпадение с серверами сетей TOR. Как защититься не блокируя айпи? Да и смысл атаки не понятен.

0daliska

Уехала отдыхать. Сейчас без интернета до 1 августа. Приеду - выполню все обещания
® For members of Russian community (simplemachines.ru) only


0daliska

Уехала отдыхать. Сейчас без интернета до 1 августа. Приеду - выполню все обещания
® For members of Russian community (simplemachines.ru) only

Babayka

Цитата: 0daliska от 16 февраля 2011, 13:45:15
SMF2.0 RC4 -> SMF2.0 RC5?
нет, только секьюрити патч для RC4. Все же кажется не в версиях дело. Какая разница на какой форум логиниться брутом? К тому же древний RC3 не атакуют.

0daliska

А если попробовать капчу прикрутить к форме входа или доп.вопросы случайно выбираемые?
но такой фишки не нашла среди модификаций...  :(
на единицу с легкостью набросала бы для кейкапчи вариант, но нам сие не надобно...
а вот на двойку сорри...
Пока умных мыслей по поводу, как помочь не пришло :(
Уехала отдыхать. Сейчас без интернета до 1 августа. Приеду - выполню все обещания
® For members of Russian community (simplemachines.ru) only

Babayka

Цитата: 0daliska от 16 февраля 2011, 14:36:43
А если попробовать капчу прикрутить к форме входа или доп.вопросы случайно выбираемые?
...
Скорее всего пытаются логиниться со стартовой, а не с формы входа, ибо подряд один и тот же логин не используют.
Если, честно, понять не могу - для чего? Просто доставить маленькую неприятность? Все равно мой пароль подберут с такой скоростью брута где-нибудь лет черех миллион, а я один админ, даже модеров нет. Не вижу смысла сих деяний.

0daliska

Цитата: Babayka от 16 февраля 2011, 14:42:20
Скорее всего пытаются логиниться со стартовой, а не с формы входа, ибо подряд один и тот же логин не используют.
Если, честно, понять не могу - для чего? Просто доставить маленькую неприятность? Все равно мой пароль подберут с такой скоростью брута где-нибудь лет черех миллион, а я один админ, даже модеров нет. Не вижу смысла сих деяний.
ну тогда временно можно просто убрать форму входа на главной (в index.template.php) подправить и посмотреть, может на этом проблемы уйдут?
_____
может кто-то из пользователей практикуется... есть такие редиски в нашем мире...
плюс Вы пользователей по топу на главной страничке выстроили... Удобно :)
Уехала отдыхать. Сейчас без интернета до 1 августа. Приеду - выполню все обещания
® For members of Russian community (simplemachines.ru) only

Drakonsa

Скорее всего просто напрямую бьют авторизацию, а не с какой-то страницы...
Ставьте капчу или блокируйте доступ с этого ip \ сети.

Babayka

Цитата: 0daliska от 16 февраля 2011, 14:54:47
ну тогда временно можно просто убрать форму входа на главной (в index.template.php) подправить и посмотреть, может на этом проблемы уйдут?
убрал, по результатам отпишусь

Babayka

Цитата: Drakonsa от 16 февраля 2011, 14:58:44
Скорее всего просто напрямую бьют авторизацию, а не с какой-то страницы...
Ставьте капчу или блокируйте доступ с этого ip \ сети.
Капча и доп вопросы стоят на регистрацию, ботов нет и не было, но ведь не в регистрации вопрос, а в логине имеющихся аккаунтов. А вот TOR-сети не хотелось бы блокировать, сам иногда пользуюсь, да и юзеры некоторые пользуются.

0daliska

Цитата: Babayka от 16 февраля 2011, 15:02:27
Капча и доп вопросы стоят на регистрацию, ботов нет и не было, но ведь не в регистрации вопрос, а в логине имеющихся аккаунтов. А вот TOR-сети не хотелось бы блокировать, сам иногда пользуюсь, да и юзеры некоторые пользуются.
это к тому, что если поставить в вашем случае доп защиту в виде капчи и доп вопросов на форму авторизации, то проблема отпадет...
Дело в  другом, что такого мода не создано и надо самому пытаться это реализовать...
Уехала отдыхать. Сейчас без интернета до 1 августа. Приеду - выполню все обещания
® For members of Russian community (simplemachines.ru) only

Babayka

Цитата: Babayka от 16 февраля 2011, 14:59:30
убрал, по результатам отпишусь
не помогло((( Остается только банить все айпи.

albsk

Цитата: Babayka от 16 февраля 2011, 15:20:37
не помогло((( Остается только банить все айпи.
У нас тоже наблюдается такая ерунда. Подбирают циклическим списком из более-менее активных пользователей, который формируется похоже автоматически, т.к. сканятся темы. Пока заблокировали на уровне адресов (порядка 2400 штук) стало гораздо потише.

Макар

Если Вы здесь недавно, не обольщайтесь тоном некоторых дискуссий.
Все чаще слова - юзай поиск, приобретают смысл - иди в ж..........  Приобретение смысла автоматизированно - Ответы на любой вопрос по SMF
Не пишите несколько сообщений подряд - тут вам не Twitter  >:( в остальных ситуациях мы не сильно зверствуем 2funny

Babayka


Serifa

Цитата: Babayka от 16 февраля 2011, 13:14:36
Мне пришлось увеличить кол-во неудачных попыток до попадания в восстановление пароля с 3-х до 10-ти, что бы просто юзерам письма не пошли с новыми паролями валом.
Я вот этого момента не поняла. Если пароль не смогли подобрать, допустим, они что, выбирают опцию восстановления пароля? И отправить новый пароль на емаил? Так надо же сначала доступ к ящику получить, а иначе какой смысл? Иначе это просто голимое хулиганство.


А кроме айпи хосты не отображаются?
«- Помощник капитана Бакстер, - заявил Лумис, - безбожно врет. Все отнюдь не под контролем, вернее, не под его контролем. Корабль захвачен представителями небелковой формы разумной жизни, которые маскируются под обслуживающих роботов, а некоторые даже не делают и этого...»
«То, что у тебя есть, лечится антибиотиками» (nowhere man, 1995)
В телеге срочно нужны читатели!

Babayka

Цитата: Serifa от 21 февраля 2011, 21:34:28
Я вот этого момента не поняла. Если пароль не смогли подобрать, допустим, они что, выбирают опцию восстановления пароля? И отправить новый пароль на емаил? Так надо же сначала доступ к ящику получить, а иначе какой смысл? Иначе это просто голимое хулиганство.


А кроме айпи хосты не отображаются?
Да я и сам не понимаю смысла сего брута, тоже считаю просто хулиганством. Настойчивое, правда, чрезмерно. Хосты, я писал уже, серверы сети TOR.