80 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Атака брутфор Как предотвратить? Часть 1

Атака брутфорс. Как предотвратить? Часть 1

Атака брутфорс . Как предотвратить?

Самая распространённая угроза, с которой сталкиваются владельцы веб-ресурсов, это атака подбором пароля к аккаунту администратора, более известная как атака брутфорс . Атака брутфорс на деле – это систематический подбор всевозможных комбинаций к нашему паролю. Если сайт или блог требует ввод логина и пароля, то он является потенциальной жертвой хакера.

Атака брутфорс при прочих равных условиях является 100% выполнимой, но одной из главных отрицательных сторон этого метода взлома является срок исполнения. Да, на угадывание пароля могут уйти годы. В зависимости от сложности пароля, он может составлять триллионы комбинаций, но для владельцев сайта такая атака всегда является флудом, а удачные попытки взлома пароля скорее удача для хакера, который проник внутрь ресурса лишь благодаря безалаберности администратора. Такие атаки легко определяются, но предотвратить их невозможно. Например, запрет конкретного IP-адреса в ответ на повторяющиеся попытки зарегистрироваться легко обходятся хакером с помощью использования прокси-серверов, и блокирование атакующего IP-адреса малоэффективно.

Как предотвратить атаки брутфорс .

Самый простой вариант – элементарно заблокировать возможность входа в учётную запись после определённого числа неудачных попыток подбора пароля. Можно задать условия неверного ввода пароля (временной промежуток, скажем, 15 минут) и блокировка аккаунта до того момента, когда сам администратор лично не разблокирует. Однако политика блокирования учётной записи администратора не самый благоприятный вариант, так как

  • Хакером может быть предпринята DDoS-атака, блокирующая большое количество учётных записей
  • Заблокированными окажутся только реальные (валидные) точки входа в учётную запись. Этим можно воспользоваться, набрав целый список зарегистрированных пользователей, в ответ на ошибочный вход в их учётные записи.
  • Возможна блокировка учётных записей и, соответственно, флуд в сторону службы поддержки
  • Хакер может не прекращать попытки взлома аккаунта, даже в случае разблокировки учётной записи администратора, тем самым продолжая блокировку записи.
  • Хакер может хитрить и пробовать на прочность пароль одних входом в час или даже реже

Таким образом, автоблокировка учётной записи будет эффективна лишь в случае пристального наблюдения за происходящим со стороны администратора лично. И в большинстве случае от DDoS-атаки она не спасает.

Раз уж мы убедились в недостаточности описанных выше мер, что ещё можно предпринять против потенциальной угрозы DDoS-атаки? Так как DDoS-атака имеет в своей реализации зависимость от времени её исполнения, самым простым вариантом можно было бы назвать использование произвольных временных промежутков при проверке набранного пароля и логина к учётной записи. Пары секунд задержки после удачной попытки законный пользователь не заметит, но для бруфорса это может оказаться фатальным. Но это произойдёт лишь в случае одноканальной попытки взлома. Если хакер отсылает несколько синхронных запросов, задержку во времени можно также легко обойти.

Защита от атак методом перебора (brute-force)

Использование модуля Nemesida AI позволяет выявлять признаки атак методом перебора (атаки подбора значений). Атака методом перебора базируется на одноимённом математическом методе, в котором правильное решение (конечное число или символьная комбинация) находится посредством перебора различных вариантов. Фактически каждое значение из заданного множества потенциальных ответов (решений) проверяется на правильность.

Атаки методом перебора – тип атаки на веб-приложение, при котором атакующий перебором значений (учетных записей, паролей, сессионных данных) пытается получить доступ к веб-приложению либо данным.

Не влияя на время отклика веб-приложения, модуль Nemesida AI выявляет подобные атаки, используя следующий принцип:

  • Анализ копии запросов, поступающих на веб-приложение;
  • Извлечение необходимых для принятия решений данные (IP, URL, ARGS, BODY);
  • Фильтрация полученных данных с исключением нецелевых URI для уменьшения количества ложных срабатываний;
  • Расчет взаимных расстояний между запросами (используется расстояние Левенштейна и нечеткая логика);
  • Выбор запросов с одного адреса на конкретный URI по мере их близости или запросов со всех адресов на конкретный URI (для выявления распределенных атак методом перебора) в рамках определенного временного окна;
  • Блокирование источника(ов) атаки при превышении пороговых значений.

Например, перебирая значение параметра password , атакующий по коду ответа может определить успешную авторизацию:

С помощью перебора значений страниц атакующий может получить доступ к информации, не предназначенной для широкого круга пользователей (например, если веб-приложение содержит уязвимость «Insecure Direct Object References»). Атакующий по коду ответа может определить наличие документа/страницы/пользователя:

Также, такие атаки могут быть применимы к веб-приложениям, использующим предсказуемые идентификаторы сессий, либо ссылки на сброс или изменение пароля (в качестве примера ниже указано закодированное в Base64 имя пользователя и год регистрации аккаунта):

Защита от таких атак строится на выявлении схожих запросов за определенный промежуток времени, имеющих признак перебора значений (например, при каждом новом запросе изменяется значение поля input ).

Статья BruteForce, как недооцененный вид атаки (Account TakeOver)

Перейти к странице

r0hack

Всем Салам. Решил поднять тему BruteForce атак, хотя многие, с пеной во рту, очень часто кричат, что это никогда не прокатывает, зачем об этом писать, ужасный вид атаки и т.д.

Но не буду сейчас кому-то пытаться доказывать, что bruteforce имеет место быть, что это очень эффективный вид атаки. Главное научиться, где и как её правильно применять. Не буду философствовать, сразу перейдем к делу.

Данная статья не обучение тому, как правильно брутфорсить. Я буду здесь описывать примеры, с которыми лично сам сталкивался во время пентеста и багбаунти.

Раньше не уделял особого внимания BruteForce атакам. И вот в начале этой осени во время пентеста я столкнулся с формой регистрации/авторизации пользователей по номеру телефона. И как уже можно догадаться, суть такой авторизации: пользователь вводит номер телефона и ему SMS-кой приходит код подтверждения. Длина кода может быть разной, чаще всего от 4 до 6 цифр. И как вы уже поняли, мы можем перебрать этот самый код из смс, чем он короче, тем легче перебрать. Кроме авторизации, также такое встречается в модуле сброса пароля. Если код будет 6 значный, то вероятность перебора не 100%, зависит от многих факторов:

  • от UpTime самого сервера.
Читать еще:  Что такое и в чём отличие BIOS и CMOS ?

Мне пока что везло, все сервера были с высоким аптаймом, что позволяло достаточно быстро перебирать.

  • от времени жизни кода

Время жизни кода везде разная. Где-то даже можно узнать из ответа, в течение какого времени она будет валидна.

  • от WAF, если он есть
  • от инструментов, с помощью которых это делаем

Инструменты, которые использую – это Burp Suite Intruder и если код 6 значный (в этом случае 1кк вариаций будет), использую Burp Suite Turbo Intruder.

После того, как я столкнулся с этим во время пентеста, решил также проверить На BugBounty. И вот оно, чудо, у одного только Mail было обнаружено на 4 разных сайтах отсутствие защиты от BruteForce SMS-кода и это приводит к захвату любого аккаунта (Account TakeOver), нужно знать только номер телефона.

Подробно про каждый случай, как находил не очевидную слабость в логике приложения, как брутил 6 значный код (1кк), который был активен 3 минуты, как правильно перебирать с помощью turbo intruder, расскажу чуть позже.
А сейчас покажу, как можно делать перебор в Intruder:

  1. Ловим запрос, при котором идет подтверждение кода, и отправляем его в Intruder, обычно что-то типа этого.

В данном случае, мы видим где у нас код. Выделяем ее для атаки и переходим на вкладку Payloads.

  1. На этой вкладке нам нужно создать payload. Так как перебираем числовой параметр в payload type выбираем numbers и указываем нужный нам интервал.

Тут все отлично, теперь переходим на вкладку Options.

  1. Тут уже зависит от UpTime сервера, если он быстрый, то можете уверенно заряжать много потоков.
  2. Start Attack . ждём… Account Takeover.

Пруфы можно посмотреть здесь –

Админ, нас атакуют или Как защитить дедик от брута

Любому серверу для хорошей работы нужны три вещи: топовое железо, надёжное подключение и грамотный админ. Но всё это станет бессмысленным, если не обеспечить защиту от атак и взлома. Из нашей статьи вы узнаете, как защитить дедик от брута и не потерять свои данные, важные настройки и другие результаты кропотливой работы. А если слова «rdp», «дедики» и «брут» вам ни о чём не говорят, то мы восполним эти пробелы.

Дедик, dedik, dedicated — зачем нужен выделенный сервер

Если вы далеки от администрирования, то могли подумать, что Дедик и Брут — это два друга (или недруга?) с экзотическими именами. Но нет — слово «дедик» образовалось от английского dedicated, а точнее Dedicated server. Сленговое название «дедик» означает, как нетрудно догадаться, выделенный сервер. Опытные пользователи уже знают обо всех преимуществах физических серверов, но на всякий случай мы напомним.

Dedicated server — это, по сути, полноценный компьютер, расположенный в дата-центре провайдера в отдельной стойке и работающий 24 часа в сутки 7 дней в неделю. В отличие от виртуального хостинга, на нём не будут размещены сайты других клиентов, что, несомненно, даёт ощутимые преимущества:

— Все ресурсы принадлежат вам, что делает работу сервера более стабильной.

— Можно выбрать любую версию любой операционной системы и настроить её на своё усмотрение, а также установить необходимое ПО.

— Вы будете осуществлять полноценное администрирование своего сервера с root-правами.

— Всё оборудование полностью изолировано и находится в отдельной стойке, что повышает безопасность и сохранность данных.

И, конечно же, на выделенном сервере нет ограничений на количество сайтов, баз данных и почтовых ящиков. Обычно «дедики» используются для крупных ресурсов или проектов, которым необходимо обеспечить бесперебойную работу даже при большом наплыве посетителей.

Но довольно теории, перейдём к практике. Представим, что ваш сайт вырос, просмотры растут, вы перенесли его на отдельный сервер — теперь можно радоваться новым возможностям и высокой пропускной способности. Так ли всё радужно на самом деле?

Что такое брут и с чем его едят

Слово «брут» или «брутфорс» произошло от английского brute force, что в переводе означает «грубая сила». Но к дракам это не имеет никакого отношения. Метод brute force — один из способов взлома или хакерской атаки. Его суть состоит в простом переборе огромного числа различных сочетаний символов с расчётом на то, что однажды взломщик подберёт нужную комбинацию — ваш пароль.

Первые кандидаты на разоблачение — простые пароли вроде “12345678”, “admin”, “qwerty” и прочие. Следом за ними идут популярные слова, имена, названия, даты. Брутфорсеры используют специальные словари, в которых содержатся тысячи примеров наиболее частых паролей. И поверьте, “alexandr01” или “parol1324” точно не относятся к разряду надёжных.

К сожалению, перед взломом могут не устоять даже наборы случайных символов, составленные по всем правилам: с заглавными буквами и знаками препинания. Хотя их шансы, несомненно, гораздо выше. Но в нашем случае проблема с брутом не ограничивается только сложностью пароля.

Что же значит «брутить дедики», и чем опасен взлом? Ответ на первый вопрос мы уже получили — злоумышленник начнёт предпринимать многократные попытки авторизации на вашем сервере, перебирая различные пароли. Для этого он будет использовать один из известных протоколов удалённого доступа: обычно это SSH (Secure Shell) у Linux-серверов и RDP (Remote Desktop Protocol) у Windows Server. Брут отличается от DDoS-атаки тем, что хакеру важно сохранить работоспособность ресурса, поскольку чаще всего он собирается использовать его для своих нужд.

Взлом причиняет вред уже на стадии попыток — система будет хранить логи неудачных входов, размер которых может достигать нескольких гигабайт. Если своевременно не очищать их, нагрузка станет довольно существенной. Чересчур активные и продолжительные атаки приведут к падению производительности и снижению скорости работы. При этом конфигурация, тип и версия операционной системы не играют роли — брутфорсу подвержены абсолютно любые серверы.

В случае успешного взлома хакер получает полный доступ к вашей удалённой машине, и далее возможны два варианта развития событий. Первый — злоумышленник начнёт «портить» ваши файлы и данные вплоть до их удаления, устанавливать вирусы и вредоносные программы. И второй — взломщик постарается вести себя как можно незаметнее, чтобы использовать сервер в своих целях. Например, для тех же DDoS-атак или для создания ботнета.

Читать еще:  Пересылка больших файлов через интернет

Чтобы обхитрить хакера, вы должны думать, как хакер

Теперь настало время ответить на главный вопрос: как уберечь сервер от брута? Один из самых простых советов, которым, тем не менее, не следует пренебрегать — своевременно обновлять систему и ПО сервера. Также можно установить ряд дополнительных программ и настроек. Рассмотрим несколько наиболее действенных стратегий.

Чекер

Первый и самый простой способ — установить специальную программу-чекер, которая будет проверять существующих на сервере пользователей. Вы сможете отслеживать IP-адреса, прокси, страну и город, что сразу позволит вычислить подозрительные аккаунты. Среди примеров таких программ: Lazy SSH, SSH checker, SSH Fresh checker для Linux-серверов.

Но чекер не предотвращает сам брут, а только находит тех, кому он удался. Поэтому для защиты от попыток взлома придётся покопаться в настройках сервера. Об этом ниже.

Смена порта

Довольно тривиальный, но иногда действенный метод — поменять номер порта. Обычно все брутфорс-атаки направлены на стандартный порт 22. В файле конфигурации можно изменить его на 23 или любой другой — тогда вероятность попытки взлома снизится в несколько раз. Правда, этот способ не защитит вас от более умных хакеров, которые «брутят» все открытые порты, а также от целевых атак, направленных на конкретного пользователя или сервер.

SSH-ключи

Самый надёжный вариант — вообще отказаться от авторизации по паролю и использовать SSH-ключи. Это более безопасный способ, поскольку ключи практически не поддаются расшифровке. Их можно сравнить с ключами от вашего дома: они полностью уникальны, и открыть дверь смогут только те, кому вы их доверите. Подробнее о создании и использовании SSH-ключей можно прочитать в нашей справке.

Ограничения на авторизацию

Если вы по каким-то причинам всё равно предпочитаете использовать пароли, можно задать более строгие требования к аутентификации. Например, ограничить доступные попытки входа, указать максимальное число активных пользователей, завести чёрный список IP-адресов, задать тайм-аут, в течение которого нельзя повторно запросить авторизацию, и так далее. Но учтите, что некоторые из этих способов могут создать дополнительные проблемы для «хороших» юзеров — например, если кто-то из них случайно введёт неправильный пароль несколько раз.

Что делать, если ничего не помогает

Вы поставили надёжный пароль, проверили активных пользователей, ограничили число авторизаций, но ресурс всё равно тормозит и медленно откликается? Возможно, злоумышленники успели проникнуть на сервер заранее и «замести следы», оставив бэкдор, или же придумали новые хитроумные способы обхода ваших методов защиты. Важно понимать, что ни один из описанных выше советов не даст 100% гарантии. И хотя центры обработки данных защищены от широкополосных атак, оградиться от целевого брута крайне сложно.

Взлом сервера и доступ злоумышленников к важным данным может привести к критическим последствиям и потере огромных сумм денег: например, из-за отсутствия защиты от брутфорса в системе бронирования могла пострадать 141 авиакомпания. Также известны случаи многократных попыток взлома сайтов, работающих на WordPress, с целью нелегального майнинга или дальнейших атак. Защита сервера от подобных ситуаций — непростая задача, требующая вмешательства высококвалифицированных специалистов по безопасности. Многие провайдеры вместе с арендой сервера предлагают услуги администрирования — поэтому, чтобы обезопасить «дедик», лучше доверить его профессионалам.

Например, в REG.RU администрирование Dedicated включает целый комплект услуг: это и установка операционной системы, и регулярные обновления, и резервное копирование, и, разумеется, защита от брутфорса. Выделенный сервер с администрированием избавит вас от необходимости тратить время на постоянный мониторинг системы и оборудования. В этой ситуации лучше довериться опытным специалистам и не отвлекаться от более важных задач.

Итак, подводим итог: не забывайте о защите своего сервера, предпочитайте SSH-ключи стандартной авторизации и всегда создавайте только надёжные пароли. Не пренебрегайте профессиональными услугами администрирования, если для вас важна безопасность и сохранность данных. Помните: даже если вы используете выделенный сервер для личных нужд, это не значит, что он автоматически становится невидимым. Хакеры не дремлют!

Напишите в комментариях, сталкивались ли вы со взломом: может быть, кто-то получал доступ к вашему аккаунту в социальных сетях или почте? Удалось ли злоумышленнику реализовать свой коварный план? Надеемся, что советы в нашей статье помогут вам избежать взлома не только серверов, но и других ресурсов.

А если вы хотите узнать о способах защиты своего личного компьютера — рекомендуем к прочтению нашу статью Как защитить свой компьютер и смартфон от взлома.

Как защититься от атаки brute force?

Что такое взлом аккаунта с помощью атаки brute force (метод последовательного перебора) и как можно защитить сотрудников и приложения в своей компании от этих атак?

Brute force login атака является наиболее распространённой (и наименее изощренными) атакой, используемой против веб-приложений.

Цель данной атаки – получить доступ к аккаунтам пользователей путем многократных попыток угадать пароль пользователя или группы пользователей. Если веб-приложения не имеют никаких защитных мер против этого типа атак, то злоумышленнику довольно просто взломать систему, основанную на парольной аутентификации, осуществив сотню попыток ввода пароля с помощью автоматизированных программок, легкодоступных в Интернете. Brute force login атаки могут быть использованы в ряде случаев. Если известна длина пароля, то может быть испробована каждая комбинация цифр, букв и символов, пока не будут найдены совпадения.

Есть обратный метод, вместо попытки подобрать пароль к одному аккаунту, можно попробовать один пароль к множеству аккаунтов. Это известно как reverse brute force атака. Данная техника, стоит заметить, не срабатывает там, где есть политика блокировки учетной записи. Reverse brute force атака является менее распространенной еще и потому, что атакующему зачастую сложно составить достаточно большой объем имен для этой атаки.

Читать еще:  Anonymous выложили документы "Рособоронэкспорта" в сеть

Есть ряд методов для предотвращения brute force атак. Первый заключается в использовании политик блокировки учетной записи. Например, после трех неудачных попыток входа в систему, учетная запись блокируется до тех пор, пока ее не разблокирует администратор. Недостатком этого метода является блокировка сразу множества аккаунтов пользователей в результате атаки одного злоумышленника, на администратора падает сразу много работы, т.к. большое количество пользователей-жертв осталось без доступа к своим аккаунтам.

Другой метод заключается в использовании теста запроса-ответа на странице входа в систему для предотвращения автоматизированных представлений. Такие бесплатные утилиты как reCAPTCHA могут быть использованы для того, чтобы попросить пользователя ввести слово или решить простую математическую задачу, тем самым доказав, что это не робот. Этот метод является эффективным, но создает некоторые неудобства при пользовании сайтом.

Так же может быть полезно использовать утилиты, которые автоматически считывают журналы интернет-событий и оповещает администратора о неоднократных попытках исходящих от одного IP адреса. Однако, злоумышленник также просто может использовать различные инструменты, чтобы регулярно автоматически сменять свой IP адрес.

Чтобы пользователи могли доверять вашей компании свои личные данные, очень важно убедиться в том, что в веб-приложении используется хотя бы один из методов защиты против brute force атаки. Использование методов, описанных в этой статье, должно обеспечить надежную защиту от этих распространенных атак.

Как остановить и предотвратить DDoS-атаку на WordPress

В этом руководстве мы расскажем, как правильно остановить и предотвратить DDoS-атаку на WordPress.

Что такое DDoS-атака?

DDoS-атака (Distributed Denial of Service) использует скомпрометированные компьютеры и устройства для отправки множества запросов с сервера сайта WordPress. Целью подобных запросов является замедление и сбой в работе целевого сервера.

DDoS-атаки используют сразу несколько скомпрометированных компьютеров или серверов, распределенных по разным регионам мира. Они образуют сеть, которую иногда называют ботнетом.

Почему происходят DDoS-атаки?

Есть несколько мотивов для осуществления DDoS-атак:

  • Атаки на конкретную компанию или поставщика услуг с целью причинения ущерба.
  • Шантаж с целью получения выкупа.

В чем разница между Brute Force и DDoS атакой?

Во время Brute Force атак хакер пытается взломать систему, угадывая пароли или выбирая случайные комбинации, чтобы получить несанкционированный доступ к системе.

DDoS-атаки проводятся только для того, чтобы вывести из строя целевую систему, сделав ее недоступной или существенно замедлив работу.

Какой вред может быть нанесен DDoS-атакой?

DDoS-атаки могут сделать сайт недоступным или снизить его производительность. Это может привести к следующим потерям:

  • Снижение дохода из-за недоступности сайта.
  • Ликвидация последствий атаки путем найма высококвалифицированных служб безопасности.
  • Ухудшение репутации бренда.

Как остановить DDoS-атаку на WordPress

Действия, которые необходимо предпринять, чтобы предотвратить и остановить DDoS-атаки.

Удалите DDoS / Brute Force вертикали

Система WordPress позволяет сторонним плагинам и инструментам добавлять на сайт новый функционал с помощью нескольких API. Но эти программные интерфейсы могут быть использованы во время DDoS-атаки для отправки огромного количества запросов. Вы можете отключить их, чтобы уменьшить эти риски.

Отключите XML RPC в WordPress

XML-RPC позволяет сторонним приложениям взаимодействовать с WordPress- сайтом. Например, чтобы использовать приложение WordPress на мобильном устройстве. Если вы не пользуетесь этим приложением, отключив XML-RPC, добавив приведенный ниже код в файл .htaccess.

Отключите REST API в WordPress

API WordPress JSON REST позволяет плагинам и инструментам получать доступ к данным WordPress, обновлять содержимое и даже удалять его. Чтобы отключить этот API, используйте плагин Disable WP Rest API .

Активируйте WAF (брандмауэр приложения сайта)

Самый простой способ заблокировать подозрительные запросы — активировать брандмауэр сайта. Он действует как прокси-сервер между сайтом и всем входящим трафиком. Брандмауэр использует интеллектуальный алгоритм, чтобы перехватывать подозрительные запросы и блокировать их еще до того, как они попадут на сервер.

Мы рекомендуем использовать Sucuri . Это лучший плагин безопасности WordPress и брандмауэр для сайта. Он работает на уровне DNS, поэтому может перехватить DDoS-атаку еще до того, как она выполнит запрос к сайту.

Также можно использовать Cloudflare. Тем не менее, бесплатный сервис Cloudflare предоставляет лишь ограниченную защиту от DDoS.

Примечание. Брандмауэры приложений (WAF), работающие на уровне приложений, менее эффективны при DDoS атаке. Они блокируют трафик, когда он уже достиг сервера.

Как определить, это Brute Force или DDoS атака?

Вы можете легко узнать, является ли атака Brute Force или DDoS, изучив отчеты о входах в систему, предоставляемые плагином Sucuri . Для этого после его установки перейдите в меню Sucuri Security — Last Logins .

Если вы увидите большое количество случайных запросов на вход в систему, то это означает, что сайт подвергся атаке методом Brute Force.

Что делать при DDoS-атаке

Что нужно предпринять, чтобы минимизировать негативное влияние DDoS-атаки:

  • Оповещение участников команды

Сообщите коллегам о возникшей проблеме. Это поможет им подготовиться найти потенциальные проблемы и оказать квалифицированную помощь во время или после атаки.

  • Сообщите клиентам о возможных неудобствах

DDoS-атака может повлиять на работу пользователей на сайте. Через официальные страницы в социальных сетях вы можете сообщить клиентам о том, что у сайта возникли технические проблемы.

  • Обратитесь в службу поддержки хостинга

Свяжитесь со своим хостингом. Атака, жертвой которой стали вы, может быть лишь частью более масштабной атаки, направленной на его системы. В этом случае служба поддержки хостинг-провайдера сможет предоставить более детальную информацию.

Обеспечение безопасности WordPress-сайта

Мы надеемся, что эта статья помогла вам научиться блокировать и предотвращать DDoS-атаки на WordPress.

Данная публикация представляет собой перевод статьи « How to Stop and Prevent a DDoS Attack on WordPress » , подготовленной дружной командой проекта Интернет-технологии.ру

голоса
Рейтинг статьи
Ссылка на основную публикацию
Статьи c упоминанием слов: