Перейти к публикации

Рекомендованные сообщения

Последний месяц мне не дают покоя сообщения о попытке авторизации на сайте под моей учёткой. Брутера я закрыл в htaccess, да и на всякий случай запаролил файл админки, а теперь предлагаю вместе подумать над усовершенствованием антибрута. Предлагаю такую реализацию:

При первой ошибочной авторизации всё как обычно;

При второй - капча или вопрос ответ;

При третьей и последующих блокировка на 20 мин.

Также считаю, что нужно считать количество неудачных попыток не для каждого логина, а для всех. Потому как если брут идёт с одного IP, то он может по 3 раза пройтись по всем пользователям, а если идёт перебор логинов под 1 пароль, то система не эффективна.

Ссылка на сайт(на всякий случай)

Изменено пользователем Tonich
Ссылка на сообщение
Поделиться на других сайтах

вы не пробывали в поисковикан написать антибруть для DLE ?? Что то там много подобного, в первой же ссылки наткнулся для 9.2 версии, а если вы обновляетесь постоянно (DataLife Engine) то вам придётся его самому (или через фрилансере переделывать)...

Зачем создавать велосипед, если его уже создали? :)

Изменено пользователем maxvel00070007
Ссылка на сообщение
Поделиться на других сайтах

вы не пробывали в поисковикан написать антибруть для DLE ?? Что то там много подобного, в первой же ссылки наткнулся для 9.2 версии, а если вы обновляетесь постоянно (DataLife Engine) то вам придётся его самому (или через фрилансере переделывать)...

Зачем создавать велосипед, если его уже создали? :)

Я так понимаю вы имеете в виду модуль Anti - BruteForce админки DLE (Анти Брут) v1.0, так вот, этот модуль работает так же как и стандартный, по истечению кол-ва попыток указанных в админке модуля, пользователь совершавший неверные входы будет заблокирован по IP на одни сутки.

Надо именно капчу и именно после неудачной попытки авторизоваться, чтобы не мучить обычных пользователей которые пароль не подбирают.

+ если брут идёт из подсети, то ip будет блокироваться не сразу,а после очередной попытки уже со вводом капчи, что позволит остальным пользователям из этой подсети не быть заблокированными при полностью автоматическом бруте.

Посему речи о велосипеде быть не может.

Изменено пользователем Tonich
Ссылка на сообщение
Поделиться на других сайтах

Возьмётся кто-нибудь? Видел в сети хак, который добавляет капчу при регистрации, но от этого будут страдать обычные пользователи...

Ссылка на сообщение
Поделиться на других сайтах

Tonich,

хак с капчей, при наличии 2х капч в стандартном наборе?

Ссылка на сообщение
Поделиться на других сайтах

Tonich,

хак с капчей, при наличии 2х капч в стандартном наборе?

Там капча из стандартного набора, просто она выводится ещё и при авторизации причём постоянно. Но по отношению к пользователям это не хорошо, так как им постоянно придётся её вводить.

Нам и нужно именно одну из стандартных капч(будет зависить от настройки в админке) выводить, но только после n-ного количества ошибок, не блокируя ip.

Можно ещё и вопрос-ответ прикрутить. То есть если настоящий пользователь ошибся, ему вылезает капча и повторная попытка ввода, он всё вводит и проходит, если не вводит, то капча и повторная попытка ввода, ещё раз ошибся блокировка ip. Брут остановится на капче и ip заблокирован не будет, следовательно нормальный пользователь с того же прокси или подсети сможет авторизоваться. Ещё вопросы?

Изменено пользователем Tonich
Ссылка на сообщение
Поделиться на других сайтах

вопрос 1) ты что думаешь, брутят люди?

вопрос 2) ты что, думаешь капчу разгадывают люди (в смысле тот, кто брутит)?

это все делается на автомате скриптом. не заморачивайся.

капча не нужна в принципе в данном вопросе. лучше так: 3 неверных авторизации - бан на какое то время и сообщение с предложением восстановить пароль. 5 неверных = перманент бан

Ссылка на сообщение
Поделиться на других сайтах

вопрос 1) ты что думаешь, брутят люди?

вопрос 2) ты что, думаешь капчу разгадывают люди (в смысле тот, кто брутит)?

это все делается на автомате скриптом. не заморачивайся.

Ответ 1) Да, брутят люди, при помощи скриптов :)

Ответ 2) Капчу чаще не разгадывают, а набивают базу. И если внедрить такую хрень, то брутерам понадобится как минимум ввести в свои брутфорсы подбор капчи, следовательно не сразу новые брутфорсы будут бесплатными и не каждый школьник сможет начать брутить всего лишь скачав базу name:pass.

капча не нужна в принципе в данном вопросе. лучше так: 3 неверных авторизации - бан на какое то время и сообщение с предложением восстановить пароль. 5 неверных = перманент бан

Перманент бан сразу отпадает, так как у 80% россиян динамический ip, попросту никакой защиты от этого не будет, брутер сменит ip, нормальные пользователи не смогут заходить, а у тебя будет расти база данных с заблокированными адресами. Итого получим уменьшение количества посетителей и увеличение размера базы данных. <_<

Хотелось бы услышать мнение celsoft...

P.S. В любой защите всегда найдётся лазейка или недостаток, наша задача придумать такую защиту, которая не навредит пользователям и создаст максимальное количество неудобств брутерам, спамерам и просто недоброжелательным личностям.

Изменено пользователем Tonich
Ссылка на сообщение
Поделиться на других сайтах

Хотелось бы услышать мнение celsoft...

Хотите мое мнение, пожалуйста. Вообще ничего не делать и спать при этом спокойно, брутят, потому что в свет вышла беслпатная программка которая пытается подобрать пароль ко всем известным CMS и пошла волна псевдохакеров, решивших себя попробовать на этом поприще.

Включаете в настройках скрипта

Максимальное количество ошибочных авторизаций

Укажите максимальное количество ошибочных вводов пароля на сайте, после превышения данного лимита, для IP пользователя будет установлена автоматическая блокировка на 20 минут. Данная мера позволяет предотвратить подбор паролей злоумышленниками к аккаунтам пользователей. Если вы не хотите устанавливать данное ограничение, то оставьте поле пустым.

например 2 и ставите достаточно сложный пароль, например как минимум из восьми символов и цифр, а не 12345 или qwerty. B все больше ничего делать не нужно. На брут пароля уйдет теперь сотни лет, потому как на перебор требуется триллионы операций и обращений к сайту. Плюс выдерживание интервала, плюс количество прокси ограниченно.

Ссылка на сообщение
Поделиться на других сайтах

например 2 и ставите достаточно сложный пароль, например как минимум из восьми символов и цифр, а не 12345 или qwerty. B все больше ничего делать не нужно. На брут пароля уйдет теперь сотни лет, потому как на перебор требуется триллионы операций и обращений к сайту. Плюс выдерживание интервала, плюс количество прокси ограниченно.

Я как админ принял все меры по защите сайта, и htpasswd поставил на переименованную админку и длинный сложный пароль в профиле,и ограничение на количество ошибочных авторизаций = 3, просто чисто теоретически у меня 3 пользователя с админ-правами, а это 9 переборов с одного ip. К тому же псевдохакерам зачастую не обязательно ломать админа, достаточно сломать пользователя у которого слабый пароль и насолить кому-нибудь в комментах. Причём если пользователей в базе 1000, то это 3000 безнаказанных попыток с одного ip, то уже с десяти прокси на сайт попрёт хороший напор трафа, причём с нагрузкой на mysql сервер, который впоследствии может и рухнуть. И так каждые 20 мин...весело. Ну это так моё субъективное мнение и размышление на тему что будет если... Я думаю всё-таки стоит заморочиться с разработкой модуля или просто хака, может сам возьмусь если на фрилансе много попросят, тогда и буду спать спокойно

Изменено пользователем Tonich
Ссылка на сообщение
Поделиться на других сайтах

Причём если пользователей в базе 1000, то это 3000 безнаказанных попыток с одного ip, то уже с десяти прокси на сайт попрёт хороший напор трафа, причём с нагрузкой на mysql сервер, который впоследствии может и рухнуть.

Неправильное понимание работы системы блокировки и как следствие неверные расчеты. Учет ведется по попытке к любому логину и 3 попытки это всего дается, а какой логин используется при этом неважно.

Ссылка на сообщение
Поделиться на других сайтах

Причём если пользователей в базе 1000, то это 3000 безнаказанных попыток с одного ip, то уже с десяти прокси на сайт попрёт хороший напор трафа, причём с нагрузкой на mysql сервер, который впоследствии может и рухнуть.

Неправильное понимание работы системы блокировки и как следствие неверные расчеты. Учет ведется по попытке к любому логину и 3 попытки это всего дается, а какой логин используется при этом неважно.

Спасибо за разъяснение, действительно, посмотрел в логах по временным промежуткам...Самое интересное, что когда смотрел прошлый раз был уверен, что для каждого логина по 3 попытки, видимо это у меня от недосыпа :blink:
Ссылка на сообщение
Поделиться на других сайтах

Tonich,

есть сервисы, где за бакс разгадывают 1000 капч

заколебешься бороться

Ссылка на сообщение
Поделиться на других сайтах

А IP не пробивал?

Если один и тот же, то на хостинге забань его и досвидос.

20 ти значный пароль тоже даёт положительный результат

И можно попеременно менять автаризацию через э- маил и через логин, запариться настраивать - долбаный хакер

и модуль пробы авторизации отключить и спать спокойно

Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...