Tonich 1 Опубликовано: 9 сентября 2013 Рассказать Опубликовано: 9 сентября 2013 (изменено) Последний месяц мне не дают покоя сообщения о попытке авторизации на сайте под моей учёткой. Брутера я закрыл в htaccess, да и на всякий случай запаролил файл админки, а теперь предлагаю вместе подумать над усовершенствованием антибрута. Предлагаю такую реализацию: При первой ошибочной авторизации всё как обычно; При второй - капча или вопрос ответ; При третьей и последующих блокировка на 20 мин. Также считаю, что нужно считать количество неудачных попыток не для каждого логина, а для всех. Потому как если брут идёт с одного IP, то он может по 3 раза пройтись по всем пользователям, а если идёт перебор логинов под 1 пароль, то система не эффективна. Ссылка на сайт(на всякий случай) Изменено 9 сентября 2013 пользователем Tonich Цитата Ссылка на сообщение Поделиться на других сайтах
lopaeva65 1 Опубликовано: 9 сентября 2013 Рассказать Опубликовано: 9 сентября 2013 (изменено) вы не пробывали в поисковикан написать антибруть для DLE ?? Что то там много подобного, в первой же ссылки наткнулся для 9.2 версии, а если вы обновляетесь постоянно (DataLife Engine) то вам придётся его самому (или через фрилансере переделывать)... Зачем создавать велосипед, если его уже создали? Изменено 9 сентября 2013 пользователем maxvel00070007 Цитата Ссылка на сообщение Поделиться на других сайтах
Tonich 1 Опубликовано: 10 сентября 2013 Рассказать Опубликовано: 10 сентября 2013 (изменено) Автор вы не пробывали в поисковикан написать антибруть для DLE ?? Что то там много подобного, в первой же ссылки наткнулся для 9.2 версии, а если вы обновляетесь постоянно (DataLife Engine) то вам придётся его самому (или через фрилансере переделывать)... Зачем создавать велосипед, если его уже создали? Я так понимаю вы имеете в виду модуль Anti - BruteForce админки DLE (Анти Брут) v1.0, так вот, этот модуль работает так же как и стандартный, по истечению кол-ва попыток указанных в админке модуля, пользователь совершавший неверные входы будет заблокирован по IP на одни сутки. Надо именно капчу и именно после неудачной попытки авторизоваться, чтобы не мучить обычных пользователей которые пароль не подбирают. + если брут идёт из подсети, то ip будет блокироваться не сразу,а после очередной попытки уже со вводом капчи, что позволит остальным пользователям из этой подсети не быть заблокированными при полностью автоматическом бруте. Посему речи о велосипеде быть не может. Изменено 10 сентября 2013 пользователем Tonich Цитата Ссылка на сообщение Поделиться на других сайтах
Tonich 1 Опубликовано: 12 сентября 2013 Рассказать Опубликовано: 12 сентября 2013 Автор Возьмётся кто-нибудь? Видел в сети хак, который добавляет капчу при регистрации, но от этого будут страдать обычные пользователи... Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 12 сентября 2013 Рассказать Опубликовано: 12 сентября 2013 Tonich, хак с капчей, при наличии 2х капч в стандартном наборе? Цитата Ссылка на сообщение Поделиться на других сайтах
Tonich 1 Опубликовано: 12 сентября 2013 Рассказать Опубликовано: 12 сентября 2013 (изменено) Автор Tonich, хак с капчей, при наличии 2х капч в стандартном наборе? Там капча из стандартного набора, просто она выводится ещё и при авторизации причём постоянно. Но по отношению к пользователям это не хорошо, так как им постоянно придётся её вводить. Нам и нужно именно одну из стандартных капч(будет зависить от настройки в админке) выводить, но только после n-ного количества ошибок, не блокируя ip. Можно ещё и вопрос-ответ прикрутить. То есть если настоящий пользователь ошибся, ему вылезает капча и повторная попытка ввода, он всё вводит и проходит, если не вводит, то капча и повторная попытка ввода, ещё раз ошибся блокировка ip. Брут остановится на капче и ip заблокирован не будет, следовательно нормальный пользователь с того же прокси или подсети сможет авторизоваться. Ещё вопросы? Изменено 12 сентября 2013 пользователем Tonich Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 12 сентября 2013 Рассказать Опубликовано: 12 сентября 2013 вопрос 1) ты что думаешь, брутят люди? вопрос 2) ты что, думаешь капчу разгадывают люди (в смысле тот, кто брутит)? это все делается на автомате скриптом. не заморачивайся. капча не нужна в принципе в данном вопросе. лучше так: 3 неверных авторизации - бан на какое то время и сообщение с предложением восстановить пароль. 5 неверных = перманент бан Цитата Ссылка на сообщение Поделиться на других сайтах
Tonich 1 Опубликовано: 13 сентября 2013 Рассказать Опубликовано: 13 сентября 2013 (изменено) Автор вопрос 1) ты что думаешь, брутят люди? вопрос 2) ты что, думаешь капчу разгадывают люди (в смысле тот, кто брутит)? это все делается на автомате скриптом. не заморачивайся. Ответ 1) Да, брутят люди, при помощи скриптов Ответ 2) Капчу чаще не разгадывают, а набивают базу. И если внедрить такую хрень, то брутерам понадобится как минимум ввести в свои брутфорсы подбор капчи, следовательно не сразу новые брутфорсы будут бесплатными и не каждый школьник сможет начать брутить всего лишь скачав базу name:pass. капча не нужна в принципе в данном вопросе. лучше так: 3 неверных авторизации - бан на какое то время и сообщение с предложением восстановить пароль. 5 неверных = перманент бан Перманент бан сразу отпадает, так как у 80% россиян динамический ip, попросту никакой защиты от этого не будет, брутер сменит ip, нормальные пользователи не смогут заходить, а у тебя будет расти база данных с заблокированными адресами. Итого получим уменьшение количества посетителей и увеличение размера базы данных. Хотелось бы услышать мнение celsoft... P.S. В любой защите всегда найдётся лазейка или недостаток, наша задача придумать такую защиту, которая не навредит пользователям и создаст максимальное количество неудобств брутерам, спамерам и просто недоброжелательным личностям. Изменено 13 сентября 2013 пользователем Tonich Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 13 сентября 2013 Рассказать Опубликовано: 13 сентября 2013 Хотелось бы услышать мнение celsoft... Хотите мое мнение, пожалуйста. Вообще ничего не делать и спать при этом спокойно, брутят, потому что в свет вышла беслпатная программка которая пытается подобрать пароль ко всем известным CMS и пошла волна псевдохакеров, решивших себя попробовать на этом поприще. Включаете в настройках скрипта Максимальное количество ошибочных авторизаций Укажите максимальное количество ошибочных вводов пароля на сайте, после превышения данного лимита, для IP пользователя будет установлена автоматическая блокировка на 20 минут. Данная мера позволяет предотвратить подбор паролей злоумышленниками к аккаунтам пользователей. Если вы не хотите устанавливать данное ограничение, то оставьте поле пустым. например 2 и ставите достаточно сложный пароль, например как минимум из восьми символов и цифр, а не 12345 или qwerty. B все больше ничего делать не нужно. На брут пароля уйдет теперь сотни лет, потому как на перебор требуется триллионы операций и обращений к сайту. Плюс выдерживание интервала, плюс количество прокси ограниченно. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
Tonich 1 Опубликовано: 13 сентября 2013 Рассказать Опубликовано: 13 сентября 2013 (изменено) Автор например 2 и ставите достаточно сложный пароль, например как минимум из восьми символов и цифр, а не 12345 или qwerty. B все больше ничего делать не нужно. На брут пароля уйдет теперь сотни лет, потому как на перебор требуется триллионы операций и обращений к сайту. Плюс выдерживание интервала, плюс количество прокси ограниченно. Я как админ принял все меры по защите сайта, и htpasswd поставил на переименованную админку и длинный сложный пароль в профиле,и ограничение на количество ошибочных авторизаций = 3, просто чисто теоретически у меня 3 пользователя с админ-правами, а это 9 переборов с одного ip. К тому же псевдохакерам зачастую не обязательно ломать админа, достаточно сломать пользователя у которого слабый пароль и насолить кому-нибудь в комментах. Причём если пользователей в базе 1000, то это 3000 безнаказанных попыток с одного ip, то уже с десяти прокси на сайт попрёт хороший напор трафа, причём с нагрузкой на mysql сервер, который впоследствии может и рухнуть. И так каждые 20 мин...весело. Ну это так моё субъективное мнение и размышление на тему что будет если... Я думаю всё-таки стоит заморочиться с разработкой модуля или просто хака, может сам возьмусь если на фрилансе много попросят, тогда и буду спать спокойно Изменено 13 сентября 2013 пользователем Tonich Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 13 сентября 2013 Рассказать Опубликовано: 13 сентября 2013 Причём если пользователей в базе 1000, то это 3000 безнаказанных попыток с одного ip, то уже с десяти прокси на сайт попрёт хороший напор трафа, причём с нагрузкой на mysql сервер, который впоследствии может и рухнуть. Неправильное понимание работы системы блокировки и как следствие неверные расчеты. Учет ведется по попытке к любому логину и 3 попытки это всего дается, а какой логин используется при этом неважно. Цитата Ссылка на сообщение Поделиться на других сайтах
Tonich 1 Опубликовано: 13 сентября 2013 Рассказать Опубликовано: 13 сентября 2013 Автор Причём если пользователей в базе 1000, то это 3000 безнаказанных попыток с одного ip, то уже с десяти прокси на сайт попрёт хороший напор трафа, причём с нагрузкой на mysql сервер, который впоследствии может и рухнуть. Неправильное понимание работы системы блокировки и как следствие неверные расчеты. Учет ведется по попытке к любому логину и 3 попытки это всего дается, а какой логин используется при этом неважно. Спасибо за разъяснение, действительно, посмотрел в логах по временным промежуткам...Самое интересное, что когда смотрел прошлый раз был уверен, что для каждого логина по 3 попытки, видимо это у меня от недосыпа Цитата Ссылка на сообщение Поделиться на других сайтах
prikindel 255 Опубликовано: 13 сентября 2013 Рассказать Опубликовано: 13 сентября 2013 Tonich, есть сервисы, где за бакс разгадывают 1000 капч заколебешься бороться Цитата Ссылка на сообщение Поделиться на других сайтах
neapol 5 Опубликовано: 13 сентября 2013 Рассказать Опубликовано: 13 сентября 2013 А IP не пробивал? Если один и тот же, то на хостинге забань его и досвидос. 20 ти значный пароль тоже даёт положительный результат И можно попеременно менять автаризацию через э- маил и через логин, запариться настраивать - долбаный хакери модуль пробы авторизации отключить и спать спокойно Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.