Hacke-forsøk på medlemsside

[ZoRaC]

Har laget et passord-beskyttelses-script som brukes til innlogging til et medlemsområde.

 

Fikk i dag en haug med mailer fra scriptet pga enormt mange ugyldige påloggingsforsøk på kort tid. Sjekket loggen, på 2,5 timer var det ikke mindre enn 7300 requests til login.php!

 

Det merkelige var at det var over 200 forskjellige IPer... Det så også ut til at den prøvde å unngå IP-sperren min etter 5 ugyldige pålogginger på 1 time, for hver IP prøvde bare et par ganger pr time.

 

Spørsmålet er hvordan dette ble gjennomført?

Hadde angriperen tilgang på "bots" via trojaner/virus som han/hun brukte eller kjørte han/hun via proxyer?

 

Har lagt ned mye arbeid i sikkerheten i scriptet, så av de 7300 requests (ikke alle var POST da), så var det bare ca 150 av dem som faktisk ble kontrollert mot brukerdatabasen, og angriperen ga opp til slutt, men litt interessant å studere metodikken, lære best mulig hvordan man sikrer seg

 

Noen innspill?

[pgdx]

Veldig vanskelig å si når man ikke har IP-adressene, men du kan jo se om IP-adressene er en del av EFFs TOR-nettverk eller om det er privatpersoners IP-adresser. I siste tilfellet er det nok større sannsynlighet for at det er en boter.

 

Det høres jo ut som om det gikk greit i og med at du ikke har hatt mer enn 150 queries og at ingen av dem har klart å logge inn. Du bruker vel ikke CAPTCHA ved innlogging? Og jeg antar du krever POST for innlogging og dropper alle GET-ene.

[ZoRaC]

Hvordan sjekker jeg mot EFFs TOR-liste da?

Finner ikke særlig info om det på nettsidene deres...

 

Ca 2800 POST, dumper GET ja.

Bruker ikke captcha nei, har følgende sikkerhetstiltak:

* Hvis et brukernavn feiler 3 ganger på 15 min er han "utestengt" i 1 time

* Hvis en IP feiler 5 ganger på 15 min er den "utestengt" i 1 time

* Ved 15 feilede pålogginger på 5 min stenges all pålogging og registrering i 15 min og en mail sendes til webmaster

* Alt dette logges med IPer og tidspunkt

* Pålogginger logges også med brukernavn, IP og tid (feilet eller succesfull)

 

Så med dette føler jeg at jeg har god kontroll på ting

[pgdx]

15 feilede pålogginger på fem minutter? Det hadde vel kjørt diskusjon.no i grøften en gang i timen.

 

Jeg er ikke sikker på om hvordan du sjekker hvilke IP-er som er med i TOR, men jeg vet det skal finnes et python-script som skal sjekke noe greier.

[Ueland]

15 feilede pålogginger på fem minutter? Det hadde vel kjørt diskusjon.no i grøften en gang i timen.

 

Vi pusher unna rundt 100 spørringer i sekundet databasemessig og bruker 25% av kapasiteten, tror det skal gå greit

 

Trådstarter kan jo merke seg at det ikke trenger å være "fyfy-forsøk" men noe så "vennlig" som spamroboter som reiser rundt på nettet og sender reklametekster inn i alt av skjemaer som de kommer over.

 

Dog er jo det like irriterende.

[ZoRaC]

Både antall feil, tidsintervall og utstengingstid er variabler som kan endres etter behov, men på den siden er det ikke særlig mange pålogginger pr dag, så 15 på 5 min er ikke noe prob, har bare hendt denne ene gangen på 1 år.

 

Er nok ikke spam-bots, IPene går kun på login.php og utfra brukernavn/passord som er prøvd så er det tydelig at det er et dictionary angrep.

 

Skal se om jeg finner ut noe av TOR.