Взлом пароля методом грубой силы. Изучаем bruteforce атаку. Как взломать пароль с помощью брутфорс атаки
Мы выпустили новую книгу «Контент-маркетинг в социальных сетях: Как засесть в голову подписчиков и влюбить их в свой бренд».
Брутфорс (англ. brute force) - деятельность или программное обеспечение для деятельности, связанные с попыткой взлома сайта, сервера или программы методом подбора паролей по заданным критериям (количество символов, диапазон чисел и букв и т.д.).
Несмотря на расширение штата служб информационной безопасности корпораций и крупных порталов, в СМИ постоянно проскальзывают новости о взломе тех или иных серверов, сайтов, баз данных и об утечках коммерческой или конфиденциальной информации. Немаловажным инструментом в руках киберпреступников играет метод грубой силы - брутфорс, позволяющий перебирать пароли и всевозможные комбинации до полного совпадения.
Но не стоит полагать, что брутфорс-атака применяется только в отношении коммерческих структур и военных министерств для извлечения финансовой прибыли или создания сбоя работы оборонных комплексов. По аналогии с ядерной бомбой и технологией "мирный атом" можно провести параллель с хакерской атакой на электронную почту или сайт и восстановлением забытого пароля в соцсети или в учетной записи Windows. Да, метод подбора паролей используется и в благих целях, когда все возможные варианты по восстановлению невозможны. Давайте ознакомимся с основными разработками для брута и вкратце узнаем о каждой.
Известные брутфорс-акции
Ежемесячные атаки на банковские структуры, различные ведомства и министерства за рубежом до русскоязычных новостных платформ доходили в искаженном виде и сильно не освещались. Но в начале августа 2013 года рунет, а конкретнее - владельцы сайтов на популярных CMS столкнулись с массовыми атаками на ресурсы. Целью злоумышленников являлся доступ к админ-панелям, и если бы хостинг-провайдеры вовремя не спохватились и не заставили бы владельцев привязать к админкам IP-адреса, последствия могли быть весьма печальны. Атаке подвергались страницы /wp-login.php и /wp-admin, взломанные сайты присоединялись к ботнет-сети и пополняли армию атакующих.
Программы для брутфорса
Администрация портала не несет ответственности за незаконное применение пользователями предоставленной им информации о ПО. Статья несет лишь ознакомительную функцию. Кроме того, все программы расцениваются операционной системой и антивирусами, как опасные для использования, поэтому могут содержать в себе вредоносный код.
Brutus - AET2
Одна из самых популярных разработок для взлома пароля сторонних компьютеров посредством сети. Программа доступна в даркнете, в открытом доступе же быстро блокируется поисковыми системами и сетевыми антивирусами. Установка приложения стандартная, перейдем сразу к настройкам.
В окне Target вводим адрес сервера. В Authentication options вписываем наиболее распространенные имена пользователей, хотя программа ссылается на документ user.txt взламываемого компьютера. Ставим галочку напротив Single user. в выпадающем окне Pass Mode выбираем Brute Force. Далее - Range.
Всплывет окно для задания параметров, если есть какая-то информация о содержании пароля, указываем ее здесь. Это может быть длина символов, нижний регистр, верхний регистр, все символы, только цифры или буквы.
[ Web ] Brute Forcer
Данная утилита предназначена для брутфорса сайтов, а конкретнее - аккаунтов личных кабинетов на различных порталов. Для работы необходимо знать следующие параметры:
- адрес личного кабинета (вроде sire.ru/wp-admin для админки вордпресс);
- вводимые поля (логин, пароль);
- индикатор успешного входа.
Приложение имеет встроенный менеджер словарей паролей.
Router Brute force
Метод подбора паролей используется и в более прозаичных случаях - например для получения доступа к Wi-Fi. Программа разработана для системы Android. Имеется встроенный словарь распространенных паролей, который можно дополнять скачанными модификациями и дополнениями с интернета, либо вписать самостоятельно. В поле логин забито значение “admin” по умолчанию.
Брутфорс для ВК
Специализированные форум и паблики соцсетей кишат сообщениями и предложениями услуг по взлому страниц вконтакте методом подбора. Всевозможные “хакерские” сайты предлагают скачать чудодейственную программу, которая в считанные минуты подберет ключ к любой странице ВК. Доля правды в этом есть - пароль и логин от аккаунта соцсети станут известны разработчикам программы, поскольку доверчивый пользователь, скачавший приложение, введет их в окне настройки. Весь, абсолютно весь софт, продвигаемый под брендом взлома вконтакте имеет две цели - вытянуть средства за оплату ПО юзером, либо похитить его данные.
Взлом личных страниц вконтакте методом грубого перебора был актуален до 2011 года, после чего разработчики озаботились безопасностью пользователей и ввели скрипты, позволяющие блокировать подозрительные аккаунты с большим количеством попыток входа, и обходящие антикапчу боты. Администрация портала вправе подать исковое заявление в суд о попытке взлома аккаунта пользователя исходя из данных IP-адреса, с которого осуществлялось действие.
Как обезопасить себя от взлома
Как бы банально это ни звучало - не разглашайте конфиденциальные данные, даже если собеседник вам симпатичен. Устанавливайте пароли чуть более сложные, нежели пресловутые 123456789, qwerty, даты рождения, имена и фамилии, и прочие шаблонные комбинации.
Для перехвата логина, знание которого развяжет мошенникам руки, достаточно перейти по ссылке с содержанием троянского вируса. Потому игнорируем входящие от сомнительных личностей линки, каким бы заманчивым ни казалось содержание контента по ним и какие бы выгоды оно ни сулило.
Социальная инженерия для брута
Зачастую для упрощения задачи и установления максимально возможных критериев злоумышленники прибегают к опросу потенциальной жертвы в соцсетях или посредством других мессенджеров. Основная информация, которую выуживает мошенник - имена, телефоны, фамилии, даты рождения родных и близких, друзей детства. Все это значительно упрощает поиск, сводя к относительному минимуму число вариантов для обработки пароля и логина.
Стоит ли игра свеч
Что такое брутфорс в современных реалиях? Будем откровенны - все программы предлагают лишь теоретическое решение проблемы, так как на практике скомпилировать множество вариаций паролей хотя бы в диапазоне от 0-9, А-я, A-z, при условии символов в количестве от 6 до 9 будет непросто, итоговая сумма комбинаций равняется 220 триллионам!, а подбор такого количества запросов с учетом использования даже мощного оборудования, смены IP-адресов превысит 90 тыс. лет! Конечно, выставление определенных критериев вроде дат, имен, значимых событий, исключения лишних параметров и видов комбинаций, подключение антикапча-сервисов, а также проведение операции посредством сети, состоящей из множества компьютеров, значительно ускорит процесс, но опять же не гарантирует результата и вряд ли окупит потраченные усилия и средства.
Прибегать к подбору паролей стоит лишь в том случае, когда основа искомого известна, допустим, это какое-то число или дата, и необходимо лишь подобрать к ней комбинацию из нескольких цифр или букв. Дабы не делать этого вручную, лучше воспользоваться автоматизированным брутфорсом.
У каждого из команды ][ свои предпочтения по части софта и утилит для
пен-теста. Посовещавшись, мы выяснили, что выбор так разнится, что можно
составить настоящий джентльменский набор из проверенных программ. На том и
решили. Чтобы не делать сборную солянку, весь список мы разбили на темы – и в
этот раз коснемся утилит для подбора пароля к различным сервисам.
Brutus AET2
Платформа: Windows
Последний релиз программы был в 2000 году. У тулзы давно нет официального
сайта. Но при этом Brutus AET2
по-прежнему является одним самых шустрых и
продвинутых брутфорсеров для основных Интернет-протоколов. Если нужно подобрать
пароль для HTTP (на тех страничках, где используется авторизация по
логину/паролю), произвольному веб-сервису с авторизацией через форму, почтовому
аккаунту, файловому или Telnet серверу, знай: Brutus
– отличный вариант.
В общем случае для подбора пароля нужно указать хост и порт сервиса, выбрать
протокол, установить количество используемых потоков (максимум — 60), а также
таймаут. В целях анонимности можно подключить сокс или прокси. В зависимости от
протокола также указывается ряд дополнительных параметров. Например, для подбора
пароля на каком-то сайте (тип брутфорса — HTTP Form), необходимо указать метод
(POST или GET), обозначить параметры формы (в Brutus встроено простое средство
для их анализа), а в случае необходимости подделать cookie, включив
соответствующую опцию.
Подбор осуществляется двумя способами: по словарю, причем у проги есть
несколько встроенных утилит для работы с большими списками паролей, или же с
использованием тупо сгенерированных паролей. В последнем случае необходимо
обозначить символы, которые будут использоваться для составления пасса.
Брутфорс (от английского brute force — полный перебор или метод «грубой силы») – один из популярных методов взлома паролей на серверах и в различных программах. Заключается он в том, что программа-взломщик пытается получить доступ к какой-либо программе (например, к почтовому ящику) путем перебора паролей по критериям, заданным владельцем данной программы: по словарю, по длине, по сочетаниям цифр, да в принципе таких критериев существует множество.
Способ взлома брутфорсом является достаточно долгим, но мощным, поэтому остается на вооружении у хакеров и по сей день, а с учетом все увеличивающихся мощностей компьютеров и пропускной способности интернет-каналов останется на вооружении еще на долгое время.
Данный способ подбора паролей очень хорош тем, что пароль в конце концов взламывается, но это может занять весьма и весьма долгое время, зачастую даже столетия. Так что данный способ взлома оправдывает себя не всегда, если пользователь-владелец взламываемого сервиса вел себя достаточно хитро и не использовал простых паролей типа «123», «qwerty» и тому подобных, а использовал и заглавные, и строчные символы, плюс ко всему этому задействовал и цифры, и разрешенные специальные символы. Если пароль при всем этом обладает еще и достаточной длинной (около 10 символов), то ему взлом методом брутфорс а практически не грозит.
При брутфорсе чаще всего используется словарная атака – подбор паролей идет из текстового файла заранее составленного (выпрошенного, купленного, украденного, скачанного бесплатно) словаря. Данный способ атаки очень эффективен при массовом взломе, допустим, аккаунтов интернет-мессенджера ICQ, когда злоумышленник, допустим, пытается взломать некий диапазон ICQ-номеров. При этом существует довольно большая вероятность, что при атаке по словарю ему это удастся. Примерами могут служить неоднократные факты взлома.
С 2005 года значительно увеличилось также количество атак, осуществляемых на защищенные SSH-сервисы. Даже если у вас на сервере установлено самое новейшее программное обеспечение, это вовсе не значит, что подобрать пароль к нему невозможно, если межсетевой экран бездействует или настроен неправильно или недостаточно. Так что для увеличения невозможности взлома настройте свой файервол должным образом, это поможет оградить вас от неприятных сюрпризов в дальнейшем.
Программ для проведения брута на просторах Интернета выложено очень много, также существует большое количество бесплатных и платных словарей к ним.
Так что если вы крутой хакер и хотите все взломать, то дерзайте, а если законопослушный пользователь – усложняйте все свои пароли до недосягаемых для брутфорс а высот.
Ну и напоследок поговорим немного о математической стороне брута.
Как говорит Википедия, любая задача (!!!) из класса NP может быть решена путем полного перебора. Но все это может потребовать экспоненциального времени (!!!).
При разработке различных криптографических шифров метод тотального перебора используют при оценке его (шифра) стойкости к взлому. При этом новый шифр считается достаточно стойким, если не существует более быстрого метода его взлома, чем полный перебор всех возможных ключей. Такие криптографические атаки, как и брут , являются самыми действенными, но и занимают зачастую очень много времени.
При знании некоторых условий метод брута паролей использует отсев неприемлемых значений (пустых паролей, одних и тех же повторяющихся символов и т.д.). В математике этот метод называется метод ветвей и границ.
Также при брут е используются методы распараллеливания вычислений, когда одновременно перебираются несколько паролей. Осуществляется это двумя методами: методом конвейера и методом брут а из непересекающихся подмножеств всех возможных паролей.
На этом мы заканчиваем статью, посвященную брутфорсу, и очень надеемся, что приведенная в ней информация окажется вам, наш дорогой и уважаемый читатель, полезной как в хакинге, так и в развертывании компьютерных систем безопасности.
И хотя информация в статье является далеко не полной, но мы надеемся, что вы поняли из ее содержания, в каком направлении вам следует двигаться далее.
Здравствуйте, друзья! За последнее время в интернете произошло несколько интересных событий: Яндекс запустил бета-версию Островов и изменил интерфейс Вордстат, ЦОП Profit-Partner начал очередную акцию с подарками, стартовало несколько новых конкурсов. Но, пожалуй, самое резонансное, это массовые Brute Force атаки на сайты , которым подверглись хостинги по всему миру в конце июля. Опасности взлома подвержены в основном сайты на CMS WordPress и Joomla. В случае успешного взлома, сайт становится частью ботнета и используется для новых атак.
Если вы до сих пор об этом не слышали, это не значит, что оно вас не касается. С помощью технологии брутфорс подбирается логин и пароль для входа на сайт по стандартному для WordPress адресу wp-login.php путем перебора символов. В результате к сайту идет очень большое количество запросов, что может создавать повышенную нагрузку на сервер. Так что, если у вас наблюдаются проблемы с нагрузкой, надо быть особенно внимательным.
Защита от брутфорс атак (перебора паролей) на стороне хостинга
Многие хостинги своевременно отреагировали на действия хакеров, но, видимо, не все. Во всяком случае, я заметил активные действия со стороны Бегет, Спринтхост и Макхост. ТаймВеб и 1gb.ua никаких видимых движений не производили, за остальных сказать не могу.
Не помню точно, когда я первый раз услышал об этих попытках массовых подборов паролей, но тогда сразу задал вопрос в тех.поддержку Макхост, где находится мой основной блог, и получил ответ, что о проблеме им известно и все под контролем.
Через некоторое время доступ в админку был открыт. Надеюсь, на Бегете держат ситуацию под контролем, но, на всякий случай, я изменил адрес входа в панель администратора.
При попытке входа в админ.панель блога на хостинге sprinthost.ru меня до сих пор встречает такая страница:
На mchost.ru аналогичная картина:
Честно сказать, я стараюсь быть в курсе событий и периодически общаюсь с сотрудниками хостинга на предмет этой угрозы. А сегодня решил задать несколько вопросов руководителю отдела развития хостинга Игорю Белову, с которым уже многие знакомы по прошлой моей публикации о переносе сайта на Макхост. Получилось своеобразное интервью. Надеюсь, эта информация будет вам полезна, тем более что это реальная угроза для наших блогов, которую нельзя недооценивать.
Наши клиенты защищены настолько, насколько это возможно
Игорь, опишите, пожалуйста, вкратце сложившуюся ситуацию. Атаки идут по всему миру и длятся уже довольно долго, неужели никому, кроме хостингов и вебмастеров, до этого нет дела?
Первые атаки были еще в мае, но они были не столь заметными, хотя в интернет-новостях отметились. Лаборатория Касперского делала заявления по этому поводу, насколько я помню.
В интернете всегда были бот-сети. Бот-сети – это группа зараженных компьютеров, обычно компьютеров обычных пользователей. Компьютер может быть в бот сети годами, и пользователь не будет знать об этом. Большинство людей пренебрегает вопросами безопасности. Бот-сети создаются разными группами злоумышленников и создаются по-разному. Есть маленькие сети, есть огромные. Эти сети злоумышленники могут использовать сами или сдавать их в аренду для разных целей. Например, если нужно сделать так, чтобы какой-то сайт не работал, то заказывается атака на этот сайт. Компьютеры бот-сети получают сигнал с командой входить на этот сайт через определенный промежуток времени. В результате на сайт обрушивается большое количество запросов.
Тут нужно учитывать, что заказчик этих атак платит за размер сети и продолжительность, поэтому вечной атаки быть не может, т.к. чем больше атака, тем дороже. Кроме этого, с очень сильными атаками борются магистральные провайдеры.
По сути, бот-сети могут выполнять любые команды. Поэтому, можно дать им команду по подбору паролей, вот, видимо, кто-то и додумался до этого:-). Суть в том, что, зная пароль, можно добавить на сайт ссылки, заразить вирусом (для расширения бот-сети или других способов получения дохода) и т.д. Иными словами, можно извлечь с этого небольшую, но выгоду. Так как для получения значимой прибыли нужны миллионы таких сайтов, то все это делается автоматизированно.
Кстати, я специально не использовал слово “хакер”, т.к. очень часто хакеры находят уязвимость или разрабатывают хаки, но не используют их сами, а продают. А покупатели, обычно не хакеры, уже специализируются на получении дохода.
Российские органы поиском подобных злоумышленников не занимаются, за редким исключением, например, когда была атака на сайт Аэрофлота. Говорят, что нет тех.средств для этого. В США ФБР занимается только крупными группами и сетями и, обычно, когда дела связаны с кражей банковской информации или взломом сайтов крупных компаний. Но по большому счету борьба с этим всегда была на конечных потребителях.
Насколько масштабны эти атаки и какие сайты им подвержены?
На данный момент атакам подвержены сайты на WordPress и Joomla. Они достаточно масштабны, как по силе, так и по объему. Все хостинг-компании, у которых есть значительное количество сайтов, фиксируют эти атаки, т.к. они идут круглосуточно. Атакуют не хостинг-компанию, а именно сайты и не имеет значение, на каком хостинге он находится. Есть большая база сайтов и боты атакующих ходят по этим сайтам с целью подбора паролей, если там стоит WP или Joomla. Сложность тут состоит в том, что обращения идут с миллионов разных IP-адресов (видимо, используются разные бот-сети), поэтому блокировки не работают. Изначально создатели этих атак допустили небольшую техническую ошибку, о которой не буду упоминать, что позволило нам сразу запустить минимальную защиту и за несколько дней довести ее до максимальной.
Тут есть еще один важный момент. Сразу заметно возросла нагрузка на серверы, т.к. заметно увеличилось количество запросов к сайтам.
Чего добиваются хакеры и зачем им это надо?
Злоумышленники добиваются получения доступа к админке сайта, а дальше уже можно это использовать по-разному – от размещения ссылок с рекламой до заражения вирусом. Кроме защиты от атак, у нас работает антивирусная защита, поэтому если она обнаруживает заражение сайта, то на почту присылается отчет с указанием деталей и зараженных файлов.
Для нас, как для хостинг-компании, подбор паролей – это ежедневная ситуация. Поэтому мы научились с ней бороться, но не всегда возможно обратиться к нашим клиентам с этим. Например, когда мы добавили в панель функцию, запрещающую ставить легкие пароли (11111111, password и прочие), то были жалобы на это:-). Люди думают, что взлом их сайта никому не нужен, но они не понимают, что эти взломы делаются ботами на автомате, а люди лишь контролируют процесс. И если взломщик заработает с взлома их сайта всего 10 рублей, например, за размещение рекламы на несколько дней или редиректа на другой сайт, то с миллиона взломанных сайтов уже будет 10 миллионов. А есть клиенты, которые не замечают взлома месяцами.
Какие уязвимости, прежде всего, могут использовать и что предпринять обычным вебмастерам, особенно новичкам?
После начала атак мы оперативно позаботились о защите и сейчас наши клиенты защищены настолько, насколько это возможно со стороны хостинга. Более того, мы подготовили резервный механизм защиты на тот случай, если тип атаки изменится. По поводу рекомендаций. Во-первых, нужно иметь надежный пароль. Во-вторых, изменить адрес входа в админку. Но самое лучшее, это закрыть доступ в админку для всех IP-адресов, кроме ваших. Это можно сделать через файл.htaccess, но, к сожалению, последнее не всем сайтам подходит. Ведь у многих динамичный IP и придется при каждом входе в админ.панель править файл.htaccess.
Вы сказали, что Макхост, своевременно позаботился о своих клиентах и установил дополнительную защиту. Насколько это надежно и следят ли сотрудники хостинга за ситуацией, ведь хакеры могут менять тактику нападения, используя другие пути?
Текущая защита надежна настолько, насколько это возможно. Но мы подготовили и резервный вариант – более комплексная и серьезная защита, которую, по сути уже не обойти такими атаками. Мы ее примем, если тактика атаки изменится, так как текущая защита и так хорошо справляется.
Были на Вашей памяти подобные атаки, и как часто это происходит? Или это самая крупномасштабная акция за последнее время?
Атаки на CMS были постоянно, но не было такой широкой и мощной. Обычно атакующие боты были рассчитаны на какие-то уязвимости самих CMS, поэтому задевали немного сайтов. Нужно лишь вовремя обновлять CMS. Подбор паролей для FTP, к сожалению, тоже был всегда, но опять же в небольших масштабах. Обычно взламывали те сайты, которые сами пренебрегали своей безопасностью, например, ставя самые простые пароли. Сейчас ситуация отличается тем, что идет очень сильный перебор паролей.
К сожалению, в этих CMS нет простого механизма защиты от подбора. Например, задержки на вход при неверном пароле. О защите должны заботиться сами вебмастера, устанавливая дополнительные скрипты и плагины. Со своей стороны мы сделаем все возможное, чтобы они могли спать спокойно, не боясь потерять сайт. Поверьте, наши специалисты обладают достаточными для этого возможностями.
Спасибо Игорю за это блиц-интервью и содержательные ответы!
Простые способы защиты админки WordPress от взлома
В любом случае, самому надо тоже позаботиться о безопасности сайта и использовать хотя бы такие простые действия для защиты от подбора паролей:
- не использовать стандартный логин admin и установить сложный пароль для входа в админку WordPress (подробнее );
- ограничить число попыток входа в админ.панель, например, с помощью плагинов или Limit Login Attempts ;
- если у вас статичный IP, то можно разрешить вход только ему через файл.htaccess;
- изменить стандартный адрес входа /wp-login.php и /wp-admin , например, с помощью простого плагина или более мощного Better WP Security ;
- не использовать виджет “Мета “, так как в нем есть прямая ссылка “Войти “.
Вот такая информация. А как у вас обстоят дела, почувствовали ли вы на своих сайтах силу брутфорс атак?
P.S. Кого интересуют промо-коды на 3 месяца бесплатного хостинга по тарифу “Профи” от Макхост, обращайтесь, поделюсь.
Не секрет, что попытки подбора пароля методом перебора (брутфорс) - постоянное явление. Подбирают пароли к серверам и виртуальным машинам, к админкам сайтов и FTP-аккаунтам, к почтовым ящикам и социальным сетям.
Обычно брутфорс идет в фоновом режиме и практически не заметен для владельцев ресурсов, т.к. не создает значительную нагрузку и не мешает работе сайта, по крайней мере до тех пор, пока злодеи не проникнут на сервер:)
1 августа началась, пожалуй, самая мощная в рунете брутфорс-атака на сайты, созданные с помощью самых распространенных бесплатных CMS: Wordpress, Joomla! и др.
И вот как это было:
Мода на мега-брутфорс дошла и до нас
Похожая атака на Wordpress-сайты была предпринята в апреле этого года. Эта атака затронула в основном западные ресурсы и российские пользователи и хостинг-провайдеры ее не заметили. На этот раз ботнет направлен прежде всего на взлом русскоязычных сайтов.
Первые публичные сообщения об атаке появились 2 августа. На самом деле, аномальная активность в нашей системе мониторинга была заметна еще первого числа. До этого нагрузка, создаваемая ботами, была не так заметна. Возможно, это были пробные запуски, но мы предполагаем, что активная работа началась с малого количества зараженных машин. По мере подключения новых участников, нагрузка на инфраструктуру росла и ко 2 августа ее почувствовали на себе все российские хостинг-провайдеры и их клиенты.
На графике выше может показаться, что что-то начало происходить еще 31 июля, я даже выделил этот момент красной линией. Как показало дальнейшее исследование, это была локальная аномалия, вызванная не началом атаки, а нагрузкой на одной из нод. По этому графику с детализацией легко выявить источник аномалии:
Зная ноду, можно углубиться дальше и узнать, кто именно создает нагрузку:
Как видим, повышенная активность в одном из клиентских виртуальных серверов. При этом у соседей по серверу все хорошо и на других нодах все в норме. Отсюда мы делаем вывод, что случай не имеет отношения к исследуемой атаке, т.е. большой брутфорс начался 1 августа.
Борьба с ботами
Поведение ботов было стандартным: они обращались к типовой странице авторизации CMS. Например, для WP это страница wp-login.php. В первой фазе атаки обращения были достаточно топорными: боты сразу делали POST логина и пароля в форму без предварительного получения страницы (GET). Таким образом, на этом этапе их было очень легко отличить от настоящих пользователей, которые сначала получали страницу, а потом уже вводили логин и пароль.Используя эту особенность, боты достаточно быстро были заблокированы. Естественно, после этого злоумышленники внесли коррективы в поведение ботов. Они научились делать GET-POST и работать с куками.
После этого из возможных вариантов прикрытия остались:
1) переименование страницы авторизации;
2) ограничение доступа к админскому разделу по ip-адресам (белый список, географический или иной принцип деления);
3) двойная авторизация.
Переименование страницы авторизации
хорошо подходит конкретно для Wordpress, т.к. в результате ничего не ломается и можно продолжать работу. Но не факт, что этот способ хорошо работает для других CMS. В системе вполне может быть привязка к конкретному названию скрипта.
Таким образом, этот способ не подходил для нас как хостинг-провайдера, т.к. мы просто не можем пойти и переименовать всем клиентам файлы без их ведома. Это может сделать только сам клиент.
Ограничение доступа к админке по белому списку ip-адресов подходит далеко не всем, т.к. во-первых, практически всегда интернет-провайдеры выдают динамический адрес, который может меняться от сессии к сессии, а во-вторых, это исключает возможность доступа к админке извне, например, с мобильного устройства. Этот вариант также был отметен, как нерабочий.
Ограничение по географической принадлежности ip работает только в случае, если у ботнета есть ярко выраженный «регион проживания», например, Вьетнам или Индия. Опять-таки для принятия единых мер на крупном хостинге такой способ не подходит, т.к. сразу находятся зарубежные клиенты, которые попадают под действие этих фильтров.
Двойная авторизация — способ, который мы в итоге применили к сайтам, подверженным атакам на нашем шаред-хостинге. Мы установили дополнительную страницу авторизации, которая выдается при попытке обращения к админке без определенных кук. Пройдя нашу дополнительную авторизацию один раз, легитимный пользователь получает особую куку и может спокойно войти в админку CMS. При этом боты не могут пройти через страницу и не только не могут осуществлять подбор пароля к CMS, но и не создают большой нагрузки на сервер.
Судя по новостям хостинг-провайдеров, многие воспользовались похожим методом, но установили жутко секретные пароли, узнать которые клиент мог только по запросу в техническую поддержку или в персональной электронной рассылке.
Мы сочли такой сверх-секретный подход избыточным и некорректным по отношению к клиентам. Порой доступ в админку нужен срочно, а писать заявку, звонить или искать искомое письмо от хостера может быть очень неудобно. Поэтому данные для дополнительной авторизации мы указали на странице в явном виде, исходя из простого предположения, что боты не умеют читать и думать, а учить их конкретно для нашего случая - слишком трудоемкое и неблагодарное злодейское занятие.
Примерно так выглядит страничка с дополнительной авторизацией (простите, было не до красивого оформления страницы):
Также мы отказались от использования классической http-авторизации по причине того, что всплывающее окно с запросом логина и пароля - не самый удобный способ рассказать клиенту что случилось с его CMS и отчего он видит этот запрос. Такое окно блокирует браузер, пугает и мешает сориентироваться.
Наблюдения
Помимо борьбы с ботами нам было весьма интересно понаблюдать за тем, как координируются и распределяются их усилия. Судя по аналитике из нашей системы, количество одновременных запросов на 1 хостинговый ip-адрес устойчиво держалось не более 30 для каждой CMS, вне зависимости от количества атакуемых сайтов на этом адресе. Таким образом, если на одном ip-адресе размещались сайты и на Wordpress, и на Joomla!, то количество одновременных обращений держалось на уровне 60 штук. Это достаточно много для shared-хостинга.Если сайт переставал отвечать — запросы к нему мгновенно прекращались. Это разумно, т.к. злоумышленникам выгоднее оставить жертву в живых. Тем не менее, 60 одновременных запросов — достаточно большой поток, чтобы его гарантированно заметили и владельцы сайтов, и хостинг-провайдеры. Есть мнение, что злодеям разумнее было бы брутфорсить в 3-4 раза меньшим потоком запросов. В этом случае деятельность ботнета была бы гораздо менее заметна.
Активная фаза атаки начиналась вечером и продолжалась всю ночь. Адреса сайтов ботам отдавались в алфавитном порядке.
Таким образом, вечером начинали страдать сайты на букву А, а ближе к утру — сайты на Z. Им в этом смысле повезло чуть больше.
И вновь продолжается бой
Сейчас атака все еще продолжается, хотя и в существенно сниженном темпе. Нам удалось минимизировать ущерб от атаки для пользователей shared-хостинга. В зоне риска остаются пользователи выделенных физических и виртуальных серверов, т.к. централизованно прикрыть доступ к админке CMS в этом случае нельзя и меры по защите должны быть приняты администратором сервера.Спасибо за внимание! :)
Всем успехов в борьбе с ботами. способы для самостоятельной защиты озвучены выше. Если у вас есть классный готовый рецепт — прошу в комменты!
