Брутят пароли?

L-S1mk@ · 8 Сентября 2007

Нередко встречаю в логах запросы вида:

213.141.xxx.xxx- admin [07/Sep/2007:18:22:23 +0200] "GET / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- admin [07/Sep/2007:18:22:23 +0200] "GET / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- admin [07/Sep/2007:18:22:23 +0200] "GET / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- admin [07/Sep/2007:18:22:23 +0200] "GET / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- admin [07/Sep/2007:18:22:23 +0200] "GET / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- admin [07/Sep/2007:18:22:23 +0200] "GET / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- admin [07/Sep/2007:18:22:23 +0200] "GET / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- admin [07/Sep/2007:18:22:23 +0200] "GET / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- admin [07/Sep/2007:18:22:23 +0200] "GET / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- admin [07/Sep/2007:18:22:23 +0200] "GET / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- administrator] [07/Sep/2007:18:22:24 +0200] "GET / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- root [07/Sep/2007:18:22:24 +0200] "GET / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- guest [07/Sep/2007:18:22:24 +0200] "GET / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- backup [07/Sep/2007:18:22:24 +0200] "GET / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- test [07/Sep/2007:18:22:24 +0200] "GET / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- admin [07/Sep/2007:18:22:41 +0200] "PUT / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- admin [07/Sep/2007:18:22:41 +0200] "PUT / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- admin [07/Sep/2007:18:22:41 +0200] "PUT / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- admin [07/Sep/2007:18:22:41 +0200] "PUT / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- admin [07/Sep/2007:18:22:41 +0200] "PUT / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- admin [07/Sep/2007:18:22:41 +0200] "PUT / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- admin [07/Sep/2007:18:22:41 +0200] "PUT / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- admin [07/Sep/2007:18:22:42 +0200] "PUT / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- admin [07/Sep/2007:18:22:42 +0200] "PUT / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- admin [07/Sep/2007:18:22:42 +0200] "PUT / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- test [07/Sep/2007:18:22:42 +0200] "PUT / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- administrator [07/Sep/2007:18:22:42 +0200] "PUT / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- backup [07/Sep/2007:18:22:42 +0200] "PUT / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- guest [07/Sep/2007:18:22:42 +0200] "PUT / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"
213.141.xxx.xxx- root [07/Sep/2007:18:22:42 +0200] "PUT / HTTP/1.1" 200 11435 "" "Mozilla/3.0 (Compatible);Brutus/AET"

Я знаю, что это брутят пароли (Подбирают). Но как-то странно, ведь запросы идут к главной странице, а не к странице авторизации! И причём удивляет что используется слово admin, а не мой ник на форуме? Кто-нибудь знает, что это вообще такое? И как можно защититься от этого.

WildRAID · 8 Сентября 2007

На главной странице тоже есть мини-форма авторизации.

То, что используется слово admin, говорит только о том, что взломщик - дерево, и не может правильно настроить программу.

Song · 8 Сентября 2007

Я знаю, что это брутят пароли (Подбирают). Но как-то странно, ведь запросы идут к главной странице, а не к странице авторизации!

Это означает что подбирают хэш, а не пароль. На хэш можно на любую страницу охотиться.

На главной странице тоже есть мини-форма авторизации.

На главной она только распологается визуально. А проверяется всё-равно через Login.php

И причём удивляет что используется слово admin, а не мой ник на форуме? Кто-нибудь знает, что это вообще такое?

это как правило означает что это типовая аттака, а не аттака направленная на твой именно форум. Т.е. сразу на много форумов, где да повезёт..

WildRAID · 8 Сентября 2007

О, кстать, можно оффтоп-вопрос для общего развития?

По поводу:

Это означает что подбирают хэш, а не пароль. На хэш можно на любую страницу охотиться.

Хэш в смысле сессию подбирают? Но в этом же мало смысла -> сессии на многих форумах привязываются к IP и юзер-агенту. Даже если подобрал, все равно не пустит.

Или в смысле хэш пароля? Но тоже бесполезно ... если не знать salt, то это еще хуже подбирать, чем сам пароль.

OverHerz · 8 Сентября 2007

зайти на форум под админом можно не зная пароля, используя хэш

Sannis · 8 Сентября 2007

В любом случае нужно достать и хеш пароля для куков и хеш админской сессии, что квадратично увеличивает время поиска. Так что как выше написано, машиной, это долго, проще уязвимости заюзать...

Войти

Брутят пароли?

Рекомендуемые сообщения

L-S1mk@

Ссылка на комментарий

Поделиться на других сайтах

WildRAID

Ссылка на комментарий

Поделиться на других сайтах

Song

Ссылка на комментарий

Поделиться на других сайтах

WildRAID

Ссылка на комментарий

Поделиться на других сайтах

OverHerz

Ссылка на комментарий

Поделиться на других сайтах

Sannis

Ссылка на комментарий

Поделиться на других сайтах

Главная

Активность

Магазин

Support

Важная информация