Автор Тема: Защита от взлома методом брутфорса  (Прочитано 26011 раз)

Оффлайн delasker

  • Пользователь
  • **
  • Сообщений: 73
    • Просмотр профиля
Защита от взлома методом брутфорса
« : Апреля 13, 2012, 08:50:17 am »
 Тут на форуме видел несколько жалоб на взломанные сайты. Обычное дело - слабый пароль, который ломается обычным перебором (брутфорсом)
 Вот такой вариант защиты. В файле admin.php после //main admin module в 12 строчку вставить такой код:
$adm_name = "admin";
$adm_pass = "21232f297a57a5a743894a0e4a801fc3";  //Пароль в md5. Здесь пароль: admin
function adm_auth(){
    Header ('WWW-Authenticate: Basic realm="Your_Zone"');
    Header ("HTTP/1.0 401 Unauthorized");
    echo '<html><head><title>access denied...</title></head>
    <body><center>Введителогинипароль</h1></center></body></html>';
    exit;
}
if (empty($_SERVER["PHP_AUTH_USER"])){
    adm_auth();
}           

if ($_SERVER['PHP_AUTH_USER'] != $adm_name OR md5($_SERVER['PHP_AUTH_PW']) != $adm_pass){
    adm_auth();
}

Получится, что теперь при заходе в админку, придётся вводить ДВА логина-пароля. Только для малосведующих поясняю, что первую пару вводят, как придумали - admin/admin, а не сконвертированные кракозябры :)Как видите в коде пароль и логин шифруются в md5 (в примере это просто admin/admin). Нужно будет придумать свои и перекодировать (скажем в каком-то он-лайн сервисе, вот хоть здесь http://pajhome.org.uk/crypt/md5/index.html ) в MD5 и соответственно вписать. В архиве приложил программку для конвертации в MD5 и сам код.
 Должен предупредить, что не всегда сработает, т.к. у некоторых есть проблемы с ЧПУ (как у меня например  :)) Как способ усложнить жизнь взломщикам вполне пойдёт.


[вложение удалено администратором]
« Последнее редактирование: Апреля 13, 2012, 08:53:45 am от delasker »

Оффлайн Юрий

  • Старожил
  • ****
  • Сообщений: 322
    • Просмотр профиля
    • Во-Сток
Re: Защита от взлома методом брутфорса
« Ответ #1 : Апреля 13, 2012, 02:45:53 pm »
может проще капчу какую нибудь сделать?

Оффлайн delasker

  • Пользователь
  • **
  • Сообщений: 73
    • Просмотр профиля
Re: Защита от взлома методом брутфорса
« Ответ #2 : Апреля 19, 2012, 11:20:15 am »
Да показалось, что как раз так проще. Хотя конешно можно и каптчу. Покумекаю, когда всю канистру допью

nictboom

  • Гость
Re: Защита от взлома методом брутфорса
« Ответ #3 : Апреля 20, 2012, 01:24:33 am »
а при чём тут каптча?... 0_0

Оффлайн Юрий

  • Старожил
  • ****
  • Сообщений: 322
    • Просмотр профиля
    • Во-Сток
Re: Защита от взлома методом брутфорса
« Ответ #4 : Апреля 20, 2012, 03:32:01 am »
если еще актуально то накидал капчу.
Просто заменяем файл на тот что в архиве

[вложение удалено администратором]
« Последнее редактирование: Апреля 21, 2012, 12:31:47 am от Юрий »

nictboom

  • Гость
Re: Защита от взлома методом брутфорса
« Ответ #5 : Апреля 20, 2012, 09:50:07 pm »
да главное что б читабельна была, а то я на одном сайте устал подобное корректировать(самописный какой то).
каждая аутентификация, занимала минут по 10-ть. запарился...
потому и противник был подобного, в смысле каптчи.  хотя наверное правильней приобщить ф-нал по кол-ву попыток.. а потом восстановление, или корректировка через почту (вторичный код подтверждения/проверки). как то так...

Оффлайн Юрий

  • Старожил
  • ****
  • Сообщений: 322
    • Просмотр профиля
    • Во-Сток
Re: Защита от взлома методом брутфорса
« Ответ #6 : Апреля 21, 2012, 12:30:57 am »
да. Подумал и решил что с количеством раз для ввода пароля лучше)
Пример - http://vo-stok.com.ua/access_admin.php (попыток - 3)
Переписал скрипт



[вложение удалено администратором]
« Последнее редактирование: Апреля 21, 2012, 01:42:09 am от Юрий »

nictboom

  • Гость
Re: Защита от взлома методом брутфорса
« Ответ #7 : Апреля 21, 2012, 03:47:02 pm »
подкинь ;)

Оффлайн Юрий

  • Старожил
  • ****
  • Сообщений: 322
    • Просмотр профиля
    • Во-Сток
Re: Защита от взлома методом брутфорса
« Ответ #8 : Апреля 21, 2012, 07:56:34 pm »
ну я сегодня брутом пошалил и записовал в лог getenv("HTTP_USER_AGENT"); 
для брута записало в лог:
[21.04.12 19:47] Превышено количество вводов пароля с IP:92.112.115.31 (Mozilla/3.0 (Compatible);Brutus/AET)

Дак может достаточно будет проверки?
if (isset($_POST["authorize"]) && stristr($_SERVER['HTTP_USER_AGENT'], 'Brutus'))

Оффлайн Al_Uk

  • Спец
  • ***
  • Сообщений: 247
    • Просмотр профиля
Re: Защита от взлома методом брутфорса
« Ответ #9 : Апреля 21, 2012, 09:28:11 pm »
для какой версии лего этот антихак?

Оффлайн delasker

  • Пользователь
  • **
  • Сообщений: 73
    • Просмотр профиля
Re: Защита от взлома методом брутфорса
« Ответ #10 : Мая 02, 2012, 02:54:15 pm »
Хитрый я дядька, темку подкинул и вот парни напрягли мозги и отличную защиту дали. От себя и от общества низкий поклон.

Оффлайн delasker

  • Пользователь
  • **
  • Сообщений: 73
    • Просмотр профиля
Re: Защита от взлома методом брутфорса
« Ответ #11 : Мая 04, 2012, 07:38:39 am »
Slamm, чо-то выдаёт у меня
Parse error: syntax error, unexpected T_STRING in /home/httpd/vhosts/textil-plus.ru/httpdocs/admin.php on line 9 Хоть на весь сайт, хоть на админку. Куда лезть, чтоб работало?

Оффлайн delasker

  • Пользователь
  • **
  • Сообщений: 73
    • Просмотр профиля
Re: Защита от взлома методом брутфорса
« Ответ #12 : Мая 04, 2012, 03:42:12 pm »
Сделал. Вообще сайт потух. Ни ошибок, ничего

Оффлайн delasker

  • Пользователь
  • **
  • Сообщений: 73
    • Просмотр профиля
Re: Защита от взлома методом брутфорса
« Ответ #13 : Мая 05, 2012, 08:24:41 am »
То же самое - сайт просто гаснет, ни ошибок, ни отклика

Оффлайн delasker

  • Пользователь
  • **
  • Сообщений: 73
    • Просмотр профиля
Re: Защита от взлома методом брутфорса
« Ответ #14 : Мая 07, 2012, 06:37:41 pm »
Спасибо Slamm, в самом деле работает как часы. Думается, что данный модуль должен быть включён в систему по-умолчанию.
 Для таких же нешибких программистов, как и я, немного поправлю инструкцию Slamma : вставлять require_once("./antihack/antihack.php"); нужно после тега <?php. Вот так:
<?php
require_once("./antihack/antihack.php");

ini_set("display_errors""1");