Mikrotik защита от брутфорса (brute force)

Spring Security Authentication Events

We will use the Spring security event publishing feature to build our brute force protection service. For each authentication that succeeds or fails, Spring security publish an AuthenticationSuccessEvent or AuthenticationFailureEvent. We will use this feature to build our spring security brute force protection. Here is a high level workflow for our strategy.

  1. We will write a custom authentication failure event listener. This listener will work with the underlying services to keep trek of number of failed attempts and will lock the account if it exceeds.
  2. A success authentication listener to reset any failed count (we will reset the failed counter to zero).

Ограничение доступа по IP-адресам

Если ваш интернет провайдер предоставляет статический IP-адрес, или он редко изменяется, или же есть ограниченный список адресов, с которых может производиться доступ в админ-панель WordPress, то рекомендуется ограничить доступ этим самым списком адресов. Если управлением занимается несколько человек и адреса часто меняются, то данный способ защиты не будет удобным.

Настройка ограничения доступа по IP-адресам для Apache

Настроить ограничение по IP-адресу можно при помощи файла .htaccess, который нужно поместить в папку wp-admin/:

<IfModule mod_authz_core.c>
<RequireAny>
Require all denied #запретить всем
Require ip 127.0.0.1 #разрешить локальные подключения
Require ip 23.45.67.89 #один адрес
Require ip 10.20.30.40 #еще один адрес
Require ip 123.123.123.0/24 #блок адресов
</RequireAny>
</IfModule>

Указанная настройка актуальна для веб-сервера Apache 2.4+.

Настройка ограничения доступа по IP-адресам для Nginx

Если на вашем сервере используется Nginx + php-fpm, то добавлять ограничения нужно в файл конфигурации Nginx для соответствующего сайта (в блоке server):

location ~* ^/(wp-admin|wp-login.php)
{
allow 23.45.67.89; #один адрес
allow 123.123.123.0/24; #блок адресов
deny all; #запрет всем остальным
}

Обратите внимание на обязательные точки с запятой в конце каждой строки и на то, что все разрешения (allow) должны быть выше запретов (deny)

Что делать, если ничего не помогает

Вы поставили надёжный пароль, проверили активных пользователей, ограничили число авторизаций, но ресурс всё равно тормозит и медленно откликается? Возможно, злоумышленники успели проникнуть на сервер заранее и «замести следы», оставив бэкдор, или же придумали новые хитроумные способы обхода ваших методов защиты

Важно понимать, что ни один из описанных выше советов не даст 100% гарантии. И хотя центры обработки данных защищены от широкополосных атак, оградиться от целевого брута крайне сложно. 

Взлом сервера и доступ злоумышленников к важным данным может привести к критическим последствиям и потере огромных сумм денег: например, из-за отсутствия защиты от брутфорса в системе бронирования могла пострадать 141 авиакомпания. Также известны случаи многократных попыток взлома сайтов, работающих на WordPress, с целью нелегального майнинга или дальнейших атак. Защита сервера от подобных ситуаций — непростая задача, требующая вмешательства высококвалифицированных специалистов по безопасности. Многие провайдеры вместе с арендой сервера предлагают услуги администрирования — поэтому, чтобы обезопасить «дедик», лучше доверить его профессионалам. 

Например, в REG.RU администрирование Dedicated включает целый комплект услуг: это и установка операционной системы, и регулярные обновления, и резервное копирование, и, разумеется, защита от брутфорса. Аренда выделенного сервера с администрированием избавит вас от необходимости тратить время на постоянный мониторинг системы и оборудования. В этой ситуации лучше довериться опытным специалистам и не отвлекаться от более важных задач.

⌘⌘⌘

Итак, подводим итог: не забывайте о защите своего сервера, предпочитайте SSH-ключи стандартной авторизации и всегда создавайте только надёжные пароли. Не пренебрегайте профессиональными услугами администрирования, если для вас важна безопасность и сохранность данных. Помните: даже если вы используете выделенный сервер для личных нужд, это не значит, что он автоматически становится невидимым. Хакеры не дремлют!

Сюжет

Лидеры террористических группировок объявили войну всему человечеству. Они угрожают террористическими актами по всем странам мира. Теперь вы сможете вместе с вашим героем боевиков дать решительный отпор врагу. Действия игры развернутся на красочных локациях, вы сможете устроить настоящую войну протии наркоторговцев, террористов и даже работорговцев. Так что выберите себе одного героя, а можете объединиться с героями прошлых лет – настоящими супер персонажами, чтобы уничтожить террористов по всему миру. Очень увлекательный игровой процесс ждет пользователя. Особенно будет трудно победить торговцев наркотиками и оружием.

Брутфорс: как пользоваться

Далее рассмотрим, как пользоваться брутфорсом и для чего. Если говорить о легальных и благих намерениях, то он используется для проверки надёжности или восстановления паролей. Этим занимаются системные администраторы, используя при этом специализированные программы.

В ситуациях с иными намерениями существует три вида использования такого метода. Первый – это персональный взлом. Киберпреступник может как узнать номер электронного кошелька так и завладеть другими личными данными пользователей. Используя их в последствие, злоумышленник подбирает пароль получения доступа к его аккаунтам, электронной почте или сайту.

Второй вид брутфорса – брут-чек. В данном случае уже выступает цель завладения паролями именно в больших количествах, для последующей продажи аккаунтов и иных целей. И третьим видом является удалённый взлом компьютерной системы, с целью полного управления персональным компьютером жертвы. Зачастую, злоумышленники пишут программы для такого перебора самостоятельно, с использованием мощных компьютерных систем.

Если Вам была интересна данная статья, рекомендуем так же прочитать о разработке сайта-визитки под ключ и о том, как это происходит. Будьте внимательны и осторожны, распространяя свои личные данные, не подвергайте себя риску и не занимайтесь преступной деятельностью.

How Users Can Strengthen Passwords Against Brute Force Attacks

As a user, you can do a lot to support your protection in the digital world. The best defense against password attacks is ensuring that your passwords are as strong as they can be.

Brute force attacks rely on time to crack your password. So, your goal is to make sure your password slows down these attacks as much as possible, because if it takes too long for the breach to be worthwhile… most hackers will give up and move on.

Here are a few ways you can strength passwords against brute attacks:

Longer passwords with varied character types. When possible, users should choose 10-character passwords that include symbols or numerals. Doing so creates 171.3 quintillion (1.71 x 1020) possibilities. Using a GPU processor that tries 10.3 billion hashes per second, cracking the password would take approximately 526 years. Although, a supercomputer could crack it within a few weeks. By this logic, including more characters makes your password even harder to solve.

Elaborate passphrases. Not all sites accept such long passwords, which means you should choose complex passphrases rather than single words. Dictionary attacks are built specifically for single word phrases and make a breach nearly effortless. Passphrases — passwords composed of multiple words or segments — should be sprinkled with extra characters and special character types.

Create rules for building your passwords. The best passwords are those you can remember but won’t make sense to anyone else reading them. When taking the passphrase route, consider using truncated words, like replacing “wood” with “wd” to create a string that makes sense only to you. Other examples might include dropping vowels or using only the first two letters of each word.

Stay away from frequently used passwords. It’s important to avoid the most common passwords and to change them frequently.

Use unique passwords for every site you use. To avoid being a victim of credential stuffing, you should never reuse a password. If you want to take your security up a notch, use a different username for every site as well. You can keep other accounts from getting compromised if one of yours is breached.

Use a password manager. Installing a password manager automates creating and keeping track of your online login info. These allow you to access all your accounts by first logging into the password manager. You can then create extremely long and complex passwords for all the sites you visit, store them safely, and you only have to remember the one primary password.

If you’re wondering, “how long would my password take to crack,” you can test passphrase strength at https://password.kaspersky.com.

Related articles:

Изменение адреса админ-панели

Возможно, это не самый простой и удобный способ защиты, но точно один из максимально эффективных. Изменить адрес (URL) для входа в админ панель можно вручную, если вы опытный администратор, или же при помощи специальных плагинов.

Вручную процесс состоит из нескольких этапов:

1. Переименуйте файл wp-login.php. Используйте случайную последовательность строчных латинских букв, цифры и тире. Например: some-new-page456.php
2. В получившемся файле найдите все упоминания wp-login.php и замените их на новое название.
3. Для корректной работы сайта замену необходимо проделать также в файлах: wp-activate.php, general-template.php, post-template.php, functions.php, class-wp-customize-manager.php, general-template.php, link-template.php, admin-bar.php, post.php, pluggable.php, ms-functions.php, canonical.php, functions.wp-scripts.php, wp-signup.php, my-sites.php, schema.php, ru_RU.po

После этого адрес админ панели будет располагаться по вашей новой ссылке https://site.com/some-new-page456.php. Доступ к новому файлу было бы полезно тоже ограничить и защитить паролем так, как указано выше.

Более простой способ — использование плагина, например, WPS Hide Login. После установки плагина в меню “Настройки” появится новый пункт WPS Hide Login.

Popular Brute Force Attack Tools

There are a number of popular brute force attack tools:

  • THC-Hydra: Runs through a large number of password combinations via simple brute force or dictionary-based attacks, and can attack more than 50 protocols and multiple operating systems.  
  • Aircrack-ng: A network software suite consisting of a detector, packet sniffer, WEP and WPA/WPA2-PSK cracker and analysis tool for 802.11 wireless LANs. It can be used on Windows, Linux, iOS, and Android and uses a dictionary of widely used passwords to breach network security. 
  • John the Ripper: A free password cracking software tool. Originally developed for the Unix operating system, it can run on fifteen different platforms.
  • L0phtCrack: A password auditing and recovery application used to test passphrase strength and to recover lost Microsoft Windows passwords by using dictionary, brute-force, hybrid, and rainbow table attacks.
  • Hashcat: A password recovery tool that was a proprietary codebase until it was open-sourced in 2015. Examples of Hashcat-supported hashing algorithms are Microsoft LM hashes, MD4, MD5, SHA-family, Unix Crypt formats, MySQL, and Cisco PIX.
  • DaveGrohl: A brute force password cracker for MacOS. It supports all of the standard Mac OS X user password hashes (MD4, SHA-512 and PBKDF2) used since OS X Lion and also can extract them formatted for other popular password crackers like John the Ripper.
  • Ncrack: A Unix password cracking program designed to allow system administrators to locate users who may have weak passwords vulnerable to a dictionary attack.

Frequently Asked Questions

What is a brute force attack example?

If you have a password that’s only one character long, using numbers and letters (upper and lowercase), there would be 62 different possibilities for that character. A brute force attack would try every possible character in an instant to attempt to learn your one-character password. With normal passwords being around 8 characters, the possibilities are then multiplied into trillions of possibilities, which may take a bot only seconds to attempt.

How does a brute force attack work?

Essentially, a bot tries every combination of numbers and letters to learn your password. A reverse brute force attack guesses a popular password against a list of usernames.

What is the best protection against a brute force attack?

The best protection against a brute force attack is ensuring your passwords are as strong as possible, slowing the time it takes for a hacker to breach and increasing the likelihood they give up and move on.

What can attackers gain?

  • Access to personal data
  • Access to your system for malicious activity
  • Ability to edit your website and ruin your reputation
  • Ability to spread malware
  • Profit from ads or activity data

How successful are brute force attacks?

According to Verizon’s 2020 Data Breach Investigation Report: Over 80% of breaches within Hacking involve Brute force or the Use of lost or stolen credentials.

Ready to get ahead of brute force attacks? Get a 1:1 demo to learn how Varonis detects attacks so you can stop attackers proactively.

What Does a Brute Force Attack Look Like?

When this happens, it can be an indication that you’ve fallen victim to a brute force attack. If this happens to you, we suggest updating your passwords immediately. 

In fact, many security-conscious organizations will rotate or change passwords on a regular basis to minimize the risk of undetected or unreported brute force attacks. 

If you suspect your organization or your users are under attack, here are some things to look for:

  • Multiple failed login attempts from the same IP address
  • Login attempts with multiple usernames from the same IP address
  • Multiple login attempts for a single username coming from different IP addresses
  • An unusual pattern in failed login attempts such as sequential alphabetical or numerical patterns
  • An abnormal amount of bandwidth being used after a successful login attempt which could signal that someone is downloading sensitive data

Showing Error on Login Page

Above configurations will make sure that account is locked after 2 unsuccessful login attempts as per of spring security brute force protection.We may also want to show the custom error message on our login page, Let’s make some changes to our custom login page and it’s controller.Add the following entry to the messages.properties file

Once user exceeds the failed login attempts, we will show above message on our login page.The next is making some changes to our login page controller.

We are doing few important things in our Login controller.

  1. If are handling login error request parameter differently. On getting this parameter, we check if we lock the user account.
  2. If it locks the user account, we show a different error message to the customer.
  3. If you look at the method, we are getting the username from the session.

By default, the username will not be available in the request, once we receive the control in our login controller. To show the custom message, we need the username. We are using the Spring security failure handler to store the username in the session.

6.1. Spring Security Custom AuthenticationFailureHandler

We are only storing the username in the session and letting the default authentication handler perform its work on the authentication failure.This is how our custom look like:

Add the condition in your login HTML to show the custom error message on the frontend. We added the following condition to our login page.

Изменение секретных ключей для куки

Данные ключи находятся в файле конфигурации wp-config.php и выглядят так:

define('AUTH_KEY', 's0lj0b~7iR`EyyI36;A(1e,#yc|i(>YB8TER:<yBLoxx;w)KF@T{t2Gx%D++X7lj');
define('SECURE_AUTH_KEY', 'HtOFJu-|I7|&fz]8 b-)T0cT+DEmFP<yKpE0+F4]Rp>(9!F6ChL+)&k1G(Ch>L8`');
define('LOGGED_IN_KEY', '<.4=H2dN8+9pif2Zd*4N}Gra{+y TsxopbEf+&GoJ u7`:Cs]A}&L #dB&55Q+&SH!');
define('AUTH_SALT', '0F24#]RP2h>!StYxA}Hvcg`7xfLA&p{ F$7|bUfB{B<Hx 69y>zQ9gA|F');
define('SECURE_AUTH_SALT', 'S~IKi]Ok1=;EP8}ui*Z^JHXqc6&gJ1DJ3$W0Rs-o)@Mo|Iu:.?7A`/');
define('LOGGED_IN_SALT', '1;D~W]s&_7vx>HA|u=.JvcEHHTf),UZ$lN| kxIT-zdAkOi0kcq+IT]&E`!');
define('NONCE_SALT', '3vIG<DWecj+KXbA9zN8DSZsVt}CJn]|7Ol;zBFxepClZ*Y8QZ`oGtW/.?6 z=B5G');

При установке WordPress используется некторый набор ключей по умолчанию, который будет одинаковым для всех. Потому, если злоумышленник сможет заполучить хеш пароля администратора, то он сможет и расшифровать его с этими стандатртными ключами. Сгенерировать уникальные ключи можно на специальной странице.

Каждый раз при переходе или обновлении страницы ключи обновляются.

Brute-force attack

This definition was taken from the Wikipedia site. Well, to put it in simple words, brute-force attack guess a password by trying all probable variants by given character set. Eg. checking all combination in lower Latin character set, that is ‘abcdefghijklmnopqrstuvwxyz’. The brute-force attack is very slow. For example, once you set lower Latin charset for your brute-force attack, you’ll have to look through 217 180 147 158 variants for 1-8 symbol password. It must be used only if other attacks have failed to recover your password.

There are 3 group of options here:

Brute-force charset
Brute-force attack assumes using all possible variations from the specified character range, which is set in the first group of options. You can select and combine predefined character sets (e.g., Latin characters, numbers or special characters) or define your own ones. To define your own character set, select the option ‘Custom charset’. This will enable two fields for defining a custom character set: the first one — for entering ASCII or OEM characters, the second one — for entering non-printable characters. You can save your custom character set on disk. The program comes with several examples of user-defined character sets.Password length and position
The second group of options allows setting the minimum and maximum lengths of the password to be generated. If the last brute-force attack was interrupted or stopped, you can resume it from the last position saved by the program (see ‘Starting password’ option.)Distributed attack
This group of options can be useful when you have access to several computers. In this case, the entire set of characters to be verified, if it is too large, can be split into portions and attack the password by portions on several computers at the same time. To implement that, you will need to select the number of computers participating in the distributed attack (‘Number of computers to participate’ option), select the same settings for all computers, and assign each computer its number in the ‘Password range for computer’ drop-down list.

Below is a table that shows the time required to find 6 symbol password. Assuming that the brute-force speed is 1 million passwords per second.

Charset file name Charset string Example Total passwords Timing
0-9.pcf 0123456789 666929 1 111 110 1 sec
1-13.pcf 0x1 … 0xd   5 229 042 5 sec
a-z.pcf abcdefghijklmnopqrstuvwxyz qwerty 321 272 406 5 min
a-z, 0-9.pcf abcdefghijklmnopqrstuvwxyz0123456789 asd123 2 238 976 116 37 min
a-z, 0-9, symbol14.pcf abcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()-_+= a#q1*9 15 943 877 550 4.5 hrs
a-z, A-Z.pcf ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz QWErty 20 158 268 676 5,5 hrs
a-z, A-Z, 0-9.pcf ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz 0123456789 Asd123 57 731 386 986 16 hrs
a-z, A-Z, 0-9, symbol14.pcf abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ 0123456789!@#$%^&*()-_+= As12#$ 195 269 260 956 2 days, 6 hrs
all.pcf ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz 0123456789!\»#$%&'()*+,-./:;<=>?@^_`{|}~»; Aa1@|} 742 912 017 120 8 days, 15 hrs

How to Prevent Brute Force Attacks

As brute force attacks don’t rely on vulnerabilities or exploits, keeping software up to date isn’t enough to protect yourself. A few common methods you can use to prevent brute force attacks:

  1. Use strong passwords
  2. Restrict access to authentication URLs
  3. Limit login attempts
  4. Use CAPTCHAs
  5. Enforce two-factor authentication

Use Strong Passwords

Brute force attacks rely on reused or weak passwords. Passwords that have the following characteristics can prevent brute force attacks:

  • Unique: Avoid reusing passwords, even if they are complex passwords as websites can be compromised and passwords can be cracked. By reusing passwords, you’re giving attackers an easy way to gain unauthorized access to your accounts on other websites.
  • Long: All else equal, longer passwords are harder to crack than shorter passwords. For example, a nine-character password takes significantly longer to brute force than an eight-character password, and an eight-character password takes significantly longer than a seven-character password. Once character count is beyond a certain point, brute-forcing a properly randomized password becomes unrealistic.
  • Complex: While simple passwords are easy to remember, they are also often simple to crack. We suggest using a password manager to generate robust passwords for you. 

Restrict Access to Authentication URLs

For a brute force attack to work, it needs to be able to test the credentials against a login page. Many automated URLs use the default login page URL and scan the web for victims.

For example, a brute force attack tool might scan the web for WordPress sites and navigate to /wp-login.php, WordPress’ default login page. 

Changing /wp-login.php to /yoursite-login can be enough to mitigate the risk of many automated attacks. Unfortunately, this won’t work for more targetted attacks or if the page is linked from other parts of your site.

Limit Login Attempts

Brute force attacks rely on being able to attempt multiple passwords and accounts in a single session. Consider using lockout functionality to restrict the number of times an incorrect login can be tested.

A common way to do this is to temporarily ban an IP address from logging in after three failed attempts, where subsequent failures are banned for longer and longer periods. 

Use CAPTCHAs

A CAPTCHA is a type of challenge-response test used in computing to determine whether or not the user is human. By using a CAPTCHA solution, you can prevent bots and automated tools from testing username and password combinations on your website by forcing them to complete a challenge before submitting the form. 

reCAPTCHA is a free security service that protects your websites from spam, abuse, and brute force attacks provided by Google. 

Enforce Two-Factor Authentication

Two-factor authentication prevents the compromise of a single authentication factor (like a password) from compromising the account. The mechanism typically works by requesting the traditional login information, then sending a confirmation to a device, usually a smartphone, such as a text, phone call, or in-app security verification screen.

Ideally, only the authorized person would have the smartphone and could then accept or reject the authentication requests as necessary. More advanced mechanisms can require bio-authentication, such as a fingerprint swipe, which prevents lost or stolen phones from being used to falsely issue confirmations.

Лучшие программы для взлома паролей

Недавно мы опубликовали статью о надежности паролей, а также паролях, которые используются многими пользователями. Большинство людей используют слабые пароли. Но как убедится, что ваш пароль сильный? Взлом паролей — это неотъемлемая часть цифровой криминалистики и тестирования информационной безопасности.

В этой статье мы собрали лучшие программы для взлома паролей, которые могут использоваться системными администраторами для проверки надежности их паролей. Все утилиты используют различные алгоритмы и применимы к различным ситуациям. Рассмотрим сначала базовую информацию, которая поможет вам понять с чем мы будем иметь дело.

Анализ риска

Риски от применения брутфорса зависят от количества объектов, на которые нацелены атаки, и намерений злоумышленника. С каждым годом появляются новые технологии, которые могут применяться как в благих, так и в преступных целях. Так, несколько лет назад на конференции DEF CON общественности был представлен WASP — беспилотник, который может собирать статистику домашних сетей Wi-Fi. Мощный компьютер на борту аппарата среди прочих функций имел возможность автоматического взлома паролей с помощью брутфорса.

Не так давно была замечена новая ботнет-сеть, проникающая в компьютерные системы с помощью подбора паролей SSH. Методы защиты, обычно применяемые против атак методом «грубой силы», не дают желаемого результата. Как в таком случае повысить уровень безопасности, можно узнать из нашей статьи.

Проблем со взломом через брутфорс можно избежать, если:

  • создавать длинный пароль из букв, цифр и спецсимволов,
  • не использовать в пароле личную информацию или какие-либо элементы логина,
  • для всех аккаунтов создавать свои уникальные пароли,
  • регулярно, примерно один раз в месяц, менять пароли,
  • на веб-сайтах защищать вход от многочисленных попыток ввода данных.

Классификация и способы выполнения брутфорс-атаки

Существует несколько видов атаки методом «грубой силы»:

  • Персональный взлом. В этом случае брутфорс направлен на получение доступа к личным данным конкретного пользователя: аккаунтам социальных сетей, почте, сайту. Во время общения через интернет, в том числе используя мошеннические схемы, злоумышленник старается узнать логин, персональные сведения и другую информацию, которая понадобится для подбора пароля. Далее взломщик прописывает в специальную программу адрес ресурса, к которому нужен доступ, логин учетной записи, подключает словарь и подбирает пароль. Если пароль пользователя основан на личной информации и состоит из малого количества символов, то попытка злоумышленника может принести успех даже за короткое время.
  • «Брут-чек». Этот вид брутфорса означает охоту на пароли в больших количествах. Соответственно, цель — завладеть данными не одного пользователя, а множества разных аккаунтов на нескольких веб-ресурсах. К хакерской программе подключается база логинов и паролей каких-либо почтовых сервисов, а также прокси-лист, чтобы замаскировать узел, не дав веб-сервисам почты обнаружить атаку. При регистрации на сайте, в социальной сети или в игре пользователь заполняет поле с адресом своей почты, на который приходят данные для входа в соответствующий аккаунт. В опциях брутфорса прописывается список названий сайтов или других ключевых слов, по которым программа будет искать в почтовых ящиках именно эти письма с логинами и паролями, вынимать и копировать информацию в отдельный файл. Так киберпреступник получает сотни паролей и может использовать их в любых целях.
  • Удаленный взлом операционной системы компьютерного устройства. Брутфорс в комбинации с другими взламывающими утилитами применяется для получения доступа к удаленному ПК. Взлом такого вида начинается с поиска сетей, подходящих для атаки. Адреса пользователей добываются особыми программами или берутся из баз. Словари перебора и списки IP-адресов вводятся в настройках brute force. В случае успешного подбора пароля сохраняются IP-адрес машины жертвы и данные для входа, которые далее используются злоумышленником — например, с целью полного управления ПК через утилиту Radmin или другую подобную программу.

How to Defend Against Brute Force Attacks

Brute force attacks need time to run. Some attacks can take weeks or even months to provide anything usable. Most of the defenses against brute force attacks involve increasing the time required for success beyond what is technically possible, but that is not the only defense.

  • Increase password length: More characters equal more time to brute force crack
  • Increase password complexity: More options for each character also increase the time to brute force crack
  • Limit login attempts: Brute force attacks increment a counter of failed login attempts on most directory services – a good defense against brute force attacks is to lock out users after a few failed attempts, thus nullifying a brute force attack in progress
  • Implement Captcha: Captcha is a common system to verify a human is a human on websites and can stop brute force attacks in progress
  • Use multi-factor authentication: Multi-factor authentication adds a second layer of security to each login attempt that requires human intervention which can stop a brute force attack from success

The proactive way to stop brute force attacks starts with monitoring. Varonis monitors Active Directory activity and VPN traffic to detect brute force attacks in progress. We’ve got threat models that monitor lockout behaviors (often a sign that there’s a brute force attack under way), threat models that detect potential credential stuffing, and more – all designed to detect and prevent brute force attacks before the attack escalates.

It’s better to detect an attack in progress and actively stop the attack than it is to hope your passwords are un-crackable. Once you detect and stop the attack, you can even blacklist IP addresses and prevent further attacks from the same computer.

Types of Brute Force Attacks

  • Simple brute force attack—uses a systematic approach to ‘guess’ that doesn’t rely on outside logic.
  • Hybrid brute force attacks—starts from external logic to determine which password variation may be most likely to succeed, and then continues with the simple approach to try many possible variations.
  • Dictionary attacks—guesses usernames or passwords using a dictionary of possible strings or phrases.
  • Rainbow table attacks—a rainbow table is a precomputed table for reversing cryptographic hash functions. It can be used to guess a function up to a certain length consisting of a limited set of characters.
  • Reverse brute force attack—uses a common password or collection of passwords against many possible usernames. Targets a network of users for which the attackers have previously obtained data.
  • Credential stuffing—uses previously-known password-username pairs, trying them against multiple websites. Exploits the fact that many users have the same username and password across different systems.

The Goals of a Brute Force Attack

There are several brute force methods used by attackers for their malicious activities. The method deployed to an attack depends on the expertise of the attacker, their goal, and the security level of the network.

The types of brute force attacks include simple brute force attacks, dictionary attacks, hybrid force attacks, reverse brute force attacks, and credential stuffing.

When carrying out a brute force attack, hackers aim to cause a disruption. Below are five of the main reasons criminals use this tactic.

1. Personal Information Theft

Perpetrators of brute force attacks could hack your network to steal your personal information such as credit card details, account passwords, personal identification numbers (PINs), and other credentials that you use for online activities.

2. Reputation Damage

Brute force attacks can be used for revenge purposes. An aggrieved person could hire the services of cyberattackers to hack your network with brute force, and use your sensitive data to tarnish your reputation.

3. Selling Credentials to Third Parties

Having gained access to your credentials, a hacker could sell them to third parties who are willing to pay a lot of money for them. The market value of your credentials is determined by their value.

4. Ransom

Cyberattackers could use brute force attacks to hijack your system and make demands from you to pay a ransom before they will let you back into your network.

piggy 1.0.1

Многопоточный брутфорс Microsoft SQL серверов, реализованный в виде консольного приложения. Поддерживает диапазонный режим сканирования, когда на заданный пароль проверяются сразу несколько серверов, хранящих базы. Это особенно актуально, когда ты произвёл сервисный скан подсети NMAP на порт 1433 (TCP), традиционный для этого сервиса, получил необходимый баннер базы, после чего скормил полученные адреса piggy
. Поскольку халатность администраторов зачастую поистине безмерна, вероятность улова весьма и весьма велика. Кроме этого piggy
работает с составленными тобой файлами, для проведения атаки по словарю.

11. Отключение вывода ошибок авторизации

Во время брут-форс атаки хакеру будет полезно видеть информацию о том, что введенные данные неверны. Сообщения об этом отображаются каждый раз при неудачной попытке входа, причем также сообщается, что именно — логин или пароль — неправильное. Поэтому возможно немного усложнить жизнь взломщикам: убрать эти уведомления.

Для этого достаточно добавить в functions.php темы вашего сайта всего одну строчку:

add_filter('login_errors',create_function('$a', "return null;"));

Редактировать файл можно любым удобным вам способом, как из админ-панели, так и по FTP или через файловый менеджер. Строчку нужно добавить в начале файла после открывающего тега (<?php ).

Это были самые на наш взгляд действенные методы защиты сайтов на WordPress от взломов методом брут-форс атаки. Вы можете выбирать какой-либо один или скомбинировать несколько. А в следующий раз мы познакомим вас с одним плагином, который объединяет в себе почти все описанные здесь методики защиты сайта.

Ежедневно сайты и плагины на тарифах WordPress хостинга от Hostpro проверяются на наличие уязвимостей. Каждую ночь мы делаем резервные копии вашего сайта и сохраняем их в течение месяца. В случае если ваш сайт будет взломан, мы восстановим его работу бесплатно. Перенесите свой сайт на Hostpro безопасно, быстро и совершенно бесплатно. Просто заполните заявку на нашем сайте.