Come difendersi dagli attacchi al login amministrativo con Brute Force Stop!

[marine]

Ciao,
In questo articolo spiego come utilizzare il plugin Brute Force Stop! per proteggere il login amministrativo del proprio sito dagli attacchi Brute Force.

Grazie dell'attenzione e buona lettura.

Link all'articolo: http://www.joomla.it/e-ancora/articoli-community-3x/8210-difendersi-dagli-attacchi-al-login-amministrativo-con-brute-force-stop.html

[MariaElenaBoschi]

Non capisco in base a che culto uno dovrebbe tentare un attacco bruteforce ad un login. Probabilmente chi lo fa lo fa solo per giocare o perchè non sa cosa sta facendo. Basta una buona password e un nome utente diverso da admin.

Quello che può portare disturbo è l'occupazione di banda che le continue richieste causano e non lo risolve un plugin, nessun plugin.

Non vedo nemmeno la difficoltà di bannare l'ip.. ce ne sono talmente tanti che si potrebbe usarne uno per ogni richiesta

[ventus85]

Ciao.
Grazie per l'articolo 

Da quando ho letto dal tuo articolo Brute Force Stop! è un plugin facile da configurare.
Purtroppo io credo che il blocco degli ip sia uno strumento non totalmente efficace: nella maggior parte dei casi se una persona è in grado e vuole attaccarti, è anche in grado di utilizzare ip diversi.
Tornando al discorso del blocco degli ip, secondo me se vuoi una protezione migliore devi abbinare il plugin anche ad altre soluzioni.
La lista degli accessi falliti è interessante, così uno può cercare di avere informazioni su chi vuole fare l'attacco e come e poi agire di conseguenza.
Anche la parte che riguarda il "ritardo" è interessante, appena posso andrò a spulciare il codice per vedere cosa fa di preciso.

E' ovvio che se uno usa come utente "admin" e password "admin" o "password" si merita di essere attaccato 
Grazie ancora e buona giornata

[marine]

Ciao ventus85,
concordo pienamente con te che il plugin non offra un livello di sicurezza "totale", anzi, e che va implementato con altri componenti per aumentare il livello di sicurezza del sito, purtroppo però gli altri componenti che utilizzo e conosco sono a pagamento e non ho potuto citarli nell'articolo.
Mi trovi pienamente in accordo con te nel fatto che la lista degli accessi falliti sia molto utile come base per studiare una strategia di sicurezza adeguata.
E' vero che ci sono miriadi di IP e che il blocco od il ritardo non sono protezioni "definitive", ma almeno disturbano e scoraggiano l'azione di questi lamer che si stanno divertendo provando ad accedere al nostro sito.
Ciao!

[MariaElenaBoschi]

la critica non è nell'articolo o nel plugin in oggetto è proprio nel pensare che la "sicurezza" si faccia così.
Spesso presuppone che chi scrive Joomla commetta errori e che quindi sia necessario introdurre qualcosa di magico che "difenda"; ma se così fosse lo avrebbero già introdotto nel cms, sono meno problemi anche per loro che spesso si trovano di fronte a 0day che fanno fatica a patchare.
Di fronte ad una vulnerabilità nel codice di un componente qualsiasi cosa tu abbia installato è facilmente inutile (vedi l'ultima della 3.4.5)

ma almeno disturbano e scoraggiano l'azione di questi lamer che si stanno divertendo provando ad accedere al nostro sito.

no guarda... fanno molta meno fatica di quel che credi, basta spulciare un db di vulnerabilità di joomla ed estensioni, copiare il poc, dorkare un po' con google e a fine giornata ne hai un sacchetto pieno di siti bucati.

L'unica cosa che trovo utile è la mitigazione di continue richieste al login che si traducono in un flood e su server poco performanti possono rallentare la navigazione, ma bisognerebbe dedicarlo al login perchè molti bot sono maleducati e aggressivi ma spesso contribuiscono all'indicizzazione dei tuoi contenuti e se misuri la latenza delle request ...li banni tutti.

[marine]

Ciao MariaElenaBoschi,
concordo pienamente con te che questo plugin non difenda le vulnerabilità del CMS e che non esista in assoluto un qualcosa di "magico" che ci protegga pienamente.
Però, questo semplice plugin, come descritto dal suo autore, ci protegge da tutti quei "ragazzini" che, stanchi di giocare con la playstation, tentano, con sistemi automatizzati,  di indovinare la password per poter accedere al pannello amministrativo, nulla di più e nulla di meno.

[bellatrix]

Fate attenzione: ho dovuto disinstallare il plugin perchè dopo l'installazione un sito che gestisco (qiclubbing.com) è entrato "stranamente" sotto attacco da un ip proveniente dal sud America.
Non posso essere sicuro e non possiedo le competenze per analizzare il codice così a fondo.
Il provider mi ha sospeso il dominio tre volte e l'ultima, mi ha suggerito di cambiare isp perchè loro non erano in grado di difendere i loro server da un attacco simile.

Analizzando i log, gli ip cambiavano di continuo anche la classe, quindi, diventava difficoltoso gestire un server condiviso.

Sta di fatto che dopo averlo disinstallato, la situazione è rientrata nella totale normalità e per sicurezza, ho rimosso il plugin su tutti i siti che gestisco.

Prendete la notizia con le pinze ma potrebbe essere un'occasione per analizzare il codice, se qualcuno è in grado, considerando che sono sufficienti poche righe distribuite in modo strategico.

[Stefano Elix]

Salve a tutti
dopo che ho installato questo pug-in e fatto tutti settaggi come descritto all'articolo  http://www.joomla.it/e-ancora/articoli-community-3x/8210-difendersi-dagli-attacchi-al-login-amministrativo-con-brute-force-stop.html
non riesco piu ad accedere al lato admin del sito

qualcuno sa come disistallarlo

Grazie

[bellatrix]

Beh... intanto puoi cambiare IP (riavvia il router) e ritentare ad accedere perchè evidentemente sbagli password.

[Stefano Elix]

Provato tutto e di piu
riavviato il rooter si - cambiato anche da adsl telecom a adsl con cubo
cancellato tutti i file sia sullo spazio web che nel db ma niente
e stato piu facile rimmettere il back-up dei file dello spazie e del db
e tutto torna a funzionare
non lo usero piu per il momento
quando avro tempo forse provero a vedere se risolòvo il problema ma per adesso lo cestino e passo ad altro
Grazie a tutti

[bellatrix]

Probabilmente, era sufficiente rinominare la directory che contiene il plugin, via FTP.
Entravi, assegnavi nuovamente il nome corretto alla directory e disinstallavi. 

[Stefano Elix]

Probabilmente, era sufficiente rinominare la directory che contiene il plugin, via FTP.
Entravi, assegnavi nuovamente il nome corretto alla directory e disinstallavi. 

come detto prima o provato a cancelare le cartelle e le query sul db ma niente in tutti i modi.
Grazie comunque