Autore Topic: Come difendersi dagli attacchi al login amministrativo con Brute Force Stop!  (Letto 5010 volte)

Offline marine

  • Team Joomla.it
  • Instancabile
  • *******
  • Post: 6165
  • Sesso: Maschio
    • Mostra profilo
Ciao,
In questo articolo spiego come utilizzare il plugin Brute Force Stop! per proteggere il login amministrativo del proprio sito dagli attacchi Brute Force.

Grazie dell'attenzione e buona lettura.

Link all'articolo: http://www.joomla.it/e-ancora/articoli-community-3x/8210-difendersi-dagli-attacchi-al-login-amministrativo-con-brute-force-stop.html
« Ultima modifica: 30 Mar 2016, 08:19:49 da alexred »

Offline MariaElenaBoschi

  • Appassionato
  • ***
  • Post: 469
    • Mostra profilo
Non capisco in base a che culto uno dovrebbe tentare un attacco bruteforce ad un login. Probabilmente chi lo fa lo fa solo per giocare o perchè non sa cosa sta facendo. Basta una buona password e un nome utente diverso da admin.

Quello che può portare disturbo è l'occupazione di banda che le continue richieste causano e non lo risolve un plugin, nessun plugin.

Non vedo nemmeno la difficoltà di bannare l'ip.. ce ne sono talmente tanti che si potrebbe usarne uno per ogni richiesta
mancano 2 giorni alla mia prematura dipartita, saluti a tutti, meb.

Offline ventus85

  • Instancabile
  • ******
  • Post: 6538
  • Sesso: Femmina
  • Affetta da Joomlaite
    • Mostra profilo
Ciao.
Grazie per l'articolo  :)

Da quando ho letto dal tuo articolo Brute Force Stop! è un plugin facile da configurare.
Purtroppo io credo che il blocco degli ip sia uno strumento non totalmente efficace: nella maggior parte dei casi se una persona è in grado e vuole attaccarti, è anche in grado di utilizzare ip diversi.
Tornando al discorso del blocco degli ip, secondo me se vuoi una protezione migliore devi abbinare il plugin anche ad altre soluzioni.
La lista degli accessi falliti è interessante, così uno può cercare di avere informazioni su chi vuole fare l'attacco e come e poi agire di conseguenza.
Anche la parte che riguarda il "ritardo" è interessante, appena posso andrò a spulciare il codice per vedere cosa fa di preciso.

E' ovvio che se uno usa come utente "admin" e password "admin" o "password" si merita di essere attaccato  ;D
Grazie ancora e buona giornata
Se volete aiuto non mandate messaggi privati, ma usate la funzione Cerca e postate sul forum, grazie!

Born in the wind, born to be wild!

Offline marine

  • Team Joomla.it
  • Instancabile
  • *******
  • Post: 6165
  • Sesso: Maschio
    • Mostra profilo
Ciao ventus85,
concordo pienamente con te che il plugin non offra un livello di sicurezza "totale", anzi, e che va implementato con altri componenti per aumentare il livello di sicurezza del sito, purtroppo però gli altri componenti che utilizzo e conosco sono a pagamento e non ho potuto citarli nell'articolo.
Mi trovi pienamente in accordo con te nel fatto che la lista degli accessi falliti sia molto utile come base per studiare una strategia di sicurezza adeguata.
E' vero che ci sono miriadi di IP e che il blocco od il ritardo non sono protezioni "definitive", ma almeno disturbano e scoraggiano l'azione di questi lamer che si stanno divertendo provando ad accedere al nostro sito.
Ciao!
« Ultima modifica: 31 Mar 2016, 12:54:06 da marine »

Offline MariaElenaBoschi

  • Appassionato
  • ***
  • Post: 469
    • Mostra profilo
la critica non è nell'articolo o nel plugin in oggetto è proprio nel pensare che la "sicurezza" si faccia così.
Spesso presuppone che chi scrive Joomla commetta errori e che quindi sia necessario introdurre qualcosa di magico che "difenda"; ma se così fosse lo avrebbero già introdotto nel cms, sono meno problemi anche per loro che spesso si trovano di fronte a 0day che fanno fatica a patchare.
Di fronte ad una vulnerabilità nel codice di un componente qualsiasi cosa tu abbia installato è facilmente inutile (vedi l'ultima della 3.4.5)
Citazione
ma almeno disturbano e scoraggiano l'azione di questi lamer che si stanno divertendo provando ad accedere al nostro sito.
no guarda... fanno molta meno fatica di quel che credi, basta spulciare un db di vulnerabilità di joomla ed estensioni, copiare il poc, dorkare un po' con google e a fine giornata ne hai un sacchetto pieno di siti bucati.

L'unica cosa che trovo utile è la mitigazione di continue richieste al login che si traducono in un flood e su server poco performanti possono rallentare la navigazione, ma bisognerebbe dedicarlo al login perchè molti bot sono maleducati e aggressivi ma spesso contribuiscono all'indicizzazione dei tuoi contenuti e se misuri la latenza delle request ...li banni tutti.
mancano 2 giorni alla mia prematura dipartita, saluti a tutti, meb.

Offline marine

  • Team Joomla.it
  • Instancabile
  • *******
  • Post: 6165
  • Sesso: Maschio
    • Mostra profilo
Ciao MariaElenaBoschi,
concordo pienamente con te che questo plugin non difenda le vulnerabilità del CMS e che non esista in assoluto un qualcosa di "magico" che ci protegga pienamente.
Però, questo semplice plugin, come descritto dal suo autore, ci protegge da tutti quei "ragazzini" che, stanchi di giocare con la playstation, tentano, con sistemi automatizzati,  di indovinare la password per poter accedere al pannello amministrativo, nulla di più e nulla di meno.

Offline bellatrix

  • Appassionato
  • ***
  • Post: 640
  • Sesso: Maschio
    • Mostra profilo
Fate attenzione: ho dovuto disinstallare il plugin perchè dopo l'installazione un sito che gestisco (qiclubbing.com) è entrato "stranamente" sotto attacco da un ip proveniente dal sud America.
Non posso essere sicuro e non possiedo le competenze per analizzare il codice così a fondo.
Il provider mi ha sospeso il dominio tre volte e l'ultima, mi ha suggerito di cambiare isp perchè loro non erano in grado di difendere i loro server da un attacco simile.

Analizzando i log, gli ip cambiavano di continuo anche la classe, quindi, diventava difficoltoso gestire un server condiviso.

Sta di fatto che dopo averlo disinstallato, la situazione è rientrata nella totale normalità e per sicurezza, ho rimosso il plugin su tutti i siti che gestisco.

Prendete la notizia con le pinze ma potrebbe essere un'occasione per analizzare il codice, se qualcuno è in grado, considerando che sono sufficienti poche righe distribuite in modo strategico.

Offline Stefano Elix

  • Esploratore
  • **
  • Post: 98
  • Sesso: Maschio
  • PhotoArt.it
    • Mostra profilo
Salve a tutti
dopo che ho installato questo pug-in e fatto tutti settaggi come descritto all'articolo  http://www.joomla.it/e-ancora/articoli-community-3x/8210-difendersi-dagli-attacchi-al-login-amministrativo-con-brute-force-stop.html
non riesco piu ad accedere al lato admin del sito

qualcuno sa come disistallarlo

Grazie
Stefano Palai - photography
http://www.photoart.it  -  http://www.fototour360.it  -  http://www.timelapseitalia.net
BUONA LUCE A TUTTI

Offline bellatrix

  • Appassionato
  • ***
  • Post: 640
  • Sesso: Maschio
    • Mostra profilo
Beh... intanto puoi cambiare IP (riavvia il router) e ritentare ad accedere perchè evidentemente sbagli password.

Offline Stefano Elix

  • Esploratore
  • **
  • Post: 98
  • Sesso: Maschio
  • PhotoArt.it
    • Mostra profilo
Provato tutto e di piu
riavviato il rooter si - cambiato anche da adsl telecom a adsl con cubo
cancellato tutti i file sia sullo spazio web che nel db ma niente
e stato piu facile rimmettere il back-up dei file dello spazie e del db
e tutto torna a funzionare
non lo usero piu per il momento
quando avro tempo forse provero a vedere se risolòvo il problema ma per adesso lo cestino e passo ad altro
Grazie a tutti
Stefano Palai - photography
http://www.photoart.it  -  http://www.fototour360.it  -  http://www.timelapseitalia.net
BUONA LUCE A TUTTI

Offline bellatrix

  • Appassionato
  • ***
  • Post: 640
  • Sesso: Maschio
    • Mostra profilo
Probabilmente, era sufficiente rinominare la directory che contiene il plugin, via FTP.
Entravi, assegnavi nuovamente il nome corretto alla directory e disinstallavi.  ;)

Offline Stefano Elix

  • Esploratore
  • **
  • Post: 98
  • Sesso: Maschio
  • PhotoArt.it
    • Mostra profilo
Probabilmente, era sufficiente rinominare la directory che contiene il plugin, via FTP.
Entravi, assegnavi nuovamente il nome corretto alla directory e disinstallavi.  ;)

come detto prima o provato a cancelare le cartelle e le query sul db ma niente in tutti i modi.
Grazie comunque
Stefano Palai - photography
http://www.photoart.it  -  http://www.fototour360.it  -  http://www.timelapseitalia.net
BUONA LUCE A TUTTI

 

Host

Torna su