Mint ahogyan arról már több fórumon, például az Indexen is beszámoltak, botnet hálózat bruteforce hadjáratot folytat WordPress és Joomla oldalak ellen. A támadás lényege, hogy megfertőzött gépekből álló hálózat próbálgatja az ezekkel a CMS rendszerekkel készült oldalak adminisztrátori felületnének jelszavait folyamatosan. A gyenge jelszavakat nagy valószínűséggel sikeresen feltörik, főleg olyan oldalaknál, ahol a tulajdonosok nem igen foglalkoznak a feltelepített oldallal. Szerencsére több megoldást is kínálunk, illetve szigorítottunk tűzfal beállításainkon is.
A legegyszerűbb megoldás
Természetesen a legegyszerűbb megoldás ha megfelelően biztonságos jelszót választunk. Ez legyen minimum 8 karakter hosszú, véletlen kis és nagy betűkből, számokból és 1-2 írásjelből álló jelszó. Mire egy ilyen jelszót feltörnek, mi is észre fogjuk venni a terhelésből, hogy valami nincs rendben a tárhellyel. A jelszó biztonság témában ajánlom korábbi cikkünket a Blogon Biztonságos a jelszavad? Ne hidd! címmel, valamint az Interneten is elérhető jelszó ellenőrzőt.
Érdemes még az alapértelmezett felhasználónevet is megváltoztatni, ami a legtöbb esetben admin.
Admin felület védelme IP cím tiltással
Ezt a módszert már több ügyfelünk használja sikerrel. Lényege, hogy csak azokat az IP címeket engedjük be az adminisztrátori felületre, amiről biztosan tudjuk, hogy a mi saját Ip címünk. A módszerről bővebben Segítség oldalunkon olvashatsz a Joomla és WordPress admin oldal korlátozása bejegyzésben.
Fejlesztettük tűzfalunkat
Sajnos a fentebbi módszerek nem 100%-osak, mert ugyan a támadó nem tudja az oldalt feltörni, a szerveren terhelést generál a folyamatos kísérletezéssel. A múlt héten szervereinken a tűzfalakat úgy fejlesztettük tovább, hogy folyamatosan figyelik a feltörési kísérleteket, és ha ilyet észlelnek, akkor a próbálkozó IP címét tiltják 5 sikertelen próbálkozás után.
Ennek eredménye, hogy a szerverek terheltsége észrevehetően csökkent, hiszen óránként több ezer ilyen próbálkozási kísérletet szolgáltunk ki eddig.
Természetesen előfordulhat, hogy valaki 5 alkalommal elrontja jelszavát, és ezért tiltásra kerül, de ebben az esetben Ügyfélszolgálatunk azonnal segít, és feloldja a tiltást.
8 Hozzászólás
Attila
Köszi, meg is változtattam a jelszavam. Az IP nálam nem használható, de remélhetőleg a jelszó elég erős lesz 🙂
törzsmókus
„minimum 8 karakter hosszú, véletlen kis és nagy betűkből, számokból és 1-2 írásjelből álló jelszó”
a belinkelt http://howsecureismypassword.net/ alapján a 16 sima betűből álló jelszavamat 345ezer év feltörni, míg a fenti idézetnek megfelelő jelszót 20 nap.
ellenben az enyémet ezerszer könnyebb megjegyezni…
lásd még: http://xkcd.com/936/
Péter
Sajnos a helyzet ennél azért picit bonyolultabb. Egyrészt az általunk ajánlott oldal valóban nem 100%-os, csak iránymutatás lehet, de annyi biztos, hogy minél több véletlen karaktert választasz, annál biztonságosabb. Másrészt amit belinkeltél azzal nem tudok egyetérteni. A feltörés első fázisa a szótár alapú próbálgatás, ami az adott példában 4 olyan szó kitalálását jelenti, ami biztosan szótári szó. Tehát a feladat megegyezik azzal, mintha négy tetszőleges karaktert kellene kitalálni. Ezt beírva az ellenőrző oldalba az eredmény: 0.000114244 seconds Természetesen több szó mint karakter van, de ez csak minimális nagyságrendi különbség.
Továbbra is tartom, hogy olyan jelszót kell választani, ami véletlen karakterekből épül fel, nem szótári szavakból, írásjeleket is tartalmaz, és minél hosszabb annál jobb!
Azt is meg kell jegyeznem, hogy a biztonság több lépcsőből áll össze, maga a jelszó csak az egyik. A támadók szoktak kódolt hash-t törni vagy gyakori eset az is, hogy az FTP programból az ügyfél gépén lopják ki a jelszót, ami aztán sajnos megegyezik az admin felületek jelszavával is.
törzsmókus
„Tehát a feladat megegyezik azzal, mintha négy tetszőleges karaktert kellene kitalálni. […] Természetesen több szó mint karakter van, de ez csak minimális nagyságrendi különbség.”
Ha kiszámoltad a két feladat entrópiáját, írd már ide kérlek a számítást. Én határozottan úgy emlékszem, hogy még ha feltételezzük, hogy a támadó ismeri a jelszó felépítését (4 szótári szó), _még úgy is_ a lovacskás verzió nyer.
(A száznál jóval kevesebb betű és az ötezer körüli átlag- ill. soktízezres szótári szókincs közti nagyságrendi különbség a negyedik hatványon már elég erős.)
törzsmókus
http://www.explainxkcd.com/wiki/index.php?title=936:_Password_Strength
itt a részletes számítás, amiből látszik, hogy az emlékeim nem csaltak.
Péter
Nem szeretnék itt vitaoldalt nyitni egy matematikai problémáról. Szerintem abban egyetértünk, hogy minél bonyolultabb és hosszabb a jelszó annál nehezebb próbálgatással feltörni, így mindenkinek javaslom, gondolja át amikor valahol az ‘123456’-ot adja meg jelszónak!