Dovrei essere preoccupato per un attacco al dizionario molto lento?

Naviga le tue risposte
7

Ho installato fail2ban sul mio server di posta, e i log mostrano 4-5 IP che colpiscono regolarmente il mio server a intervalli di grandi dimensioni (quindi non abbastanza spesso da attivare le regole di fail2ban): 

2017-10-04 06:29:04,705 fail2ban.filter         [1091]: INFO    [postfix-sasl] Found 92.xxx.xxx.11
2017-10-04 07:14:35,674 fail2ban.filter         [1091]: INFO    [postfix-sasl] Found 37.xxx.xxx.118
2017-10-04 08:01:29,732 fail2ban.filter         [1091]: INFO    [postfix-sasl] Found 37.xxx.xxx.118
2017-10-04 08:08:45,221 fail2ban.filter         [1091]: INFO    [postfix-sasl] Found 92.xxx.xxx.11
2017-10-04 08:48:00,802 fail2ban.filter         [1091]: INFO    [postfix-sasl] Found 37.xxx.xxx.118
2017-10-04 09:36:07,958 fail2ban.filter         [1091]: INFO    [postfix-sasl] Found 37.xxx.xxx.118
2017-10-04 09:48:59,830 fail2ban.filter         [1091]: INFO    [postfix-sasl] Found 92.xxx.xxx.11
2017-10-04 10:23:22,123 fail2ban.filter         [1091]: INFO    [postfix-sasl] Found 37.xxx.xxx.118
2017-10-04 11:12:03,283 fail2ban.filter         [1091]: INFO    [postfix-sasl] Found 37.xxx.xxx.118

Gli IP sono tutti VPS, appartenenti a Digital Ocean, OVH e simili. Un calcolo di back-of-the-envelope mostra che, se l'hacker controlla una password ogni 40 minuti, esaurirà un dizionario di 10.000 parole in poco meno di un anno. (Non che le mie password siano parole del dizionario, intendiamoci). Immagino che possa pagare se l'aggressore sta colpendo migliaia di server contemporaneamente.

Dovrei essere preoccupato per questo tipo di attacchi?

    
posta Mihai 13.10.2017 - 20:12
fonte

4 risposte

8

Basta bloccarli modificando l'intervallo di tempo nella tua regola jail. 

bantime  = 10800 ;3 hours
findtime  = 86400 ;1 day
maxretry = 5

Se un utente malintenzionato fallisce 5 volte in un giorno, verrà bloccato per 3 ore o puoi aumentarlo in base al tuo desiderio.

Prevenire il più possibile, prima che sia troppo tardi.

    
risposta data 14.10.2017 - 00:29
fonte
1

A back-of-the-envelope calculation shows that, if the attacker checks one password every 40 minutes, they'll exhaust a 10 000-word dictionary in a little less than a year. (Not that my passwords are dictionary words, mind you).

Se le tue password non sono parole del dizionario, calcolare il tempo necessario per passare attraverso un dizionario non è un calcolo molto utile, vero? Calcola quanto tempo ci vorrebbe per forza bruta la tua password.

Dato questo, assicurati di ruotare le tue password molto prima che vengano scoperte. È buona pratica farlo regolarmente, comunque, perché le password possono perdere in tutti i tipi di posti inaspettati.

Dato che hai notato questo attacco, sentiti libero di regolare le regole di fail2ban per bloccarlo di più (se non sei preoccupato per l'impatto legittimo degli utenti nel rafforzarle). Quindi puoi prendere in considerazione la nuova velocità quando esegui il calcolo del "tempo scaduto fino alla fine".

    
risposta data 15.10.2017 - 21:16
fonte
0

Mi piace determinare la minaccia degli attacchi del dizionario eseguendoli contro me stesso usando i file dei dizionari popolari scaricati su SkullSec.

rockyou.txt è uno strumento decente e aggiungere le tue squadre sportive locali è un ottimo metodo per discernere il tuo rischio di hacking del dizionario.

MA al ritmo dell'attacco che stai vivendo ora ... puoi essere meno preoccupato finché non iniziano a eseguire ulteriori e complessi attacchi a più livelli che potrebbero indicare un intruso motivato in modo specifico dopo il / i tuo / i sito / i.

    
risposta data 13.10.2017 - 20:27
fonte
-2

Probabilmente stai vivendo un attacco "knockknock" come descritto qui: link

Colpisce molte aziende, quindi non sarei sorpreso.

Se hai password sicure, il rischio è piuttosto basso. Con password sicure, anche 1 milione di tentativi non dovrebbe avvicinarsi al cracking.

È possibile bloccare gli IP in questione o segnalare un abuso, ma è improbabile che lo interrompa completamente perché gli IP cambieranno. Non è nemmeno troppo di cui preoccuparsi. Oppure, se gli IP sono di proprietà dell'attaccante e non di alcuni vps hackerati, puoi lanciare un attacco ddos usando server con IP spoofing abilitato e usando l'amplificazione UDP >:)

È possibile testare la complessità della password del proprio ambiente eseguendo mimikatz su un controller di dominio per scaricare tutti gli hash delle password e quindi eseguire un attacco di forza bruta con Hashcat utilizzando elenchi di parole e regole.

    
risposta data 13.10.2017 - 21:35
fonte

Leggi altre domande sui tag

Implementazione di riferimento dell'hash e della verifica della password C # I cookie crittografati sono vulnerabili agli attacchi di Padding Oracle