Что такое брутфорс
Брутфорс – взлом учетной записи методом подбора пароля с помощью перебора комбинаций. Поиск нужной комбинации до момента совпадения можно автоматизировать с помощью специальных программ. Чем длиннее пароль, тем меньше вероятность, что брутфорс поможет взломать аккаунт.
В переводе с английского «brute force» – «грубая сила». У брутфорса есть еще одно название – метод исчерпывания, так как для достижения цели применяются все возможные сочетания символов и отбрасываются неподходящие варианты.
Чтобы обхитрить хакера, вы должны думать, как хакер
Теперь настало время ответить на главный вопрос: как уберечь сервер от брута? Один из самых простых советов, которым, тем не менее, не следует пренебрегать — своевременно обновлять систему и ПО сервера. Также можно установить ряд дополнительных программ и настроек. Рассмотрим несколько наиболее действенных стратегий.
Что делать, если ничего не помогает
Вы поставили надёжный пароль, проверили активных пользователей, ограничили число авторизаций, но ресурс всё равно тормозит и медленно откликается? Возможно, злоумышленники успели проникнуть на сервер заранее и «замести следы», оставив бэкдор, или же придумали новые хитроумные способы обхода ваших методов защиты.
Взлом сервера и доступ злоумышленников к важным данным может привести к критическим последствиям и потере огромных сумм денег: например, из-за отсутствия защиты от брутфорса в системе бронирования могла пострадать 141 авиакомпания. Также известны случаи многократных попыток взлома сайтов, работающих на WordPress, с целью нелегального майнинга или дальнейших атак.
Защита сервера от подобных ситуаций — непростая задача, требующая вмешательства высококвалифицированных специалистов по безопасности. Многие провайдеры вместе с арендой сервера предлагают услуги администрирования — поэтому, чтобы обезопасить «дедик», лучше доверить его профессионалам.
Brute-force (атака полным перебором) – что это и как его использовать
Bruteforce, или брутфорс — это метод взлома, при котором хакер или тестировщик подбирают данные для входа в систему. Классический пример — попытка угадать или подобрать пароль.
Название переводится как «грубая сила» (brute force): при переборе хакер как будто напролом. Во время такого взлома человек или программа за короткое время вводят в систему множество комбинаций паролей на случай, если одна из них окажется верной.
Еще один вариант названия — полный перебор. Это метод подсчета, на котором основан этот тип атаки.
Брутфорс проще, чем многие другие способы, но эффективен в основном для взлома аккаунтов с простыми паролями. Сложные комбинации, шифровки и фразы подобрать сложно.
- Пентестеры, которые проверяют, какими методами и с какой легкостью можно проникнуть в тестируемую систему. Они находят уязвимости, а простые пароли, которые можно подобрать с помощью брутфорса, — одно из возможных слабых мест.
- Хакеры, которые взламывают системы или аккаунты пользователей по заказу работодателя или по собственной инициативе. Этичные хакеры работают исключительно по требованию компаний, которые хотят проверить собственную уязвимость к разным методам взлома.
- Обычные пользователи, например при потере пароля. Это нельзя назвать брутфорсом, но любой подбор собственных забытых данных имеет его черты.
О том, кто такой этичный хакер, можно прочитать в нашей статье.
Методы могут быть разными: часто для атаки нужна предварительная подготовка. Подбирать и логин, и пароль одновременно трудно, поэтому хакеру может потребоваться база email, никнеймов или телефонных номеров. Не всегда ее надо взламывать: иногда достаточно методов социальной инженерии. Потом с известными логинами хакер или пентестер будет подбирать пароль.
Во время атаки специалист вводит множество комбинаций, которые могут быть паролями, и пытается авторизоваться. Обычно для этого используется специальная программа. Иногда для долгого подбора требуются мощности не обычного ПК, а, например, сервера.
Если пароль подходит, авторизация успешно завершается. Хакер или пентестер получает доступ к аккаунту пользователя или системе. Чтобы добиться результата, может потребоваться несколько тысяч или даже больше попыток ввести пароль.
Подбирать пароли вручную долго и неэффективно. Поэтому у хакеров есть специальные приложения и алгоритмы действий, которые помогают при брутфорсе.
Специальное ПО. Программное обеспечение автоматически отправляет запросы с разными паролями, а иногда еще и генерирует их. Его работа остановится, если какой-либо пароль подойдет.
Специальное ПО для взлома может входить в дистрибутив Kali Linux. Это ОС для тестирования на проникновение и хакерства.
Тест:Настоящая хакерская атака или сюжет фильма?
Базы паролей. Пароли можно генерировать автоматически. Тогда это будут случайные последовательности символов с заранее заданными настройками. Но так взлом может быть очень долгим. Если комбинация сложная, подбор пароля может занять дни или годы.
Поэтому хакеры пользуются базами — специальными наборами с популярными комбинациями. В них попадают пароли, которые были скомпрометированы злоумышленниками, и простые популярные комбинации вроде «111» или «qwerty».
Скомпрометированные пароли важны, потому что человек может пользоваться одним и тем же паролем в разных сервисах. Хотя при пентесте этот способ не слишком актуален.
Также базу можно выгрузить из системы, которую собирается атаковать пентестер. Для этого используется Metasploit или другие подобные программы. Но в таком случае пароль указывается в связке с логином, и подбирать его нет необходимости.
Социальная инженерия. Это комплекс методов для психологического «взлома» человека, способы так или иначе получить от него нужную информацию или доступ к ней.
Социальную инженерию можно применять, чтобы иметь общее представление о пароле пользователя, или, например, найти его логин. Базовые методы — узнать Ф.И.О., дату рождения, имена ближайших родственников и прочие данные, которые могут использоваться для доступа.
Ограничивать количество попыток на ввод пароля. За 10 или 15 попыток хакер вряд ли сможет подобрать нужную комбинацию, а владельцу аккаунта этого достаточно, чтобы вспомнить пароль.
Использовать системы обнаружения взлома. Они отслеживают подозрительное поведение и сохраняют информацию об устройстве, на котором оно отмечено. Также системы обнаружения взлома автоматически защищают аккаунт.
Просить пользователей придумывать сложные пароли. Чем сложнее комбинация, тем труднее взломать ее брутфорсом. Поэтому сейчас в большинстве крупных компаний специалисты должны создавать пароли с буквами разного регистра, цифрами и спецсимволами.
Пентестеры все равно проверяют аккаунты с помощью брутфорса: эта мера защиты только кажется очевидной. Сложные атаки могут демонстрировать нетипичное поведение и обходить защитное ПО.
Пытаться взломать работающие системы без разрешения их владельцев — нарушение законодательства. Чтобы попробовать воспользоваться брутфорсом, можно использовать для этого специальные «учебные» сайты и дистрибутивы операционных систем. В них намеренно есть уязвимости, чтобы начинающие пентестеры могли практиковаться во взломе разной сложности.
Программное обеспечение для брутфорса можно скачать вместе с Kali Linux или после установки нужного дистрибутива ОС. Не забудьте отключить антивирус и брандмауэр перед запуском.
Crunch
Словарь с пользователями мы взяли небольшой и записали в него 4 пользователя.
Для составления словаря используется Crunch, как встроенное средство. Инструмент гибкий и может составить словарь по определенной маске. Если есть вероятность того, что пользователь может использовать словарный пароль, то лучше воспользоваться уже готовыми решениями, тем более, что, как показывает практика, самый популярный пароль – 123456.
Генерировать словарь будем на 5 символов по маске. Данный метод подходит для случаев, когда мы имеем представление о структуре пароля пользователя.
crunch 5 5 qwe ASD 1234567890 -t @@,%@ -o /root/wordlist.txt
5 – минимальное и максимальное количество символов;qwe, ASD, 1234567890 – используемые символы;-t – ключ, после которого указывается маска для составления пароля;@ – нижний регистр;, – верхний регистр;% – цифры.
Сразу отметим, что на первых этапах мы будем для каждого инструмента описывать используемые ключи, но далее те же самые ключи уже не будут рассматриваться подробно, поскольку они крайне похожи друг на друга, а значит, имеют аналогичный синтаксис.
Hydra
Как мы уже знаем, при неверной аутентификации возвращается код 200, а при успешной — 302. Воспользуемся этой информацией и выполним команду:
Metasploit
Произведем поиск инструмента для проведения brute-force атаки по SSH:search ssh_login
Задействуем модуль:use auxiliary/scanner/ssh/ssh_login
Metasploit, medusa
В Metasploit используем модуль auxiliary/scanner/ftp/ftp_login
Router scan by stas’m
Router Scan тоже прекрасно брут-форсит эти типы аутентификации, поскольку они активно применялись на роутерах прошлых поколений:
Возможно, для ваших целей стоит задуматься о дополнении или изменении поставляемых с Router Scan словарей, поскольку они всё-таки заточены под роутеры. Выше пример брут-форса IP адресов, которые я собрал случайно просканировав неверный диапазон. Как можно увидеть, даже с дефолтными словарями удалось подобрать пару паролей (правда один из этих хостов роутер, а второй DVR.
Ssh-ключи
Самый надёжный вариант — вообще отказаться от авторизации по паролю и использовать SSH-ключи. Это более безопасный способ, поскольку ключи практически не поддаются расшифровке. Их можно сравнить с ключами от вашего дома: они полностью уникальны, и открыть дверь смогут только те, кому вы их доверите. Подробнее о создании и использовании SSH-ключей можно прочитать в нашей справке.
Дедик, dedik, dedicated — зачем нужен выделенный сервер
Если вы далеки от администрирования, то могли подумать, что Дедик и Брут — это два друга (или недруга?) с экзотическими именами. Но нет — слово «дедик» образовалось от английского dedicated, а точнее Dedicated server. Сленговое название «дедик» означает, как нетрудно догадаться, выделенный сервер. Опытные пользователи уже знают обо всех преимуществах физических серверов, но на всякий случай мы напомним.
Dedicated server — это, по сути, полноценный компьютер, расположенный в дата-центре провайдера в отдельной стойке и работающий 24 часа в сутки 7 дней в неделю. В отличие от виртуального хостинга, на нём не будут размещены сайты других клиентов, что, несомненно, даёт ощутимые преимущества:
— Все ресурсы принадлежат вам, что делает работу сервера более стабильной.
— Можно выбрать любую версию любой операционной системы и настроить её на своё усмотрение, а также установить необходимое ПО.
— Вы будете осуществлять полноценное администрирование своего сервера с root-правами.
— Всё оборудование полностью изолировано и находится в отдельной стойке, что повышает безопасность и сохранность данных.
И, конечно же, на выделенном сервере нет ограничений на количество сайтов, баз данных и почтовых ящиков. Обычно «дедики» используются для крупных ресурсов или проектов, которым необходимо обеспечить бесперебойную работу даже при большом наплыве посетителей.
Но довольно теории, перейдём к практике. Представим, что ваш сайт вырос, просмотры растут, вы перенесли его на отдельный сервер — теперь можно радоваться новым возможностям и высокой пропускной способности. Так ли всё радужно на самом деле?
Как защититься
Исследователь безопасности Microsoft Росс Бевингтон предоставил статистику по 25 миллионам попыток брутфорс-атак. Выводы следующие:
- в 77% случаев взламывают пароли, содержащие до 7 символов;
- в 6% случаев – от 10 символов;
- в 7% случаев взламывают пароли с добавлением специального символа (например, !, @, #, $, %, ^, &, *, (, ), -, _, , =, ;, :, ., /, ?, , |, `, ~, [, ], {, }).
Из этого следует рекомендация: используйте длинный пароль, добавляйте специальные символы, настройте многофакторную аутентификацию и не сообщайте окружающим данные, которые содержатся в пароле.
Для компаний доступны и другие механизмы защиты информации:
- капча – дополнительный код, который пользователи переписывают с изображения в специальное поле;
- повторная аутентификация – отправка СМС на телефон или email на почту с уникальным кодом после ввода основного пароля;
- запрет входа в аккаунт после ряда неудачных попыток – временная блокировка пользователя после ввода неверного пароля более трех раз;
- список требований к паролю – определенное количество символов, использование цифр, латинских, заглавных букв и специальных знаков ($, ?, !, <, >, ”, #, %, @ и не только);
- принудительная периодическая смена пароля (например, раз в 3 месяца);
- подробная инструкция по восстановлению доступа к аккаунту и четкий алгоритм действий при подозрении на попытку взлома.
Усовершенствуйте клиентский сервис с помощью мультикнопки с ссылками на ваши мессенджеры и соцсети. Так пользователям будет проще с вами связаться. Виджеты Calltouch помогут увеличить конверсию сайта и привлекут новых клиентов и подписчиков.
Чтобы не стать жертвой взлома, не применяйте в качестве пароля:
- известные сочетания символов (например, agent007);
- комбинацию из символов, которые расположены на клавиатуре подряд: xswzaq, 987654321, zxcvbn и подобные;
- сведения о себе и родственниках: ФИО, дату рождения, кличку питомца, адрес, номер паспорта, страхового свидетельства и других документов;
- пароль от другого сервиса.
Сделайте пароль сложным, но запоминающимся, чтобы не приходилось оставлять напоминания в блокноте, заметках, сообщениях. Иначе повысится риск его кражи.
Классификация и способы выполнения брутфорс-атаки
Метод «грубой силы» доступен в трех видах:
Коротко о главном
- Брутфорс паролей – самый распространенный инструмент взлома учетных записей.
- Методом подбора достаточно легко узнать несложный пароль, особенно с помощью специальных хакерских программ.
- Для защиты своих данных не игнорируйте рекомендации по созданию надежного пароля. Используйте разные символы, сочетание которых невозможно угадать.
- Периодически меняйте пароль и используйте повторную аутентификацию.
Ограничения на авторизацию
Если вы по каким-то причинам всё равно предпочитаете использовать пароли, можно задать более строгие требования к аутентификации. Например, ограничить доступные попытки входа, указать максимальное число активных пользователей, завести чёрный список IP-адресов, задать тайм-аут, в течение которого нельзя повторно запросить авторизацию, и так далее.
Опасность брутфорса
Характер и степень риска зависят от целей злоумышленников и уровня защиты пользователей. Брутфорс можно применять в благих или преступных целях, как и любую новую технологию в сфере информационной безопасности. Например, беспилотник WASP создан для сбора показателей домашних сетей Wi-Fi, но при этом он способен автоматически взламывать пароли и перехватывать мобильные звонки с помощью брутфорса.
Использование брутфорса может обернуться уголовной ответственностью, согласно статье №272 УК РФ. А жертва взлома рискует репутацией и финансами. Особенно в случае взлома банковских систем и баз данных крупных корпораций.В 2021 году по данным Microsoft злоумышленники совершили около 14 миллиардов брутфорс-атак – это на 325% больше, чем в 2020.
Первый этап нам надо определить метод отправки данных из формы серверу :
get
Этот метод предназначен для получения требуемой информации и передачи данных в адресной строке. Пары «имя=значение» присоединяются в этом случае к адресу после вопросительного знака и разделяются между собой амперсандом (символ &).
post
Метод post посылает на сервер данные в запросе браузера. Это позволяет отправлять большее количество данных, чем доступно методу get, поскольку у него установлено ограничение в 4 Кб. Большие объемы данных используются в форумах, почтовых службах, заполнении базы данных, при пересылке файлов и др.
Пример формы, которая отправляет данные методом POST:
Поиск хостов с basic и digest аутентификацией
«Полезной нагрузкой», которая может найти хосты с Basic и Digest аутентификацией, может быть команда вида:
curl -v ХОСТ:ПОРТ 2> >(grep -o -i -E Unauthorized) > /dev/null
Примеры:
curl -v 100.101.7.161:8080 2> >(grep -o -i -E Unauthorized) > /dev/null curl -v 100.19.18.59 2> >(grep -o -i -E Unauthorized) > /dev/null
Если вы запутались в знаках >, то рекомендую вам разобраться, поскольку здесь используется довольно занимательная конструкция, которая имеет следующий результат:
Смена порта
Довольно тривиальный, но иногда действенный метод — поменять номер порта. Обычно все брутфорс-атаки направлены на стандартный порт 22. В файле конфигурации можно изменить его на 23 или любой другой — тогда вероятность попытки взлома снизится в несколько раз.
Цели брутфорса
Брутфорс используют, чтобы украсть:
Также после брутфорс-атак злоумышленники могут рассылать спам, продавать базы взломанных аккаунтов, вымогать деньги и совершать множество других противоправных действий.
Если хакер получил доступ к компьютерной сети, он сможет осуществить преступные действия от имени пользователей или шантажировать их.
Чекер
Первый и самый простой способ — установить специальную программу-чекер, которая будет проверять существующих на сервере пользователей. Вы сможете отслеживать IP-адреса, прокси, страну и город, что сразу позволит вычислить подозрительные аккаунты. Среди примеров таких программ: Lazy SSH, SSH checker, SSH Fresh checker для Linux-серверов.
https://www.youtube.com/watch?v=q1cVRxCp2Y0
Но чекер не предотвращает сам брут, а только находит тех, кому он удался. Поэтому для защиты от попыток взлома придётся покопаться в настройках сервера. Об этом ниже.