Конференция VBStreets

[Хакер]

Кто-то безуспешно пытается взломать мой аккаунт на фейсбуке (http://www.facebook.com/toxanbi).

Дело в том, что фейсбук после нескольких неудачных попыток ввода пароля шлёт на e-mail владельца аккаунта примерно такое письмо:

Здравствуйте, Владислав!
Мы сожалеем, что у вас возникли проблемы при входе в ваш аккаунт Facebook.

В нём же находится ссылка, пользуясь которой можно войти без пароля, чтобы потом, например, установить себе новый пароль.

И такие письма приходят регулярно, то есть кто-то пытается подобрать пароли, потому что у меня случаев, чтобы я вводил пароль неправильно не было (мне нет необходимости его вводить).

А поскольку пароль у меня 20-значный, я желаю анонимным хакерам удачи

Кстати, наверное подбор паролей идёт и на других сервисах, просто уведомления о неудачных попытках входа присылает только фейсбуке.

[ger_kar]

Кстати, наверное подбор паролей идёт и на других сервисах, просто уведомления о неудачных попытках входа присылает только фейсбуке.

Вобще это хорошая фитча. Еще бы дополнительно указывали IP, с которого была попытка войти. Может им написать, глядишь они и добавят. Хорошо у тебя все приходит на почту, а вот у меня на мобильник, которого у меня нет

[Proxy]

Вобще это хорошая фитча.

Лучше бы большие интервалы для попыток авторизации с одного IP для каждой учётки сделали (+ инкремент при каждой неудачной попытке). Тогда брутфорсеры разом бы обломились и некого было бы выслеживать.

[iGrok]

Лучше бы большие интервалы для попыток авторизации с одного IP для каждой учётки сделали (+ инкремент при каждой неудачной попытке). Тогда брутфорсеры разом бы обломились и некого было бы выслеживать.

Ой, ну список проксиков-то купить...

[ger_kar]

Ой, ну список проксиков-то купить...

Ну так купить...

[iGrok]

Ой, ну список проксиков-то купить...

Ну так купить...

Ну так за пару баксов. И использовать не по одному разу и не для одного "сервиса".
А ещё есть бесплатные...

[ger_kar]

Бесплатные конечно есть, огромные такие портянки списков из которых ничего толком не работает. Пока из этого списка все попробуешь опухнешь. А те что за пару баксов такие же или реально список работающих и актуальных? Я бы купил.
Ибо из-за узурпированного Назарбаевского режима в Казахстане, а нашей маленькой стране, которая получает нет от казахов, наблюдаются проблемы доступа к некоторым ресурсам. И эти ограничения надо как-то обходить

[Proxy]

Ой, ну список проксиков-то купить...

Эти сети могут держать гигабайты пользовательского контента и не могут отследить 100-200 последних IP и времени неудачных попыток авторизации. Глупо как-то.
Достаточно одной таблицы с id учётки, IP, с которого была осуществлена попытка авторизации и датой/временем этой попытки. Ну и хранить для каждой учётки только 200 записей, например (или просто удалять записи старше установленного интервала авторизации, так удастся даже рационально использовать бд).
Всяко эта же информация фиксируется в логах, вот только разумно не используется для авторизации, хотя ресурсов потребляет столько же.
Т.е. при авторизации ищем ид учётки по логину, ищем в таблице данный IP адрес и учётку, если находим и интервал времени не прошёл, то присылаем сообщение об ошибке (либо просто скипаем воизбежание уязвимости к ddos). Если не находим, но пасс не совпал, то заносим в таблицу (подчищая в этот момент лишние записи, связанные с этой учёткой).
Да и можно интервал ограничения авторизации не привязывать к IP, всё равно смысл в бруте с использованием прокси листа отпадёт (правда тогда появится возможность не давать владельцу авторизоваться, расходуя все попытки ботом).

И кстати, по поводу прокси:
Не встречались попытки использования TOR для брута вместо списков прокси? Мне кажется, что ничто не должно помешать работе самодельного клиента TOR, который бы автоматом "менял личину" после каждого ответа сервера жертвы. Странно, что не видел пока такого. Разве что параллельно несколько сессий создать может не получиться (быть может они этот момент предусмотрели, я не знаю), а в одну сессию ничего не выйдет использовать из-за латентности. TOR по своей сути вполне себе ботнет.

Пока из этого списка все попробуешь опухнешь.

Зачем же это делать вручную? Достаточно скормить скрипту сканеру, который оставит только действующие. Пару процентов с каждого публичного списка выкроить можно. Есть даже ресурсы, которые собирают список из других списков, при этом проверяя каждую запись.
Проблема не в этом, а в том, что как-только прокси появится в одном из таких списков — его сразу нагружают так, что всякий смысл в нём отпадает (явно не вручную, боты сразу кидаются, они видимо сами отслеживают). Соответственно платные таким не страдают.

[Qwertiy]

Проблема не в этом, а в том, что как-только прокси появится в одном из таких списков — его сразу нагружают так, что всякий смысл в нём отпадает (явно не вручную, боты сразу кидаются, они видимо сами отслеживают). Соответственно платные таким не страдают.

Для файлообменников и подобных целей вполне годятся бесплатные Несколько раз использовал.