Форум администраторов игровых серверов
Страница 4 из 11 123 4 5678910 Последняя »
Показывать 40 сообщений этой темы на одной странице

Форум администраторов игровых серверов (https://forum.zone-game.info/TT.php)
-   Движки сайтов (CMS) (https://forum.zone-game.info/forumdisplay.php?f=47)
-   -   Stressweb - брутят (https://forum.zone-game.info/showthread.php?t=19011)

pchayka 09.04.2012 00:12
Re: Stressweb - брутят
 
Цитата:
Сообщение от RomkaCW (Сообщение 176756)
Вот префикс и служит от защиты подбора заранее известных акков, слитых с других серверов.
даже если он знает аккаунт - не зная пароля и с нормальной системой блокировки он может обломиться сразу же.

ну вот логин у меня admin, а дальше что.

Visor 09.04.2012 00:18
Re: Stressweb - брутят
 
Цитата:
Сообщение от RomkaCW (Сообщение 176756)
Вот префикс и служит от защиты подбора заранее известных акков, слитых с других серверов. Не забывайте, что можно еще и вручную их пробивать, вбивая в сам клиент. Так же видел брут-автокликер, который работал именно через клиент, автоматом вбивая в него данные.
А автобана за N кол-во попыток неудачного логина в клиенте я еще нигде не видел.
У меня так на логин-сервере. Поэтому брутеры и обламываются быстро на логин пробивать.

Добавлено через 55 секунд
Цитата:
Сообщение от pchayka (Сообщение 176757)
То, что игроки - идиоты меня убеждать нет толку, закрепленный факт.


Что значит вычислить пароль и аккаунт через страницу на сайте? По айпи вычислить или как?

А блокировать возможность авторизации на аккаунт в вебе после n попыток - это дело тривиальнейшее.
Может быть прокси 25к фейк ИП - вычисляй)

pchayka 09.04.2012 00:21
Re: Stressweb - брутят
 
Вот и мне непонятно что там можно вычислить в вебе том.

Romka 09.04.2012 00:24
Re: Stressweb - брутят
 
Цитата:
Сообщение от linliss (Сообщение 176758)
зайдите к конфиг логин сервера:redlol:
Беру свои слова обратно, я перегрелся:redlol:

Самый надежный метод - рандомные логины из 16 букв/цифр :redlol:

Visor 09.04.2012 00:25
Re: Stressweb - брутят
 
Насчет как можно вычислить.

Берут базу аккаутов паролей грузят в брутер, брутер настраивают на страницу где есть авторизация в личный кабинет, или авторизации на сайте но под реальными аккаунтами - и вперед. Потом брут отсеивает в файлик тру аккаунты с паролями. Потом брутер садится и спокойно чешет по аккаунтам и сгребает шмот - а потом его этим же игрокам и продает.

pchayka 09.04.2012 00:27
Re: Stressweb - брутят
 
Цитата:
Сообщение от Visor (Сообщение 176765)
Берут базу аккаутов паролей грузят в брутер, брутер настраивают на страницу где есть авторизация в личный кабинет, или авторизации на сайте но под реальными аккаунтами - и вперед. Потом брут отсеивает в файлик тру аккаунты с паролями. Потом брутер садится и спокойно чешет по аккаунтам и сгребает шмот - а потом его этим же игрокам и продает.
Ну это сработает только если у автора веба мозг рака. 2 попытки на аккаунт это не брут.

Visor 09.04.2012 00:29
Re: Stressweb - брутят
 
Цитата:
Сообщение от pchayka (Сообщение 176767)
Ну это сработает только если у автора веба мозг рака. 2 попытки на аккаунт это не брут.
Ну 2 раза с 1 ип, 2 раза с другого и так 25к раз....
Я просто описал стратегию защиты, это не только от брута. Сайт одно из слабых мест л2 серверов сейчас.
К примеру через сайт если сайт легко на инъекции делать, то можно к примеру стянуть файл паролей сервера или свн-а, можно зафигачить итем в базу себе - к примеру немерянно донат валюты и прочее. Ну и конечно брутить аккаунты просто - это самое безобидное из того что можно сделать если нет комплексной защиты.

pchayka 09.04.2012 00:32
Re: Stressweb - брутят
 
Цитата:
Сообщение от Visor (Сообщение 176769)
Ну 2 раза с 1 ип, 2 раза с другого и так 25к раз....
А причем тут IP вообще :ec:

Цитата:
Account vasya, failed login attempts: 3. Action: block login access for 30min.

Visor 09.04.2012 00:34
Re: Stressweb - брутят
 
Цитата:
Сообщение от pchayka (Сообщение 176770)
А причем тут IP вообще :ec:
Брутер не брутит 1 аккаунт, он перебирает базу, и обычно имеет кучу настроек чтобы подстроить под конкретный сервер. Ну будет через 5 раз возвращаться к аккаунту - легче от этого не станет - пробутит все рано такой подход как вход на 1 аккаунт. Он же может зайти на аккаунт и сразу выйти - этого достаточно - акк ушел в файл тру аккаунтов.

Тут речь идет о веб бруте, это не логин-сервер - в нем все проще.

pchayka 09.04.2012 00:37
Re: Stressweb - брутят
 
После пары попыток аккаунт для него отключится на полчаса например, и хоть как он будет настроен, он не обойдет эту железобетонную систему.

Ну запросит он по 3 пароля на 25к аккаунтов, во-первых он это делать будет 25к*timeout логин-попытки, во вторых получит на каждый из них 30 минут (можно и более) общего таймаута, в третьих ни одного аккаунта не подберет за это время.

Такой брут нафиг не нужен.

Добавлено через 42 секунды
Цитата:
Тут речь идет о веб бруте, это не логин-сервер - в нем все проще.
Какая разница какой, суть одна и та же может быть и там и там.


Текущее время: 07:15. Часовой пояс GMT +3.
Страница 4 из 11 123 4 5678910 Последняя »
Показывать 40 сообщений этой темы на одной странице

Powered by vBulletin® Version 3.8.6
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot