Stressweb - брутят

[pchayka]

Цитата:

Сообщение от RomkaCW

Вот префикс и служит от защиты подбора заранее известных акков, слитых с других серверов.

даже если он знает аккаунт - не зная пароля и с нормальной системой блокировки он может обломиться сразу же.

ну вот логин у меня admin, а дальше что.

[Visor]

Цитата:

Сообщение от RomkaCW

Вот префикс и служит от защиты подбора заранее известных акков, слитых с других серверов. Не забывайте, что можно еще и вручную их пробивать, вбивая в сам клиент. Так же видел брут-автокликер, который работал именно через клиент, автоматом вбивая в него данные.
А автобана за N кол-во попыток неудачного логина в клиенте я еще нигде не видел.

У меня так на логин-сервере. Поэтому брутеры и обламываются быстро на логин пробивать.

Добавлено через 55 секунд

Цитата:

Сообщение от pchayka

То, что игроки - идиоты меня убеждать нет толку, закрепленный факт.


Что значит вычислить пароль и аккаунт через страницу на сайте? По айпи вычислить или как?

А блокировать возможность авторизации на аккаунт в вебе после n попыток - это дело тривиальнейшее.

Может быть прокси 25к фейк ИП - вычисляй)

[pchayka]

Вот и мне непонятно что там можно вычислить в вебе том.

[Romka]

Цитата:

Сообщение от linliss

зайдите к конфиг логин сервера

Беру свои слова обратно, я перегрелся

Самый надежный метод - рандомные логины из 16 букв/цифр

[Visor]

Насчет как можно вычислить.

Берут базу аккаутов паролей грузят в брутер, брутер настраивают на страницу где есть авторизация в личный кабинет, или авторизации на сайте но под реальными аккаунтами - и вперед. Потом брут отсеивает в файлик тру аккаунты с паролями. Потом брутер садится и спокойно чешет по аккаунтам и сгребает шмот - а потом его этим же игрокам и продает.

[pchayka]

Цитата:

Сообщение от Visor

Берут базу аккаутов паролей грузят в брутер, брутер настраивают на страницу где есть авторизация в личный кабинет, или авторизации на сайте но под реальными аккаунтами - и вперед. Потом брут отсеивает в файлик тру аккаунты с паролями. Потом брутер садится и спокойно чешет по аккаунтам и сгребает шмот - а потом его этим же игрокам и продает.

Ну это сработает только если у автора веба мозг рака. 2 попытки на аккаунт это не брут.

[Visor]

Цитата:

Сообщение от pchayka

Ну это сработает только если у автора веба мозг рака. 2 попытки на аккаунт это не брут.

Ну 2 раза с 1 ип, 2 раза с другого и так 25к раз....
Я просто описал стратегию защиты, это не только от брута. Сайт одно из слабых мест л2 серверов сейчас.
К примеру через сайт если сайт легко на инъекции делать, то можно к примеру стянуть файл паролей сервера или свн-а, можно зафигачить итем в базу себе - к примеру немерянно донат валюты и прочее. Ну и конечно брутить аккаунты просто - это самое безобидное из того что можно сделать если нет комплексной защиты.

[pchayka]

Цитата:

Сообщение от Visor

Ну 2 раза с 1 ип, 2 раза с другого и так 25к раз....

А причем тут IP вообще

Цитата:

Account vasya, failed login attempts: 3. Action: block login access for 30min.

[Visor]

Цитата:

Сообщение от pchayka

А причем тут IP вообще

Брутер не брутит 1 аккаунт, он перебирает базу, и обычно имеет кучу настроек чтобы подстроить под конкретный сервер. Ну будет через 5 раз возвращаться к аккаунту - легче от этого не станет - пробутит все рано такой подход как вход на 1 аккаунт. Он же может зайти на аккаунт и сразу выйти - этого достаточно - акк ушел в файл тру аккаунтов.

Тут речь идет о веб бруте, это не логин-сервер - в нем все проще.

[pchayka]

После пары попыток аккаунт для него отключится на полчаса например, и хоть как он будет настроен, он не обойдет эту железобетонную систему.

Ну запросит он по 3 пароля на 25к аккаунтов, во-первых он это делать будет 25к*timeout логин-попытки, во вторых получит на каждый из них 30 минут (можно и более) общего таймаута, в третьих ни одного аккаунта не подберет за это время.

Такой брут нафиг не нужен.

Добавлено через 42 секунды

Цитата:

Тут речь идет о веб бруте, это не логин-сервер - в нем все проще.

Какая разница какой, суть одна и та же может быть и там и там.