[轉貼] 密碼暴力攻擊

Announcement
竹貓星球所有重要公告,會不定時公佈。請隨時注意,以及新人必看!
版面規則
(請使用接收正常的郵件帳號申請註冊,此區僅供瀏覽,本區進站必看。)
(請會員盡量不要使用免費郵件註冊。)
主題已鎖定
頭像
心靈捕手
默默耕耘的老師
默默耕耘的老師
文章: 8510
註冊時間: 2004-04-30 01:54
來自: Taiwan

[轉貼] 密碼暴力攻擊

文章 心靈捕手 »

大家好!

在上個禮拜,由一個惡毒的團體嘗試以蠻力登入 phpBB.com 沒有成功,它引起了我們的注意。
這個攻擊透過在搜尋引擎上查詢「powered by phpbb」而進行。
雖然這個攻擊因為 phpBB 包含許多功能以確保不易受此攻擊而沒有成功,
但是使用者應該採取一些措施以確保論壇獲得適當的保障。

攻擊解析
要執行此攻擊,攻擊者先在論壇註冊一個帳號,然後測試會員列表是否可提供他們獲得會員名單。
攻擊者使用自動化過程去註冊,以及自會員列表下載數以千計的使用者會員名稱,他們在此奪取了 5000 多筆以上的會員名稱。
收集這些資料之後,攻擊者重複地傳送登入論壇的申請而嘗試以蠻力登入。
然而,攻擊無法解決無效登入時需填 CAPTCHA(確認代碼),它是有限的嘗試次數,設定在「嘗試登入的最大次數」的選項中。

徵兆
這個攻擊的明顯跡象包含:
  • 使用者在最初的嘗試登入後,被要求輸入 CAPTCHA。
  • 伺服器負荷增加。
  • 自相同的 IP 位址重複地貼出「ucp.php?mode=login」的請求。
預防
phpBB 提供了幾個工具可以讓使用者減輕負擔。
  • 要成功阻止暴力登入,管理員必須確認設定「嘗試登入的最大次數」(透過 ACP > 安全姓設定)為一個小的數字(預設是 3),
    以確保如果嘗試登入失敗的次數過多時,將被要求輸入 CAPTCHA。
  • 此外,管理員必須要防止「新註冊會員」去檢視會員列表。
    要這麼做,得先確認啟用「新註冊會員」群組(透過 ACP > 會員註冊設定 > 「新會員文章限制」大於 0),
    然後,設定「權限 > 群組的權限 > 新註冊會員 > 進階的權限 > 可以檢視個人資料、會員列表、以及誰在線上列表 > 從不」。
  • 同時,由適當地密碼設定也可以減緩攻擊。
    確認您的密碼(以及您的會員之密碼)包含字母以及數字,不使用常用的字詞(例如:password、1234 等)。
    為您的論壇要求密碼的複雜性,可以在「 ACP > 會員註冊設定 > 密碼複雜度」設定。
雖然再次強調這次攻擊沒有成功,但是管理員應該採取以上的步驟去確保您的論壇以及會員們的安全。

如果您有任何關於執行這些過程的任何問題,那麼請在Support Forum 發表新的主題。

--
資料來源:
http://www.phpbb.com/community/viewtopi ... &t=1947925
施比受有福,祝福您好運! ^_^
歡迎光臨★★心靈捕手★★ :: 討論區
https://wang5555.dnsfor.me/phpBB3/
主題已鎖定

回到「系統公告區」