Продается скрипт защиты от подбора паролей

Скрипт IPBlocker - блокировка IP с которых подбираются пароли.

Если на Ваш сайт ломятся злобные хакеры, подбирая пароли, и у вас производится авторизация на основе .htaccess, то мой скрипт поможет Вам заблокировать хакеров. Скрипт вызывается из крона и анализирует лог-файл апача. При обнаружении 5 (настраиваемо) попыток взлома в течении текущих суток в файл .htaccess записывается команда блокировки IP с которого эти попытки осуществлялись. Блокировка IP производится на текущие сутки, ровно в полночь все блокировки снимаются (и набираются новые).

Скрипт стоит $30. Осуществляю всяческую поддержку, помощь в установке, адаптацию.

Подробности можно прочитать здесь http://7cos.info/ipblocker/readme.txt

Добро пожаловать в аську 214196692

сорри, что влез, но соотношение (цена/возможности скрипта) уж очень некрасивое...

PassHack Killer с аналогичными возможностями продается за $50...

Немного конструктивной критики.

На некотороых партнерках/платниках вести лог за сутки, так это сервер загнется
есть куда более приемлемые варианты, подороже правда, зато хорошо масштабируемые.

Кроме того не учитываются, страны, юзер-агенты и т.п.
То есть может от брутефорса оно и спасет, но от расшаривания логина нет.

Если что, то на больших платниках подбор выглядит так...
в течении часа с нескольких сотен ИП идет перебор к примеру 100к различных вариантов логинов\паролей. Т.е. в кучу потоков с разных ИП идет уйма одновременных запросов.
Через час если платник большой и мемберов много обычно УЖЕ найдут рабочий.
Так что даже не знаю для чего могут сгодиться предлагаемые скрипты

Mike Fox писал:

Немного конструктивной критики. На некотороых партнерках/платниках вести лог за сутки, так это сервер загнется

ну, собственно, если лог убивать каждый час, то блокировка будет в пределах часа - это достаточно, чтобы значительно усложнить подбор паролей.

Цитата:

Так что даже не знаю для чего могут сгодиться предлагаемые скрипты

ну так когда серьезные уроды берут квартиру, это выглядит не так, когда действуют любители какие-нибудь. так это ж не значит, что не надо двери закрывать
а потребители, поверь, есть.

Еще чуток конструктива.

1. Обычно брутфорсовую защиту ставят в виде скрипта на ErrorDocument 401. Для этого логи парсить совершенно не надо.

2. Блокировка делается не через Deny from, а через вставку правила в fw. Зачем насиловать апачу понапрасну?

3. Не по этому скрипту. Защита от мультилогина делается логин-инспектором, и тоже не через парсинг логов.

lega_cobra писал:

Еще чуток конструктива. 1. Обычно брутфорсовую защиту ставят в виде скрипта на ErrorDocument 401. Для этого логи парсить совершенно не надо. 2. Блокировка делается не через Deny from, а через вставку правила в fw. Зачем насиловать апачу понапрасну? 3. Не по этому скрипту. Защита от мультилогина делается логин-инспектором, и тоже не через парсинг логов.

lega_cobra и bog правы

скрипт в данном виде и с данным функционалом практически бесполезен. Брутфорсят в несколько потоков с сотнями проксей генерируя сотни тысяч запросов. Скрипт не спасет.

ну что ж, спасибо за конструктивную критику. думаю, что к середине-концу месяца скрипт будет переработан

однако, не вижу проблем в блокировании атаки при раскладе, изложенном bog`ом. даже если дергать его (скрипт) каждые 10 минут, то в среднем, через 5 минут после начала атаки используемые прокси будут заблокированы. если один пароль определяется при использовании набора проксей в течении часа, то здесь остается на взлом 5 минут, причем прокси будут заблокированы на сутки. то есть, из потенциальных 24 часов брутфорса остается 5 минут.

Вообще, подход к методу защиты от брутфорса (и производных от него методов, которые, кстати требуют на порядки меньше итераций), предлагаемый автором, в корне неверный и безсмысленный. Есть более эффективный метод, который при грамотной реализации сведет эффективность брутфорса до 0, да и вообще просто-напросто отобъет желание атакующего применять данный тип атаки. Сам метод банален до безобразия. Но стоит учитывать тот факт, что помимо брутфорса существует еще различное множество видов атак, которые даже не связаны с подбором паролей но при наличии дырок очень даже эффективны.

stillen писал:

Вообще, подход к методу защиты от брутфорса (и производных от него методов, которые, кстати требуют на порядки меньше итераций), предлагаемый автором, в корне неверный и безсмысленный. Есть более эффективный метод, который при грамотной реализации сведет эффективность брутфорса до 0, да и вообще просто-напросто отобъет желание атакующего применять данный тип атаки. Сам метод банален до безобразия.

что за метод?

stillen писал:

Вообще, подход к методу защиты от брутфорса (и производных от него методов, которые, кстати требуют на порядки меньше итераций), предлагаемый автором, в корне неверный и безсмысленный. Есть более эффективный метод, который при грамотной реализации сведет эффективность брутфорса до 0, да и вообще просто-напросто отобъет желание атакующего применять данный тип атаки. Сам метод банален до безобразия. Но стоит учитывать тот факт, что помимо брутфорса существует еще различное множество видов атак, которые даже не связаны с подбором паролей но при наличии дырок очень даже эффективны.

метод известен. поставить картинку типа Капчи и никакие брутеры не страшны. Но тогда возникает другая проблема - защиты тяжелого контента от хотлинка.