ParKeTematiKo

[hansolo]

Desde hace un par de días (aproximadamente) se estan produciendo unos ataques de login al foro.

Tenemos instalado un sistema anti Spam y anti Hack que intenta prevenir este tipo de ataques, el inconveniente es que alguno de nosotros, vamos a tener que ingresar un codigo de verificación cada día que se intente logear en el foro.

El un pequeño inconveniente, pero preferible antes que se apoderen (no entiendo con qué fin) de la cuenta personal.

Sólo queda esperar a que pase, si es que pasa, porque desconozco el motivo o cómo evitarlo, aparte claro, del sistema que tenemos actualmente.

Si alguien tiene más idea, soy todo orejas

[viancam]

A mi me ha pasado esta mañana ... te iba a mandar un privado ejejeje
_________________
Siempre estarás en mi vida

[Salva]

Me he quedado flipando cuando me ha salido el mensajito para meter el código... no entendía nada.

Pero bueno, como bien dices, toda medida de seguridad es buena.


_________________
El ayer es historia, el futuro incierto. El hoy es un regalo, por eso le llaman presente. Fuerza y honor

[hansolo]

El antilogin salta al 4º intento, y estos son los que hemos sido "atacados", por orden descendente, parece que va por grupos y son casi siempre los mismos:


1 Thu Jan 13, 2011 02:52 hansolo
2 Thu Jan 13, 2011 02:37 marcopolo
3 Thu Jan 13, 2011 02:02 Efrain
4 Thu Jan 13, 2011 01:50 fhran
5 Thu Jan 13, 2011 01:44 mariaibanez
6 Thu Jan 13, 2011 01:34 urko
7 Thu Jan 13, 2011 01:16 edmenahi
8 Thu Jan 13, 2011 01:07 pikinoski
9 Thu Jan 13, 2011 00:46 COCO
10 Thu Jan 13, 2011 00:42 SaFraX


11 Wed Jan 12, 2011 23:50 Tavo
12 Wed Jan 12, 2011 23:26 juande
13 Wed Jan 12, 2011 22:49 Forted
14 Wed Jan 12, 2011 22:45 hansolo
15 Wed Jan 12, 2011 22:35 marcopolo
16 Wed Jan 12, 2011 22:01 Efrain
17 Wed Jan 12, 2011 21:41 mariaibanez
18 Wed Jan 12, 2011 21:36 urko
19 Wed Jan 12, 2011 21:14 edmenahi
20 Wed Jan 12, 2011 21:07 pikinoski
21 Wed Jan 12, 2011 20:45 COCO
22 Wed Jan 12, 2011 20:40 SaFraX
23 Wed Jan 12, 2011 19:44 Tavo
24 Wed Jan 12, 2011 19:14 juande
25 Wed Jan 12, 2011 18:29 hansolo
26 Wed Jan 12, 2011 18:25 Forted
27 Wed Jan 12, 2011 18:11 marcopolo
28 Wed Jan 12, 2011 17:28 Efrain
29 Wed Jan 12, 2011 17:16 fhran
30 Wed Jan 12, 2011 17:08 mariaibanez
31 Wed Jan 12, 2011 16:58 urko
32 Wed Jan 12, 2011 16:34 edmenahi
33 Wed Jan 12, 2011 16:30 pikinoski
34 Wed Jan 12, 2011 15:57 COCO
35 Wed Jan 12, 2011 15:50 SaFraX
36 Wed Jan 12, 2011 14:44 Tavo
37 Wed Jan 12, 2011 14:13 juande
38 Wed Jan 12, 2011 13:22 Forted
39 Wed Jan 12, 2011 13:20 hansolo
40 Wed Jan 12, 2011 13:03 marcopolo
41 Wed Jan 12, 2011 12:23 Efrain
42 Wed Jan 12, 2011 12:10 fhran
43 Wed Jan 12, 2011 11:55 mariaibanez
44 Wed Jan 12, 2011 11:47 urko
45 Wed Jan 12, 2011 11:19 edmenahi
46 Wed Jan 12, 2011 11:13 pikinoski
47 Wed Jan 12, 2011 09:39 Tavo
48 Wed Jan 12, 2011 09:37 marcopolo
49 Wed Jan 12, 2011 09:09 juande
50 Wed Jan 12, 2011 08:21 hansolo
51 Wed Jan 12, 2011 08:19 Forted
52 Wed Jan 12, 2011 08:16 pikinoski
53 Wed Jan 12, 2011 07:07 fhran
54 Wed Jan 12, 2011 06:51 urko
55 Wed Jan 12, 2011 06:33 edmenahi
56 Wed Jan 12, 2011 04:50 Forted
57 Wed Jan 12, 2011 04:21 juande
58 Wed Jan 12, 2011 04:21 uskara
59 Wed Jan 12, 2011 03:35 hansolo
60 Wed Jan 12, 2011 02:50 Efrain
61 Wed Jan 12, 2011 02:37 cati
62 Wed Jan 12, 2011 02:37 fhran
63 Wed Jan 12, 2011 02:25 viancam
64 Wed Jan 12, 2011 02:25 mariaibanez
65 Wed Jan 12, 2011 02:18 urko
66 Wed Jan 12, 2011 01:55 edmenahi
67 Wed Jan 12, 2011 01:18 Pakito_val
68 Wed Jan 12, 2011 00:04 juande


69 Tue Jan 11, 2011 23:58 uskara
70 Tue Jan 11, 2011 23:22 hansolo
71 Tue Jan 11, 2011 22:35 Efrain
72 Tue Jan 11, 2011 22:32 cati
73 Tue Jan 11, 2011 22:26 fhran
74 Tue Jan 11, 2011 22:23 viancam
75 Tue Jan 11, 2011 22:21 mariaibanez
76 Tue Jan 11, 2011 22:11 urko
77 Tue Jan 11, 2011 21:54 edmenahi
78 Tue Jan 11, 2011 21:20 Pakito_val


Pues ya digo... ni idea

[pikinoski]

Bufff, me pensaba que me había equivocado de contraseña...Gracias por la aclaración.

[juande]

Puede estar sucediendo:

1. Si quien está haciendo esto se está cebando con este foro, habría que confiar en que se canse pronto, ya que adaptará el bot para que funcione con cualquier cambio que hagas en el mismo.
2. Un bot genérico activado para muchos foros. En este caso, te libras tan facilmente como añadiendo un nuevo elemento requerido a la hora de hacer login. En el caso de faltar este parámetro, mostrar el mensaje de que el usuario y la clave es incorrecta (para engañar). El usuario del foro ni se dará cuenta del cambio y el bot no conseguirá loguearse, ni acertando con la clave.

Yo me haría de las direcciones IP del atacante y comprobaría la localización de estas:
- Si pertenecen a España, pondría la oportuna denuncia (Recuerda que una dirección IP no sirve de nada si no va junto con una fecha y hora). Aunque seguramente será algún lamer tocando un poco los *******.
- Si no, sin saber cómo de variable pueda tener la IP el atacante, banearía un rango bien grande de esas IPs. (De tal forma que se conecte donde se conecte, no pueda acceder al foro)

Por lo pronto, me aseguraba de que todos los usuarios con permiso de administración del foro tienen una clave con números, letras mayúsculas, minúsculas y algún caracter especial. (Con una longitud de 8 carácteres mínimo) Romper esta configuración por fuerza bruta les llevaría muchísimos años.

En cualquier cosa que te pueda ayudar, me lo dices.
_________________
¡Hasta el infinito y más allá!

[Efrain]

Saludos Hansolo

Coincidimos con Juande, aunque mi especialidad en informática es el desarrollo de sistemas, he consultado con mi hijo CJ que también es Informático y compañeros de la oficina, me indican que para el caso de los administradores de Foros, tienen la posibilidad de tomar o registrar las IP´s que están accediendo o tratando de acceder, que si es posible esto, podrías obtener las IP´s nuestras que si puedes registrar y comparar contra esas que no estarían autorizadas.

Otro aspecto, la mayoria del foro son de España y Europa, los rangos de numeración de las IP´s tienen alguna afinidad, van a diferir del resto de mortales nosotros que tenemos otras numeraciones, asimismo puede ser que los accesos indebidos vengan de otras latitudes, es sabido que los chinitos tienen estas costumbres, pudiera venir de paises con esos intereses, también IP´s de "estudiantes" podrían ser ubicadas si corresponden a Universidades o Centros de estudios, algunas veces es la forma de demostrar que saben mucho. hasta que se lleban un majoncito de dedos o un güevacito

Todo esto cae en asuntos de seguridad y protección, si existe algún experto en el foro que te pueda apoyar, sería simplemente pedirselo y agradecerle de antemano, recuerda lo que dice la Biblia "pide y se te concederá", algunas veces no se hace creyendo que no es posible, pero si lo es


Pd. Por cierto, ya había observado este asunto cuando me pedia verificar con los dígitos o letras correspondiente al recuadro, me parecia que era algo de seguridad, aunque no entiendo que busca(n) el o los que estan tratando de ingresar, en mi caso mi password es facilísimo, porque no tengo nada que ocultar y lo peor que pasaría sería que editaran mis comentarios, pero nada más, sin embargo voy a tratar de hacerlo un poquillo más dificil para que no quede solo EFRAIN


Pd2. Esto último me lleva a reflexionar más y casi concluir que SI SON ESTUDIANTES los que están tratando de ingresar, porque?, porque esto es un Foro que en teoría no requiere o no necesita seguridades adicionales, es para el ocio no para negocios, por ello pueden hacer sus pruebas para romper la seguridad y demostrar a sus amigos y compañeros lo carguitas que son
_________________
Saludos Amigas y Amigos de Parketematiko.com!!!

[hansolo]

Sí, claro que tengo fecha, hora e IP, pero no se si ponerlo aquí en público. ¿debo? ¿Quereis alguno de los gurús que os lo pase?





PD: Vale, lo tengo en un google docs, si alguien quiere que me diga su cuenta gmail para compartirle la información

[juande]

La lista muestra todos los intentos fallados. ¿No?
_________________
¡Hasta el infinito y más allá!

[hansolo]

La lista muestra, quien ha sido bloqueado por realizar el 4º intento y ha entrado en "bloqueo"

[fly]

A mi me acaba de pasar, y como me han cambiado el pc en el trabajo pensaba que era por eso...
_________________
kisses!
fly


CAÑA Y A VOLAAAAAAAAAAAAAAAAR!!!!

[juande]

Por lo que veo, el atacante utiliza una red de anonimato llamada TOR:

http://www.torproject.org/

En esta red no se guardan registros de nada, así que es imposible encontrar al culpable.

Voy a ver si encuentro algo más...
_________________
¡Hasta el infinito y más allá!

[juande]

He podido acceder a la lista de todos los nodos de la red TOR que pueden acceder a pktk.com

https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=74.52.146.66

Y efectivamente... he comprobado que todas las IPs del atacante aparecen en esta lista.

Solución: Banear a todas las IPs de la red TOR del foro.

Inconvenientes:
- Nadie que utilice esta red (como proxy) de anonimato no podrá acceder al foro.
- La red TOR es dinámica y puede que en esa lista aparezcan o desaparezcan IPs. Eso sí... la probabilidad de que el atacante vuelva a conectar con una IP buena es casi igual a cero.

Si quieres te paso la consulta SQL para insertar todos los baneos de un tirón en la base de datos.
_________________
¡Hasta el infinito y más allá!

[hansolo]

Si porfa... Mandame la lista de IP's que las meto en el bloqueo de IP's y a otra cosa

[juande]

¡Enviada! Cuando lo apliques, coméntalo por aquí para saberlo. Se supone que con esos baneos puestos, el atacante no podrá volver a hacerlo desde la red TOR.

Por si a alguien le interesa, este es el script que he hecho en C# para generar el SQL. Genera el archivo de texto "sql.txt" con el código SQL para poner un baneo en el foro phpbb a todos los nodos actuales de la red TOR: