Od kiedy (czyli ~2 lat) mamy na naszym firmowym serwisie zainstalowany komponent do ochrony przez hackerami RSFirewall (rsjoomla.com) – od czasu do czasu lubię sobie poobserwować jak ludzie kombinują, aby się włamać do niego. Najśmieszniejsza część to oczywiście nieudane próby logowania do panelu administracyjnego.
Niestety szkoda, że Joomla od samego początku używa folder „/administrator” dla okna logowania do zaplecza, a nie generowany przez użytkownika nazwę folderu, ale pomińmy ten fakt. Tak więc, widzę jak na dłoni jakie hasła i loginy ludziki próbują wpisywać, aby się skutecznie wbić i mam niezły ubaw.
- admin / 123456 – jedno z najtrudniejszych matematycznych do złamania haseł
- admin / password1 lub admin/admin123 – to dla osób, które znają angielski i mają wiele serwisów, stąd pomysł na nieśmiertelne 1,2,3 dodane do hasła
- admin / qwerty – zestaw dla leworęcznych
- admin / admin – szczyt lenistwa administratora, albo tymczasowe hasło, które stało się wieczne
- admin / monkey – dla kochających zwierzęta
Na szczęście, żadne z tych haseł nie jest prawidłowe, pomijając już oczywisty fakt, że tylko ignorant pozostawia domyślny joomlowy login „admin”. Na szczęście w Joomla 2.5 nazwa użytkownika może zostać zmieniona już podczas instalacji. Odpukać od czasu instalacji tego rozszerzenia, nasza poczciwa astrologiczna strona stojąca jeszcze na J1.5 – ma się całkiem dobrze i działa bez zarzutu.
Przy okazji pragnę przypomnieć, że jeśli kogoś przeraża panel administracyjny w j.angielskim pragnę pocieszyć, dysponuje pełnym polskim tłumaczeniem tego komponentu.
RSFirewall jest niezastąpiony. Z resztą, mało jest konkurencyjnych komponentów, które podchodziłyby do kwestii bezpieczeństwa w Joomli! tak kompleksowo.
PS Jest jakaś możliwość Pawle, aby uzyskać jego spolszczenie, o którym wspomniałeś w artykule?
Pozdrawiam,
Marcin
A nie ma „admin/admin1” ? :)
Dodatek „Login Failed Log” załatwia podobne zadanie.
Powiadamia admina na e-mail o próbie logowania do panelu.
http://www.jm-experts.com/extensions-tools/login-failed-log
Wersje dla 1.5 – 2.5
i ten jest za darmo
Jasne, ale tylko wierzchołek góry lodowej.
A czy ten komponent, był sprawdzany czy obroni się jeżeli będzie prawdziwy atak? Jest jakieś zestawienie takiego testu? Bo to, że zapisuje hasło, jak ktoś się bawił… to raczej małe zabezpieczenie.
Interesuje mnie czy taki komponent przeszedł test na prawdziwym odparciu ataku, choćby xss lub sql injection? Są na to dowody? Oficjalny test, czy coś podobnego. Można znaleźć informacje na ten temat? Bo zapisywanie haseł i loginu podczas próby logowania to mało znacząca informacja.
Są, nie mówiąc juz o tym, że w 2011 roku jeden z ekspertów z branży testował kilka joomlowych komponentów do ochrony i ten wygrał.
nie używałem tego dodatku, ale z tego co piszecie on loguje próby logowania i przechowuje plain textem błędne loginy i hasła, tak?
A co z zasadą, że hasła nie powinny być przechowywane plain textem, i w ogóle admin nie powinien znać haseł użytkownika-tylko przechowywać hashe i móc zmienić hasło.
Oczywiście to trochę naciągane, ale wyobraźcie sobie, że ktoś jednak włamuje się do panelu, wyciąga wszystkie próby logowań i widzi błędne hasła i już to stanowi jakieś wskazówki do haseł prawidłowych, bo użytkownik uprawniony mógł np mieć włączony caps, albo wyłączonego numlocka.
Samo logowanie prób-ok, ale logowanie danych uwierzytelniających, zwłaszcza haseł to imho za daleko.
Expert z branży joomlowskiej to żaden Ekspert. Joomla! jest najbardziej podatnym na ataki systemem cms co udowodnił nie raz. Próba dostania się do panelu administratora, to żadna próba ataku, jedynie zabawa, którą joomlowcy traktują jako próby przejęcia ich serwisów.
Panie Pawle, czy może pamięta pan gdzie taki ranking z tym testem znajdę?
A była nawet wzmianka o takim teście na blogu. Link do strony z testem: http://jeffchannell.com/2010-joomla-security-extension-comparison.html
Czyli i tak mozliwe jest wsztrzykiwanie kodu w polu logowania php. Więc pic na wodę to zabezpieczenie!
Dlaczego zamiast tego nie stosujecie zabezpieczenia na hasło folderu plikiem .htpasswd?