Brute Force Attack

Brute Force Attack - FirewallMin egen hjemmeside, Fronto.dk, har været udsat for over 28.000 uautoriserede login forsøg på 3 dage, indtil jeg stoppede det ved at ændre login-URL’en. Det reelle antal forsøg er mange gange de 28.000, der blev sluppet igennem firewall’en ModSecure, og serveren kunne derfor på intet tidspunkt ses særligt belastet. Firewall’en gjorde det den skulle.

Jeg overvågede server belastningen under forløbet, og havde selvfølgelig stoppet det tidligere, hvis belastningen havde påvirket serverens performance. Jeg holdt naturligvis også øje med hvilket brugernavne der blev anvendt. Her blev fortrinsvis forsøgt med brugernavnet “admin”, men også “fronto” blev forsøgt.

Brugernavne skal derfor altid vælges med omhu, og ikke være for nemme for hackerne bag at gætte. Det er dette et fint eksempel på. Mit brugernavn er naturligvis et helt tredje, som man ikke kan læse sig til på hjemmesiden.

Grunden til at jeg lod det løbe så længe, var at jeg ønskede at trykprøve den nuværende server opsætning og firewall. Jeg var under hele forløbet klar til at gribe ind, hvis det var blevet nødvendigt. Det blev det ikke. Der blev tilsyneladende anvendt næsten 3.000 forskellige IP adresser ved angrebet. Hver gang en IP adresse blev automatisk blokeret, blev der forsøgt med en ny.

Så jeg valgte til sidst stoppe det, for at slippe for de mange underretninger, om de uautoriserede login forsøg. Jeg modtager nemlig en mail hver gang en IP adresse bliver automatisk spærret, efter 3 forkerte password forsøg. Og jeg havde konstateret at setup’et kunne modstå presset. XMLRPC*) funktionen, der også kan anvendes til Brute Force Attacks er som standard de-aktiveret på alle løsninger hosted ved Fronto.dk.

*) Jeg har taget kontakt til kunder der selv sørger for hosting, og som har/havde aktiveret XMLRPC.