SIAMO GEEK

THC-Hydra

Come i coltelli, i piedi di porco e le armi da fuoco ci sono molti software che possono essere utilizzati per scopi positivi o negativi.

A differenza delle armi più o meno proprie, i software di attacco possono essere utilizzati per attaccare i propri server senza farsi del male.

THC-Hydra è uno di questi software. È incredibilmente semplice da installare e utilizzare e permette di tentare in parallelo molte coppie di utente/password contro vari tipi di servizi. Se un programma del genere riesce a bucare facilmente la vostra sicurezza, avete sicuramente un problema.

A parte l’utilizzo di password non facilissime da indovinare (p@55w0rd al posto di password non fa oramai nessuna differenza), uno dei metodi di difesa da questi tipi di scanner è sicuramente un software come fail2ban.

Pubblicato

in

,

da

Luigi Rosa

Tag:

, , ,

Commenti

10 risposte a “THC-Hydra”

  1. Avatar Kurgan
    Kurgan

    Oltre a fail2ban, consiglio di dare un’occhiata anche al modulo “recent” di iptables.

    per esempio, per limitare le connessioni alla 25 in rapida successione (tentativo di indovinare una password per smtp autenticato, o spam a manetta in ingresso):

    iptables -A INPUT -i eth1 -m state –state NEW -p tcp –dport 25 -m recent –update –seconds 60 –hitcount 5 –rttl –name smtp -j DROP

    iptables -A INPUT -i eth1 -m state –state NEW -p tcp –dport 25 -m recent –set –name smtp

    iptables -A INPUT -i eth1 -m state –state NEW -p tcp –dport 25 -j ACCEPT

    Rispondi
    1. Avatar Luigi Rosa
      Luigi Rosa

      Purtroppo con “recent” non riesci a discriminare le connessioni legittime. Prendi il protocollo IMAP che fa (s)connessioni a nastro: rischieresti un falso positivo.

      Rispondi
  2. Avatar Kurgan
    Kurgan

    hai quasi ragione. in pratica provandolo sul campo con smtp, ssh, pop3, imap e soprattutto SIP (l’ultima moda e` bruteforzare SIP) si e` sempre comportato bene e non ho mai avuto problemi di falsi positivi (nessun cliente mi ha chiamato). Il punto e` che molti client imap fanno le loro 4 o 5 connessioni e le tengono aperte… se gli dai i timeout giusti funziona. Poi e` chiaro che non e` perfetto: se un client marcio passa il tempo ad aprire e chiudere connessioni fallisce, e allo stesso modo se un attaccante capisce quali sono i limiti imposti puo` fare un attacco “lento”… ma contro il pirla occasionale (che non ce l’ha con te personalmente) funziona benissimo. Provato.

    Rispondi
  3. Avatar Kurgan
    Kurgan

    Ma poi si dira` “bruteforzare” o “bruttoforzare”? Urge neologismo!

    Rispondi
    1. Avatar Luigi Rosa
      Luigi Rosa

      voto per bruteforzare

      Rispondi
  4. Avatar lastninja
    lastninja

    Ciao ho provato con hydra 5.4 su winxp per testare la mia pop3 di libero, xò anche se metto login e password giusti il porgramma dice che non trova nulla. Con un ftp invece mi dà esito positivo. Sapete se libero ha qualche impostazione particolare per cui non si può usare hydra per craccarlo?

    Rispondi
    1. Avatar Luigi Rosa
      Luigi Rosa

      E’ facile che i server di Libero siano protetti da IDS o similari.

      Rispondi
      1. Avatar lastninja
        lastninja

        Nel qual caso? Qualche suggerimento? grazie per la risposta

        Rispondi
        1. Avatar Luigi Rosa
          Luigi Rosa

          Suggerimenti per violare la legge? No, sorry 😉

          Rispondi
  5. Avatar Sheldon Pax
    Sheldon Pax

    Il sito di THC Hydra è giù

    Rispondi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *