THC-Hydra

Come i coltelli, i piedi di porco e le armi da fuoco ci sono molti software che possono essere utilizzati per scopi positivi o negativi.

A differenza delle armi più o meno proprie, i software di attacco possono essere utilizzati per attaccare i propri server senza farsi del male.

THC-Hydra è uno di questi software. È incredibilmente semplice da installare e utilizzare e permette di tentare in parallelo molte coppie di utente/password contro vari tipi di servizi. Se un programma del genere riesce a bucare facilmente la vostra sicurezza, avete sicuramente un problema.

A parte l’utilizzo di password non facilissime da indovinare (p@55w0rd al posto di password non fa oramai nessuna differenza), uno dei metodi di difesa da questi tipi di scanner è sicuramente un software come fail2ban.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

10 pensieri riguardo “THC-Hydra”

  1. Oltre a fail2ban, consiglio di dare un’occhiata anche al modulo “recent” di iptables.

    per esempio, per limitare le connessioni alla 25 in rapida successione (tentativo di indovinare una password per smtp autenticato, o spam a manetta in ingresso):

    iptables -A INPUT -i eth1 -m state –state NEW -p tcp –dport 25 -m recent –update –seconds 60 –hitcount 5 –rttl –name smtp -j DROP

    iptables -A INPUT -i eth1 -m state –state NEW -p tcp –dport 25 -m recent –set –name smtp

    iptables -A INPUT -i eth1 -m state –state NEW -p tcp –dport 25 -j ACCEPT

    1. Purtroppo con “recent” non riesci a discriminare le connessioni legittime. Prendi il protocollo IMAP che fa (s)connessioni a nastro: rischieresti un falso positivo.

  2. hai quasi ragione. in pratica provandolo sul campo con smtp, ssh, pop3, imap e soprattutto SIP (l’ultima moda e` bruteforzare SIP) si e` sempre comportato bene e non ho mai avuto problemi di falsi positivi (nessun cliente mi ha chiamato). Il punto e` che molti client imap fanno le loro 4 o 5 connessioni e le tengono aperte… se gli dai i timeout giusti funziona. Poi e` chiaro che non e` perfetto: se un client marcio passa il tempo ad aprire e chiudere connessioni fallisce, e allo stesso modo se un attaccante capisce quali sono i limiti imposti puo` fare un attacco “lento”… ma contro il pirla occasionale (che non ce l’ha con te personalmente) funziona benissimo. Provato.

  3. Ciao ho provato con hydra 5.4 su winxp per testare la mia pop3 di libero, xò anche se metto login e password giusti il porgramma dice che non trova nulla. Con un ftp invece mi dà esito positivo. Sapete se libero ha qualche impostazione particolare per cui non si può usare hydra per craccarlo?

Spazio per un commento