Brute Force Remote Desktop Connection !!!

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận thâm nhập

Brute Force Remote Desktop Connection !!!

[Question] Re: Brute Force Remote Desktop Connection !!!	13/05/2008 06:19:22 (+0700) \| #31 \| 130229

mR.Bi
Member

Joined: 22/03/2006 13:17:49
Messages: 812
Offline

gamma95 wrote:

nếu sau -u ta ko chỉ định tên một user nào đó, thì mặc định tsgrinder sẽ brute force password của user có tên Administrator.
Em chỉ nói tsgrinder sẽ potay khi user Administrator bị đổi tên vì tsgrinder ko có chức năng quét user có trên máy.
vậy làm thế nào để không cho biêt dịch vụ remote desktop đang mở
Đổi sang một port khác là xong

Cậu Mr.Bi phán nhiều cái nghe chắc nịch nhể ?

chỉ phán trong nội dung bài viết này thôi, chắc chứ ạ smilie

All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"

[Question] Re: Brute Force Remote Desktop Connection !!!	13/05/2008 09:43:30 (+0700) \| #32 \| 130254

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

lên google search phát How to change the listening port for Remote Desktop nhưng cái nì có vẻ không hay lắm, không thấy sách đề cập đến vụ thay đổi port của dich vụ nào đó để bảo mật hết trơn. Kô biết có cách nào nhiều người dùng và "nặng" tí không. smilie

Trên diễn đàn kia có thằng có cái từ điển gần 40gb hình như là ophcrack , nó brute force mất gần 4 tuần smilie

. Nghe có vẻ hổng ham....

[Question] Re: Brute Force Remote Desktop Connection !!!	13/05/2008 10:16:11 (+0700) \| #33 \| 130263

pnco
HVA Friend

Joined: 24/06/2005 16:33:48
Messages: 515
Offline

Nếu áp dụng policy lock account user nếu nhập password sai 1 số lần nhất định thì account sẽ bị lock. Nếu có ai đó bruce force máy mình thì mình cũng không đăng nhập được luôn vì account đã bị lock smilie

Ngoài ra đổi port cũng không phải là giải pháp vì có thể biết được dễ dàng với nmap.

vikjava wrote:

vậy làm thế nào để không cho biêt dịch vụ remote desktop đang mở, không cho quét user trên máy.

Ý này của vikjava là hay nhất. Mình đưa ra 1 ý kiến, dùng firewall block tất cả truy cập đến dịch vụ này trừ 1 số host tin cậy. Mọi người cho thêm ý kiến smilie

[Question] Re: Brute Force Remote Desktop Connection !!!	13/05/2008 12:09:24 (+0700) \| #34 \| 130287

mR.Bi
Member

Joined: 22/03/2006 13:17:49
Messages: 812
Offline

vikjava wrote:

lên google search phát How to change the listening port for Remote Desktop nhưng cái nì có vẻ không hay lắm, không thấy sách đề cập đến vụ thay đổi port của dich vụ nào đó để bảo mật hết trơn. Kô biết có cách nào nhiều người dùng và "nặng" tí không.

Trên diễn đàn kia có thằng có cái từ điển gần 40gb hình như là ophcrack , nó brute force mất gần 4 tuần . Nghe có vẻ hổng ham....

em chỉ nói trong phạm vi bài này thôi mà smilie

, nghĩa là có ông nào đọc bài này, dùng nmap quét cổng 3389 ko thấy gì là bỏ cuộc, chứ mấy bác khác quét phát thấy ngay, em có nói gì đâu.

pnco wrote:

Ý này của vikjava là hay nhất. Mình đưa ra 1 ý kiến, dùng firewall block tất cả truy cập đến dịch vụ này trừ 1 số host tin cậy.

Cách này hay, những lỡ user đi đâu đó rồi remote desktop vào ko được, đè đầu mình ra chửi .
Có cách khác thay thế Remote Desktop của Window bằng một app khác an toàn hơn http://www.shebeen.com/vnc_ssh/ chẳng hạn.
Nhưng theo em thấy dùng policy Account lockout threshold là cách hữu hiệu nhất, cho login vài lần lần thì lock vài chục phút, dùng password strong một chút, g00gLe* chẳng hạn, có lẽ đã chống được brute force password rồi

All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"

[Question] Brute Force Remote Desktop Connection !!!	17/05/2008 02:33:04 (+0700) \| #35 \| 130854

mrh09
Member

Joined: 18/12/2007 02:01:47
Messages: 56
Offline

seamoun wrote:

Ví dụ một quá trình thử password
Code:

D:\Hacking\tsgrinder-2.03>tsgrinder.exe -l leet -u admin 192.168.1.15
password apple - failed
password appl3 - failed
password app1e - failed
password app13 - failed
password orange - failed
password orang3 - failed
password pear - failed
password p3ar - failed
password monkey - failed
password monk3y - failed
password s3amoun - success! <-- Khà ! khà ! Dzậy là login với user là admin và password là s3amoun (Hix hix đừng thử pass này với YIM của em :)))

Chúc các bạn thành công ! :! smilie

không hiểu sao lại mắc lỗi này, pro có thể giải thích cho em không:
Code:

G:\tsgrinder\tsgrinder -l leet -u administrator 192.168.1.222
unable to open leet file 'leet'

[Question] Re: Brute Force Remote Desktop Connection !!!	17/05/2008 13:02:26 (+0700) \| #36 \| 130935

pnco
HVA Friend

Joined: 24/06/2005 16:33:48
Messages: 515
Offline

mr.bi wrote:

Cách này hay, những lỡ user đi đâu đó rồi remote desktop vào ko được, đè đầu mình ra chửi .

Các host tin cậy thông thường là bastion host, trên đó có chạy 1 dịch vụ đăng nhập an toàn như vpn hay ssh chẳng hạn.

mr.bi wrote:

Có cách khác thay thế Remote Desktop của Window bằng một app khác an toàn hơn đây chẳng hạn.

Cách này rất hay, nhưng đối với các server có chạy các ứng dụng quan trọng thì không nên cài đặt quá nhiều software không cần thiết vào đó vì nó sẽ gia tăng công việc cho quản trị viên. Ngay cả 1 phần mềm bảo mật thì cũng có nguy cơ bảo mật đi kèm theo nó. Nếu chỉ có 1 vài server cần phải quản lý thì cách này là tối ưu.

mr.bi wrote:

Nhưng theo em thấy dùng policy Account lockout threshold là cách hữu hiệu nhất, cho login vài lần lần thì lock vài chục phút, dùng password strong một chút, g00gLe* chẳng hạn, có lẽ đã chống được brute force password rồi

Bruce force đối với admin thì mục đích có lẽ chỉ test độ vững chắc của password thôi nên bruce force cỡ vài giờ mà không ra là nản smilie

Nhưng đối với mấy kẻ trục lợi thì khác, tụi nó có đủ kiên nhẫn và thông minh viết 1 vài cái script bruce force tự động. Bởi vậy chúng có thể bruce force hết ngày này qua ngày khác, hết tháng này qua tháng khác. Ngay cả khi mình tự tin với password của mình là không thể bị phá vỡ thì cũng bị thiệt hại băng thông rất vô lý cho chúng.

[Question] Re: Brute Force Remote Desktop Connection !!!	17/05/2008 13:19:22 (+0700) \| #37 \| 130938

mR.Bi
Member

Joined: 22/03/2006 13:17:49
Messages: 812
Offline

pnco wrote:

Bruce force đối với admin thì mục đích có lẽ chỉ test độ vững chắc của password thôi nên bruce force cỡ vài giờ mà không ra là nản Nhưng đối với mấy kẻ trục lợi thì khác, tụi nó có đủ kiên nhẫn và thông minh viết 1 vài cái script bruce force tự động. Bởi vậy chúng có thể bruce force hết ngày này qua ngày khác, hết tháng này qua tháng khác. Ngay cả khi mình tự tin với password của mình là không thể bị phá vỡ thì cũng bị thiệt hại băng thông rất vô lý cho chúng.

Vậy thì có cách nào để chống vậy anh? Ban IP? Em nghĩ Ban IP là 1 cách ko hay, hơn nữa kẻ tấn công hoàn toàn có thể thay đổi IP tấn công 1 cách dễ dàng. Không lẽ băng thông của mình mất vô lí như thế mà ko có cách chống đỡ.

All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"

[Question] Re: Brute Force Remote Desktop Connection !!!	17/05/2008 16:39:50 (+0700) \| #38 \| 130954

Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline

mR.Bi,

Cách hạn chế brute force (cho bất kỳ dịch vụ nào) hiệu quả nhất là:

1. Hạn chế số lần "retry" trong một khoảng thời gian. Nếu vượt quá limit trên thì không thể log in, hoặc account bị khóa trong một khoảng thời gian nhất định (chứ không phải lock account hoặc ban IP hoàn toàn). Cách này sẽ giảm hiệu suất của việc brute force một cách đáng kể.

2. Có policy, và có làm theo, về việc thay đổi password định kỳ, cũng như đảm bảo độ phức tạp cần thiết cho password.

khoai

[Question] Re: Brute Force Remote Desktop Connection !!!	17/05/2008 22:28:02 (+0700) \| #39 \| 130985

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

Theo như anh pnco thì chúng ta phải bảo vệ bằng 2 lớp . Quản lý ở cấp độ ip kết hợp AAA. Và hình như hiện nay đang áp dụng mô hình này. Quản lý ở mức ip thì linux hoặc cisco là tốt nhất , tiếc rằng 2 cái nì chỉ ở cấp user. smilie

[Question] Re: Brute Force Remote Desktop Connection !!!	18/05/2008 02:44:41 (+0700) \| #40 \| 131013

mR.Bi
Member

Joined: 22/03/2006 13:17:49
Messages: 812
Offline

@Mr.Khoai: còn vấn đề băng thông? Lock account một thời gian, sau thời gian đó kẻ tấn công lại brute force, cứ thế thì vấn đề anh pnco đưa ra hơi bị lớn. Ý em nói là làm sao để chống được tình trạng này?

All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"

[Question] Re: Brute Force Remote Desktop Connection !!!	18/05/2008 03:28:55 (+0700) \| #41 \| 131023

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

tình trạng nào vậy mr.Bi .

[Question] Re: Brute Force Remote Desktop Connection !!!	18/05/2008 04:08:17 (+0700) \| #42 \| 131034

mR.Bi
Member

Joined: 22/03/2006 13:17:49
Messages: 812
Offline

vikjava wrote:

tình trạng nào vậy mr.Bi .

Chiếm băng thông vô lí
Mình diễn đạt khó hiểu vậy sao smilie

All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"

[Question] Re: Brute Force Remote Desktop Connection !!!	18/05/2008 12:01:01 (+0700) \| #43 \| 131117

dangkitui
Member

Joined: 13/05/2008 01:02:26
Messages: 2
Offline

Bài viết hay wá. smilie

Mình có đọc 1 bài viết bên forum Nhất nghệ về chủ đề là "Gia tăng Độ Bảo Mật Khi Remote Desktop Bằng SSL", theo mình nghĩ cách này sẽ có thể hạn chế dc kiểu tấn công này, vì theo như bài viết thì chỉ những máy có Certificate mới kết nối vô server dc, tuy bài viết là cho kết nối từ internet, nhưng mình nghĩ trong LAN chắc cũng vậy. Ko biết mình nghĩ có đúng ko, mới tập tành học mạng nên có gì sai mọi người đừng la tui tội nghiệp smilie

Mình ko rõ là việc đưa link wa forum khác có là vi fạm nội quy ko nên bạn nào wan tâm vui lòng wa đó đọc bài viết đó nhé,trong mục Những bài viết có giá trị ấy.

[Question] Re: Brute Force Remote Desktop Connection !!!	18/05/2008 18:59:20 (+0700) \| #44 \| 131152

Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline

mR.Bi wrote:

vikjava wrote:

tình trạng nào vậy mr.Bi .

Chiếm băng thông vô lí
Mình diễn đạt khó hiểu vậy sao

Tầm ảnh hưởng của việc brute force trong vấn đề bandwidth thì phải nghiên cứu kỹ từng trường hợp mới có thể có giải pháp tối ưu được. Brute force bằng tool nên tốc độ rất nhanh, life time của một connection khá thấp. Nếu set limit vừa đủ thấp, và lock out time vừa đủ dài cho account hoặc IP thì ảnh hưởng đến bandwidth không thể đến mức trầm trọng được. Còn thế nào là vừa đủ thì phải tùy từng trường hợp.

khoai

[Question] Re: Brute Force Remote Desktop Connection !!!	19/05/2008 03:57:29 (+0700) \| #45 \| 131241

pnco
HVA Friend

Joined: 24/06/2005 16:33:48
Messages: 515
Offline

mR.Bi wrote:

Vậy thì có cách nào để chống vậy anh? Ban IP? Em nghĩ Ban IP là 1 cách ko hay, hơn nữa kẻ tấn công hoàn toàn có thể thay đổi IP tấn công 1 cách dễ dàng. Không lẽ băng thông của mình mất vô lí như thế mà ko có cách chống đỡ.

Hì vấn đề cũng không quá quan trọng đến nỗi ban IP đâu em. Cỡ vài ngàn thằng bruce force mình thì họa may traffic mới tăng lên chút ít. Ý anh nói sự vô lý này cũng giống như spam mail, mình phải trả tiền băng thông để nhận mail rác smilie

nhưng lại không thể ban IP hay không nhận mail. Tuy nhiên dịch vụ này thì khác, dịch vụ này chỉ dùng cho một số ít người nên từ đầu anh mới đưa ra giải pháp là block hết traffic đến dịch vụ này trừ 1 số host tin cậy. User muốn remote đến thì trước tiên access đến các host này, sau đó mới remote đến server. Nếu chỉ có một vài server cần quản lý thôi thì thay thế bằng 1 software khác an toàn hơn như em đã đề xuất ở trên hoặc điều chỉnh cấu hình như Mr.Khoai đề nghị. Ngoài ra cũng có thể thay đổi port mặc định. Thực tế thì nhiều tên bruce force nó chỉ chạy mấy cái script có sẵn và quét cổng mặc định, sau đó bruce force và chờ kết quả. Do chúng làm việc này với số lượng host lớn nên cũng chẳng quan tâm bị lock hay bị ban gì cả.

[Question] Re: Brute Force Remote Desktop Connection !!!	19/05/2008 07:54:22 (+0700) \| #46 \| 131273

mrh09
Member

Joined: 18/12/2007 02:01:47
Messages: 56
Offline

To: seamuon
giải thích em lỗi này với:
Code:

G:\tsgrinder\tsgrinder -l leet -u administrator 192.168.1.222
 unable to open leet file 'leet'

Code:

G:\tsgrinder\tsgrinder -w password -u administrator 192.168.1.222
 unable to open leet file 'leet'

không hiểu sao nó cứ báo lỗi không mở được file "leet" này em
Em thử với file "password" nó cũng báo vậy.

[Question] Re: Brute Force Remote Desktop Connection !!!	19/05/2008 12:50:11 (+0700) \| #47 \| 131318

ThíchHắcKinh
Member

Joined: 05/11/2007 21:56:23
Messages: 85
Location: Thiếu Lâm Tự
Offline

mrh09 wrote:

To: seamuon
giải thích em lỗi này với:

G:\tsgrinder\tsgrinder -l leet -u administrator 192.168.1.222
unable to open leet file 'leet'

G:\tsgrinder\tsgrinder -w password -u administrator 192.168.1.222
unable to open leet file 'leet'

không hiểu sao nó cứ báo lỗi không mở được file "leet" này em
Em thử với file "password" nó cũng báo vậy.

Câu thông báo rành rành ra thế mà hỏi gì hả bồ ??? Học lại đi rồi hãy vào đây hỏi. Đúng là vớ vẩn

[Question] Re: Brute Force Remote Desktop Connection !!!	19/05/2008 13:44:03 (+0700) \| #48 \| 131325

mR.Bi
Member

Joined: 22/03/2006 13:17:49
Messages: 812
Offline

@pnco
Hì, cám ơn anh rất nhiều.
Lúc đầu em cũng ko hiều ý anh lắm, nhưng đọc cái bài reply này hiểu rõ ràng cặn kẽ rồi.

Tuy nhiên dịch vụ này thì khác, dịch vụ này chỉ dùng cho một số ít người nên từ đầu anh mới đưa ra giải pháp là block hết traffic đến dịch vụ này trừ 1 số host tin cậy. User muốn remote đến thì trước tiên access đến các host này, sau đó mới remote đến server

Đọc cái đoạn này xong sáng lên hẳn. Nếu làm như vậy kẻ tấn công hết đường mò ra mà brute force, trừ phi đoán đúng IP của các host này, không biết em nói thế đúng không? Hình như HVA cũng làm cách tương tự cho account quanlitruong, em nhớ có lần anh conmale có nhắc tới thì phải.

All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"

[Question] Re: Brute Force Remote Desktop Connection !!!	28/05/2008 22:03:47 (+0700) \| #49 \| 133153

squalleon
Member

Joined: 30/07/2006 10:33:55
Messages: 22
Location: Underworld
Offline

cho em hỏi thêm 1 tí lúc extract file thì thằng avast nó báo là có virus was found win32:troạn-gen(VC) vậy có ảnh hưởng gì không mấy anh smilie

[Question] Re: Brute Force Remote Desktop Connection !!!	29/05/2008 00:46:29 (+0700) \| #50 \| 133171

mR.Bi
Member

Joined: 22/03/2006 13:17:49
Messages: 812
Offline

Một số hack tool bị các chương trình Antivirus detect, trong trường hợp này là file đính kèm của anh Seamoun là tsgrinder, ko sao cả. Mà nếu sợ thì đừng xài tốt nhất smilie

All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"

[Question] Re: Brute Force Remote Desktop Connection !!!	30/05/2008 06:04:01 (+0700) \| #51 \| 133350

nhatminh1209
Member

Joined: 25/01/2005 08:55:11
Messages: 102
Offline

Lâu lắm không trở lại rum smilie

Để chặn bruteforce:
Em thấy ngoài việc đặt độ trễ của login. Còn 1 cách khác khá thú vị mà em thấy áp dụng ... cũng hay.
Đó là cho 1 username có password. Nhưng quyền của user đó là không có quyền gì.
Khi 1 phần mềm bruteforce bắt gặp username và pass có 1 số sẽ dừng lại và không tiếp tục bruteforce nữa smilie

[Question] Re: Brute Force Remote Desktop Connection !!!	08/06/2008 11:17:19 (+0700) \| #52 \| 134633

thEFinal
Member

Joined: 05/06/2008 13:37:31
Messages: 6
Offline

Sau khi tham khảo và tìm hiểu bài của chủ topic, em có thử và nhận dc kết quả ngoài mong đợi.
Em xâm nhập vào đến màn hình login của remote desktop thì kô tài nào crack dc pass của adminnstrator của victim, mặc dù đã sử dụng toàn bộ những ưu điểm của tsgrinder-2.03.exe dể bruceforce dò pass, roốt cuộc thất bại trong bước cuối khi xâm nhập vào admin victim. Mình mong dc chỉ giáo thêm về bước crack pass đó, ngoài ra bạn nào có tool crack remote desktop password thì giới thiệu nha smilie

Go to:

Users currently in here
1 Anonymous