ブルートフォース攻撃によるパスワード解読の、パスワード辞書例


- Old Counter



WordPressサイトに限らず、サーバーOS(Windows、Linux)やFTPサーバーがブルートフォース(brute force)攻撃を受けて、管理者(admin、Administrator、rootなど)のパスワードを解読しようというハッキングが、時々発生しますね。

ほとんどのサーバーはデフォルト管理者ユーザー(Windowsサーバー=Administrator、Linuxサーバー=root、WordPress=admin)を削除せずにそのまま残していることが多く、ブルートフォース(brute force)攻撃とは、相手のサーバーの種類をまず見極めて、そのサーバーの管理者ユーザー名で、パスワードは色々変えてみてログイン画面に片っ端からログインしてみて、「当たったら、儲けもの」というやり方です。
また、ハッカーは、事前に「良く使われるパスワード」を辞書ファイルに保存しておき、そのパスワードを上から下まで試してみる・・・というやり方が多いですね。

ログイン操作は、自動的に何度でもリピートしてくれるプログラムを使います。
筆者も昔はWindowsサーバーのチェックに使っていたプログラムに、「Brutus Password Cracker」というのがありますが、今、探してみたら、まだダウンロードは可能ですね。
Brutus Password Cracker – Download brutus-aet2.zip AET2

でも、2006年から更新されていませんね。

こう言うハッカーの世界は、筆者は最近フォローしていないので、どういうツール(ソフト)が今、最新なのか良くわかりません。

大概の場合、1秒間に数回、合計数百回、約30~60分ログイントライしてもパスワードが「当たらない」と、ハッカーも諦めて次の攻撃相手のサーバーに移っていきます。この前は1800回くらいログイントライしてもまだ続いていたのがあったので、筆者も黙って見ているのが嫌になって、サーバー側でそのハッカーのIPアドレスを途中でブロックしました。

“ブルートフォース攻撃によるパスワード解読の、パスワード辞書例” の続きを読む