[SOLUCIONADO] Fuerza bruta

asus090102 · #1 (**permalink**) 24/03/2014, 21:13

Hola, paso a comentar a ver si me pueden ayudar.
Desde el login.php me traigo los datos del user a ctrl.php ahi mismo lo valido y lo redirecciono a donde corresponde. En esta instancia tambien le tomo la ip y el tiempo de logueo, los guardo en una tabla mysql y lo dejo ingresar si está registrado.
Por lo que leí me pueden averiguar la clave de cualquier usuario por fuerza bruta, por lo que necesitaría saber como hacer para, despues de X cantidad de fallidos, bloquear su intento de ingreso durante un tiempo.
Comparto el ctrl.php a ver si me ayudan a que poner donde. Muchas pero muchas pero muchas muchas gracias.

Código PHP:

  <?php 
include ("con.php"); 
     $myusuario = mysql_query("select idusuario from usuarios where idusuario =  '".htmlentities($_POST["usuario"])."'",$conexion); 
     $nmyusuario = mysql_num_rows($myusuario); 
     $usu= $_POST["usuario"]; 
     $ip = $_SERVER['REMOTE_ADDR']; 
     $time = $_SERVER['REQUEST_TIME']; 
      
if($nmyusuario != 0){ 
          $sql = "select idusuario from usuarios where estado = 1 and idusuario = '".htmlentities($_POST["usuario"])."' and clave = '".md5(htmlentities($_POST["clave"]))."'"; 
 
          $myclave = mysql_query($sql,$conexion); 
          $nmyclave = mysql_num_rows($myclave); 
 
         if($nmyclave != 0){ 
               session_start(); 
               $_SESSION["autentica"] = "SIP"; 
               $_SESSION["usuarioactual"] = mysql_result($myclave,0,0);  
               $_SESSION["estado"] = 1; 
          
 $s = "INSERT INTO login (usuario,ip,time) VALUES ('$usu','$ip','$time')"; 
mysql_query($s); 
 
header ("Location: app.php"); 
?>

LiveTechno · #2 (**permalink**) 25/03/2014, 03:55

No te sale mas a cuenta hacer un pequeño captcha?

Un saludo.

Eleazan · #3 (**permalink**) 25/03/2014, 04:28

Guarda los intentos fallidos en una tabla alterna.

Y cuando alguien intente loguear X usuario, compruebas los últimos 5 intentos. Si entre ellos han pasado menos de 5 minutos, muestrale un mensaje de error de que el usuario está bloqueado

Por ejemplo :P

asus090102 · #4 (**permalink**) 25/03/2014, 06:32

Cita:

Iniciado por Eleazan

Guarda los intentos fallidos en una tabla alterna.

Y cuando alguien intente loguear X usuario, compruebas los últimos 5 intentos. Si entre ellos han pasado menos de 5 minutos, muestrale un mensaje de error de que el usuario está bloqueado

Por ejemplo :P

Antes que nada gracias por responder.
Lo que tendría que hacer es, despues del INSERT TO, algo así como:

$sel = "SELECT * FROM logueos LIMIT 5";
$query = mysql_query($sel) or die(mysql_error());
while ($row = mysql_fetch_assoc($query) {
echo $row['idusuario'];
}

con tiempo de 5 min?

Eleazan · #5 (**permalink**) 25/03/2014, 07:19

No, deberías hacerlo antes...

Pq sino seguiria probando contraseñas sin problemas, la idea seria la siguiente

Código CODE:

Ver original1 Usuario / bot introduce user+pass
2 Compruebas los 5 últimos accesos erroneos
    2.1 Si han pasado menos de 5 minutos
        2.1.1 le muestras un error
    2.2 Si no han pasado menos de 5 minutos
        2.2.1 Compruebas que el usuario y pass sea correcto
           2.2.1.1 Si es correcto, login normal
           2.2.1.2 Si es incorrecto, lo guardas como acceso erroneo, y muestras error de usuario y/o contraseña

Esa sería la idea en general.

Y sino, añade un captcha ;)

asus090102 · #6 (**permalink**) 28/03/2014, 20:49

Gracias agente P

fiu · #7 (**permalink**) 30/03/2014, 09:33

Hola,

si sirve de ayuda yo hice algo similar, hacía un insert de la ip, el login,

Código MySQL:

Ver originalINSERT INTO logins (login, ip) VALUES ('$user','$ip')

que tambien tiene un campo TIMESTAMP que se va llenando sólo.
si era fallido le ponia ! delante

Código MySQL:

Ver originalINSERT INTO adm_conexiones (login, ip) VALUES ('!$user','$ip')

pero lo importante es que antes consultaba la tabla con algo así:

Código MySQL:

Ver originalSELECT COUNT(*) AS intentos 
    FROM logins
    WHERE ip='$ip' 
    AND login LIKE '!%' 
    AND fecha>=DATE_SUB( NOW(), INTERVAL 5 MINUTE )

que me devolvía el numero de intentos fallildos en el intervalo establecido y entonces decidia que hacer.
No se si será la mejor forma pero puede ser útil :)