Verifica forza delle password con Hydra
Hydra testa la robustezza delle credenziali provando combinazioni da dizionario.
1. Test SSH
hydra -l admin -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.100 -t 42. Test HTTP login
# Form POST
hydra -l admin -P wordlist.txt 192.168.1.100 http-post-form \
"/login:user=^USER^&pass=^PASS^:F=Login failed"
# Basic auth
hydra -l admin -P wordlist.txt 192.168.1.100 http-get /admin/3. Test FTP
hydra -L users.txt -P passwords.txt ftp://192.168.1.1004. Test MySQL
hydra -l root -P wordlist.txt 192.168.1.100 mysql5. Opzioni utili
-t 4 # Thread paralleli (default 16, ridurre per evitare lockout)
-w 10 # Timeout connessione
-V # Verbose (mostra ogni tentativo)
-o out.txt # Salva risultati6. Contromisure
Dopo il test, implementare:
- Fail2Ban per bloccare IP dopo N tentativi
- Password complesse (minimo 12 caratteri)
- Autenticazione a due fattori dove possibile
- Disabilitare login con password (solo chiavi SSH)
Risultato: Verifica che le credenziali dell’infrastruttura resistano ad attacchi a dizionario.