forum.opennet.ru

"Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..."	+/–
Сообщение от ЖопорукийТорвальдс (?), 30-Авг-18, 11:02
А то что брут форсу теперь легче логин подобрать. Шаг 1. Проверяем наличие Лузера по имени Шаг 2. Брутфорсим парольчик Шаг 3. ... Шаг 4. Профит Да да... количество всяких там уников с 2048+ ключами можно в 8-битный int записать. Все остальные пользуют пароли, дай бог не просто одно словарное слово по дефолту (тут должна быть ссылка к адинам на работе которые на root ставят слово из словаря, но ее не будет ибо жало если кто-то за 3 дня подберёт единый пароль от систем за $12м ).
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Ещё одна уязвимость в OpenSSH, позволяющая определить наличи..., opennews, 29-Авг-18, 21:42 [смотреть все]

ну узнали они что есть допустим root и что дальше-то , gred, 29-Авг-18, 21:42 (1) //
- Ни байта врагу , Hgtuugt, 29-Авг-18, 21:49 (2)
- И подбираем твой ключ несколько миллиардов лет чтобы после взлома включить тебя , Китайский ботнет, 29-Авг-18, 21:51 (3) //
  - Ваш ботнет отстой Вот у нас каждый подключён к нашему ботнету через Android, Ap, Американский ботнет, 29-Авг-18, 22:00 (6)
- Мб некоторые ставят слабый пароль на обычного юзера в расчёте на то, что 1 атак, Аноним, 29-Авг-18, 21:52 (4) //
  - В любом случае, угадать логин и пароль значительно сложнее чем перебрать логины , x3who, 30-Авг-18, 15:22 (41)
- Дальше удовлетворятся этим знанием и распилял бабла , Аноним, 29-Авг-18, 22:50 (13)
- Рубежи обороны а еще они узнали что в системе Х есть юзер с тем же именем чт, Анонимусис, 29-Авг-18, 23:54 (17) //
  - А ещё, зная пароль пользователя в системе Y, можно сразу попытаться войти в сист, Волжанин, 30-Авг-18, 06:35 (25) //
    - Что лучше - подбирать по словарю существующего пользователя, или вероятно не сущ, Урри, 30-Авг-18, 11:57 (33)
- дальше пробуются пароли для аналогичного ника, утекшие через какой-нибудь форум , pavard, 30-Авг-18, 00:37 (18) //
  - ССЗБ У всех у кого не рвота вместо мозга - либо ключи, либо сертификаты с своим , Сигизмунд Точка, 30-Авг-18, 00:54 (19) //
    - почти никто не отклчючает аутентификацию по паролю, разместив свой ключ на машин, pavard, 30-Авг-18, 01:32 (23)
      - Для того чтобы отключить что-нибудь ненужное, надо сначала включить это ненужное, angra, 30-Авг-18, 03:50 (24)
    - Тоже есть обратная сторона Ключ так же можно угнать А на 100 серверов 100 ключ, metakeks, 30-Авг-18, 12:30 (34)
      - ты похоже не пользуешься ключами не понимаешь как они работают , pavard, 30-Авг-18, 13:54 (37)
        
        А как они работают , Аноним, 30-Авг-18, 14:55 (40)
        
        Они лежат на диске клиентского компа и поэтому могут оказаться недоступны в крит, x3who, 30-Авг-18, 15:27 (42)
        
        Ох, малыш Про то, что можно иметь несколько ключей в разных местах хранящихся т, Аноним, 30-Авг-18, 15:33 (44)
        
        а мой старый ноут как раз 11 лет проработал и сдох HDD а флешку с ключами запас, AS, 30-Авг-18, 16:17 (48)
        
        если ты мог подключиться с утюга - значит на нем есть копия приватного ключа, на, pavard, 30-Авг-18, 15:44 (46)
        
        С утюга - значит любого устройства, подключенного к сети и имеющего экран и клав, x3who, 30-Авг-18, 16:01 (47)
        За копию приватного ключа нужно бить по роже На каждом девайсе должен быть свой, Аноним, 30-Авг-18, 18:52 (49)
        
        Всё верно сказал Я как-то почти наступил на эти грабли и осознав последствия хо, cutlass, 31-Авг-18, 07:11 (51)
- А то что брут форсу теперь легче логин подобрать Шаг 1 Проверяем наличие Лузер , ЖопорукийТорвальдс, 30-Авг-18, 11:02 (32)
Чото странное в новости, у меня все новые sshd всегда ругаются на too many даже, Аноним, 29-Авг-18, 21:54 (5) //
- У вас просто версия выпущенная до 2011 года , asand3r, 29-Авг-18, 23:43 (16)
Ну так весь фикс в том, чтобы система обрубала соединение при множестве ошибках , Аноним, 29-Авг-18, 22:10 (7) //
- Спасибо за толковый совет , Аноним, 29-Авг-18, 22:52 (14)
Извиняюсь за оффтоп, но может быть кто-нибудь знает, можно ли на манке настроить, Аноним, 29-Авг-18, 22:19 (8) //
- Можно Я настроил , Аноним, 29-Авг-18, 22:41 (10)
Я уже разогреваю masscan и hydra, лаовай , Китайский кулхацкер, 29-Авг-18, 22:35 (9) //
- Хорошо у всех машин на облачном хостинге есть пользователь root с паролем из 32 , Аноним, 29-Авг-18, 22:43 (11) //
  - Есть пользователь root с passwd -l и PermitRootLogin no И еще по 30-50 пользо, Сигизмунд Точка, 30-Авг-18, 00:58 (20)
Не люблю когда меня определяют Я сам решаю, определяться или нет, а вот когда м, Аноним, 29-Авг-18, 22:49 (12) //
- Ну ты хватил Ещё товарища генерал-майора бы вписал В современном мире это зада, x3who, 30-Авг-18, 15:32 (43)
На всякий случай очень, очень мало существует ПО, которое аналогично SSH реальн, PereresusNeVlezaetBuggy, 29-Авг-18, 22:54 (15) //
- Это считается просто раскрытием информации но никак не критической уязвимостью , Сигизмунд Точка, 30-Авг-18, 01:01 (21) //
  - Истинно так , Ленивый Перерезус, 30-Авг-18, 09:21 (27)
Специально для параноиков Crazy workaround - создать пару десятков тысяч пользов, Сигизмунд Точка, 30-Авг-18, 01:05 (22) //
- Это вы имеете виду установить shell для юзера в sbin noligin А вот это как р, lone_wolf, 30-Авг-18, 09:07 (26)
- для параноиков не катит - они будут бояться, что какой-то из этих тысяч пользова, Нанобот, 30-Авг-18, 09:23 (28)
- У докеристов кровь из глаз не пошла , metakeks, 30-Авг-18, 14:00 (38)
Уязвимость конечно нужно исправлять Но и Fail2Ban уже изобрели , Аноним, 30-Авг-18, 09:24 (29) //
- Не в опенврт, например , x3who, 30-Авг-18, 15:36 (45)
Самое обидное что в CentOS до сих пор не бекпортировали исправления из версии 7 , lone_wolf, 30-Авг-18, 09:41 (30) //
- Ты хотел сказать, обидно, что редхет не выпустил следующий пойнт-релиз рхела, не, Andrey Mitrofanov, 30-Авг-18, 09:47 (31) //
  - Причем тут новый релиз к накладыванию патчей Если бы я сказал про новые фичи да, lone_wolf, 30-Авг-18, 12:41 (35) //
    - Ты ж про центос там выше скучал Мне казалось, что они из исходников всё пер, Andrey Mitrofanov, 30-Авг-18, 12:58 (36)
      - Совершенно верно про CentOS, и да из исходников, и да не сразу CentOS реально ож, lone_wolf, 30-Авг-18, 14:02 (39)
Что плохого в подключении по паролю к root с 60-значным паролем Например 82wH7B, Аноним, 31-Авг-18, 04:32 (50) //
- да, Аноним, 31-Авг-18, 10:01 (52) //
  - Так что плохого-то Кто сможет перебрать длюннющий пароль, тем более при включен, Аноним, 31-Авг-18, 11:13 (53) //
    - Его не нужно перебирать, если у тебя на лэптопе завёлся кейлоггер или еще какая , nox, 03-Сен-18, 13:53 (54)
      - С железного ключа например, Yubikey - не сможет , 1, 05-Сен-18, 16:50 (57)
Воспользовался уязвимостью в OpenSSH и с уверенностью могу сказать пользователи , Аноним, 03-Сен-18, 18:25 (55) //
- Тс-с-с Не пали главную Уязвимость , Andrey Mitrofanov, 04-Сен-18, 11:00 (56)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру