The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Анализ активности атакующих, связанной с подбором паролей по SSH"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Анализ активности атакующих, связанной с подбором паролей по SSH"  +1 +/
Сообщение от opennews (??), 05-Сен-20, 08:43 
Опубликованы результаты анализа атак, связанных с подбором паролей к серверам по SSH. В ходе эксперимента было запущено несколько ловушек (honeypot), притворяющихся доступным сервером OpenSSH и размещённых в различных сетях облачных провайдеров, таких как...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=53663

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Анализ активности атакующих, связанной с подбором паролей по..."  +11 +/
Сообщение от Аноним (1), 05-Сен-20, 08:43 
>ssh
>пароль
Ответить | Правка | Наверх | Cообщить модератору

13. "Анализ активности атакующих, связанной с подбором паролей по..."  –13 +/
Сообщение от d (??), 05-Сен-20, 10:24 
А что, нынче модно везде раскидывать свои приватные ключи, что бы ходить между хостами по ssh?
Ответить | Правка | Наверх | Cообщить модератору

20. "Анализ активности атакующих, связанной с подбором паролей по..."  +2 +/
Сообщение от Аноним (20), 05-Сен-20, 11:10 
ssh -A попробуй
Ответить | Правка | Наверх | Cообщить модератору

21. "Анализ активности атакующих, связанной с подбором паролей по..."  +3 +/
Сообщение от Michael Shigorinemail (ok), 05-Сен-20, 11:12 
В смысле раскидывать?  ssh-agent(1), ssh-add(1), ssh -A в школе не проходили?  Ну спасибо Рейману скажите...

PS: раз уж никто не упомянул -- 22/tcp тоже полезно куда-нить сдвинуть, хоть это и не панацея.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

22. "Анализ активности атакующих, связанной с подбором паролей по..."  +7 +/
Сообщение от Аноним (22), 05-Сен-20, 11:43 
Толку от этого мало. Я всегда свои личные SSH вешаю на разные нестандартные порты - всё равно с завидной регулярностью появляются в auth.log записи от мамкиных хацкеров. Но да, хотя бы не десятки тысяч попыток в день. Строго на 22-ой порт ломятся, видимо, самые тупые скрипт-киддисы.

Правда, я не могу сказать, что те, кто ломятся на нестандартные порты шибко умнее. :) По крайней мере, они не удосуживаются посмотреть, что "Authentications that can continue: publickey" и переводят своё время на попытки брута.

Ответить | Правка | Наверх | Cообщить модератору

26. "Анализ активности атакующих, связанной с подбором паролей по..."  +6 +/
Сообщение от flkghdfgklh (?), 05-Сен-20, 12:11 
Еще лет 10 назад поанализировав логи при использовании нестандартных портов понял, что смысла нет перевешивать, только себе задачу усложнять прописывая их в ~/.ssh/config для хостов
Ниже уже писал, что все проблемы с загаживанием логов неудачными попытками на 100% решает перевод ssh на IPv6-only на отдельном адресе
Ответить | Правка | Наверх | Cообщить модератору

36. "Анализ активности атакующих, связанной с подбором паролей по..."  +5 +/
Сообщение от Аноним (36), 05-Сен-20, 13:21 
А я всё же наблюдал эффективность переноса ssh на другой порт. Бот проверяет открыт ли порт - порт оказывается закрыт, бот проходит мимо.
А конфиг поправить это дело двух секунд.
Ответить | Правка | Наверх | Cообщить модератору

51. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (22), 05-Сен-20, 15:13 
Ну, только самые тупые скрипт кидди ломятся только на дефолтный порт. Те, кто поумнее, либо пробуют разные порты, либо вообще перед брутом nmap'ом ищут SSH-серверы.
Ответить | Правка | Наверх | Cообщить модератору

60. "Анализ активности атакующих, связанной с подбором паролей по..."  –1 +/
Сообщение от flkghdfgklh (?), 05-Сен-20, 16:26 
Да зачем nmap'ом? Для таких вещей есть zmap, который позволяет по конкретному порту хоть весь диапазон IPv4 просканить за несколько часов
Ответить | Правка | Наверх | Cообщить модератору

72. "Анализ активности атакующих, связанной с подбором паролей по..."  +1 +/
Сообщение от Аноним (22), 05-Сен-20, 17:18 
nmap'ом можно по всем 65535 портам пройтись
Ответить | Правка | Наверх | Cообщить модератору

85. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от flkghdfgklh (?), 05-Сен-20, 18:05 
Сколько у тебя времени займет пройтись nmap'ом по всем портам хотя бы /24?
Ответить | Правка | Наверх | Cообщить модератору

94. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от FixingGunsInAir (ok), 05-Сен-20, 19:55 
Минут 10-15. Был подобный опыт, правда я сканил удалённый объект внутри копроративной сети на предмет клиентских тачек, не заведённых в домен. Скорость доступа - 10 мегабит максимум.

А сколько можно на 100 мегабитах насканить? Ммм...

Ответить | Правка | Наверх | Cообщить модератору

102. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (102), 05-Сен-20, 21:21 
На каком из них вас отправят гулять?
Ответить | Правка | К родителю #72 | Наверх | Cообщить модератору

81. "Анализ активности атакующих, связанной с подбором паролей по..."  +3 +/
Сообщение от Аноним (81), 05-Сен-20, 17:52 
И вот этих тупых киддисов процентов 50%, в современном инете до сих пор и виагрой спамят если что. Очень даже динозавры водятся. Поэтому порт лучше всё-таки поменять, меньше срача в логи да и боты быстрее отставать будут.
Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

95. "Анализ активности атакующих, связанной с подбором паролей по..."  +2 +/
Сообщение от FixingGunsInAir (ok), 05-Сен-20, 19:57 
Тогда может fail2ban настроить? Больше толку будет.
Ответить | Правка | Наверх | Cообщить модератору

123. "Анализ активности атакующих, связанной с подбором паролей по..."  +1 +/
Сообщение от Всем Анонимам Аноним (?), 06-Сен-20, 13:46 
Сканы идут с тысяч адресов. Конечно, бан поможет немного, но не панацея. Они не пробуют с того же IP сразу же.
Я вижу похожую картину со сканами POP3 и SMTP AUTH. Помогает только постоянная блокировка этих IP. В fail2ban в этом плане опасно постоянно блокировать что-то
Ответить | Правка | Наверх | Cообщить модератору

130. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от sabitov (ok), 06-Сен-20, 17:28 
Господа соучастники, а что мешает прописать в sshd_config опцию AllowUsers? И если имена юзеров хоть чуть-чуть отличаются от admin|root|manager, то и пусть оно брутфорсит...
Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

131. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Michael Shigorinemail (ok), 06-Сен-20, 17:54 
> Господа соучастники, а что мешает прописать в sshd_config опцию AllowUsers?

Лень -- это лазить на каждого такого пользователя в sshd_config, нигде не промахнуться, не забыть service sshd reload...

А вот для AllowGroups в альте "домашняя заготовка есть": http://git.altlinux.org/gears/o/openssh.git?p=openssh.git;a=...

Как, собственно, и для sshd-password-auth; так что достаточно сделать один раз:

control sshd-allow-groups enabled
control sshd-password-auth disabled
service sshd reload
...и для нужных пользователей выполнять gpasswd -a $LOGIN users (ну или какую укажешь в sshd_config).

А при желании зафиксировать такое поведение во вновь создаваемых образах -- например, шаблонах контейнеров -- можно в mkimage-profiles сказать:

    @$(call add,CONTROL,sshd-allow-groups:enabled)
    @$(call add,CONTROL,sshd-password-auth:disabled)
...и добавить в зависимости такой цели use/control (или сразу use/control/server/ldv).

Если понравилось -- см. тж. http://altlinux.org/control и http://altlinux.org/m-p ;-)

Ответить | Правка | Наверх | Cообщить модератору

43. "Анализ активности атакующих, связанной с подбором паролей по..."  –1 +/
Сообщение от Аноним (36), 05-Сен-20, 13:45 
Ну и какого хрена тогда хостинг провайдеры все порты меняют поголовно? Они прям так и пишут - снижает нагрузку.
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

64. "Анализ активности атакующих, связанной с подбором паролей по..."  –1 +/
Сообщение от flkghdfgklh (?), 05-Сен-20, 16:33 
Какие хостинг-провайдеры меняют? Что ты несешь вообще?
Про смену порта для ssh в бложиках и на форумах пишут мамкины хацкеры
Ответить | Правка | Наверх | Cообщить модератору

78. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (81), 05-Сен-20, 17:44 
Те провайдеры на которых домохозяйки хостят, я не про VPS.
Ответить | Правка | Наверх | Cообщить модератору

82. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Michael Shigorinemail (ok), 05-Сен-20, 17:56 
> Про смену порта для ssh в бложиках и на форумах пишут мамкины хацкеры

А про ключи -- так вообще барбершопщики? :)

Ну головой-то подумать попробуйте, явно же есть, когда по техчасти пишете.  Включите "атакующего" и подумайте.

Порт _входит_ в пространство поиска, если узкий диапазон адресов/портов не известен заранее.  И да, ни разу не панацея, но всё-таки снижение интенсивности.

Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

110. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от пп (?), 06-Сен-20, 03:43 
Этого товарища за спутник бы засунуть на годик, он бы научился трафик экономить))
Ответить | Правка | Наверх | Cообщить модератору

54. "Анализ активности атакующих, связанной с подбором паролей по..."  +4 +/
Сообщение от Аноним (54), 05-Сен-20, 15:50 
>Строго на 22-ой порт ломятся, видимо, самые тупые скрипт-киддисы.

С чего ты взял, что они тупые? Их задача -- поиметь как можно больше хостов, а не поиметь именно твой лично хост. Если ты перевесил ssh на другой порт, то на тебя просто не стоит тратить время.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

73. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (22), 05-Сен-20, 17:19 
То, что ты перевесил ssh на другой порт - не гарантия того, что ты не отключил парольную аутентификацию ;) Так что можно было бы поиметь ещё больше хостов, сканя все порты.
Ответить | Правка | Наверх | Cообщить модератору

88. "Анализ активности атакующих, связанной с подбором паролей по..."  +3 +/
Сообщение от Аноним (54), 05-Сен-20, 18:56 
>То, что ты перевесил ssh на другой порт - не гарантия того, что ты не отключил парольную аутентификацию ;)

Нет, но тот факт, что ты перевесил ssh, как минимум означает что у тебя не дефолтный конфиг.

>Так что можно было бы поиметь ещё больше хостов, сканя все порты.

Вопрос трудозатрат.

Ответить | Правка | Наверх | Cообщить модератору

115. "Анализ активности атакующих, связанной с подбором паролей по..."  +2 +/
Сообщение от Alex (??), 06-Сен-20, 11:11 
Если посмотреть по паролями то целевая аудитория криворукие админы.
Если у человека хватитило ума поменять ssh порт значит он как минимум понимает что ведутся атаки, значит тупой пароль он уже не поставит. Процент попадания на профана в в таких ситуациях стремится к 0.
Вот и не тратят время.

Атаки идут по дефолтным значениям.

Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору

146. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (146), 07-Сен-20, 18:05 
Перенос на другой порт никак не повышает уровень безопасности. Кем вы там себя считаете, опытным или нет - тоже.

Уверен, что есть роботы, которые обходят наиболее часто встречаемые порты, на которых висит SSH, кроме дефолтного. 122, 222, 2222, 9022 и так далее, подставьте свой вариант.
Такие хосты даже вкуснее обычных. На 22 порту полно хостов, у которых настроены ключи и выключены пароли. Зато у сменивших порт скорее всего оставлен пароль. То есть по факту шанс сбрутить выше в пересчете на общее количество.

Серьезной защитой является доступ к SSH для белого списка IP-адресов (желательно, чтобы сервер при этом висел на IPv6). И конечно же только ключи.
Но это же целых три копейки в месяц платить надо за дополнительный сервер и с винды подключаться неудобно :)

Ответить | Правка | Наверх | Cообщить модератору

74. "Анализ активности атакующих, связанной с подбором паролей по..."  +5 +/
Сообщение от Аноним (74), 05-Сен-20, 17:32 
А как насчёт использовать port-knocking?
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

79. "Анализ активности атакующих, связанной с подбором паролей по..."  +1 +/
Сообщение от Аноним (22), 05-Сен-20, 17:48 
Security by obscurity. Лишний геморрой, а по факту - сильно безопасность не повышает. Намного лучше и проще поставить авторизацию по ключу, полностью отключить парольную авторизацию и держать SSH открытым. И уже не болит голова насчёт брутфорсеров. Если кто-то захочет брутить - на здоровье).

А парольная аутентификация + port knocking это такая же несекурная парольная авторизация, просто хитро прикрытая фаерволом и вундервафлей, открывающей порт. Да и демоны для port knocking, в отличие от самого sshd не проходят аудит безопасности, а мне его надо крутить от рута, чтобы он мог пинать iptables :). А ещё на другой стороне нужен клиент, который будет пинать порты в нужном порядке.

В общем, не так уж сложно - сделать пару ключей для авторизации. И конфигурится легко и быстро, в отличие от боли со всякими fail2ban и port knocker'ами.

Ответить | Правка | Наверх | Cообщить модератору

83. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Michael Shigorinemail (ok), 05-Сен-20, 17:58 
> Да и демоны для port knocking, в отличие от самого sshd
> не проходят аудит безопасности

zeroflux'овский читали вроде, но зуб не дам.

Ответить | Правка | Наверх | Cообщить модератору

99. "Анализ активности атакующих, связанной с подбором паролей по..."  +2 +/
Сообщение от glebiao (ok), 05-Сен-20, 20:16 
>Security by obscurity. Лишний геморрой, а по факту - сильно безопасность не повышает.

не скажи. хитрая последователность пингов для открытия портов (средствами iptables) + популярные китайские сети в списке на drop (средствами ipset) => абсолютно чистые логи. очень способствует душевному равновесию.

Ответить | Правка | К родителю #79 | Наверх | Cообщить модератору

111. "Анализ активности атакующих, связанной с подбором паролей по..."  –1 +/
Сообщение от n242name (?), 06-Сен-20, 04:37 
единственный здоровый коментарий в этой ветке
Ответить | Правка | К родителю #79 | Наверх | Cообщить модератору

57. "Анализ активности атакующих, связанной с подбором паролей по..."  +2 +/
Сообщение от Odalist (?), 05-Сен-20, 16:18 
Шигорян, я смотрю - вы не очень глубоко прониклись философией юникс.
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

135. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от d (??), 06-Сен-20, 21:08 
И что -A? Ключ-то где хранить, если гонять трафик между серверами?
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

137. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от n00by (ok), 07-Сен-20, 12:39 
> в школе не проходили?  
> Ну спасибо Рейману скажите...

Сказали...

— Офсайт взломан! Вместо него казино вулкан 🤣. Ни с винды, ни с линукса, ни один браузер не пускает. Стоит хорошо подумать прежде чем ставить ПО от НТЦРОСА.
— Кто-то же должен спонсировать разработку. Что проще, как не вулкан порекламить чутка🤣🤣🤣
https://vk.com/wall-33847957_316831

— Здравствуйте у меня вопрос, а что стало с сайтом Росы? перебрасывает на какой то левый сайт
— боты взломали
https://vk.com/wall-33847957_316821

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

25. "Анализ активности атакующих, связанной с подбором паролей по..."  +1 +/
Сообщение от flkghdfgklh (?), 05-Сен-20, 12:09 
ForwardAgent yes в ~/.ssh/config? Не? Не слышал?
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

29. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (29), 05-Сен-20, 12:38 
Так же модно, как не понимать разницу между "чтобы" и "что бы".
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

34. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от OpenEcho (?), 05-Сен-20, 13:01 
man sshd_config => /TrustedUserCAKeys

И после этого вам не нужны ни пароли и не приватные ключи вместе с authorized_keys, а также без подключения к удаленным хостам выдавать доступ

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

76. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от totp (?), 05-Сен-20, 17:39 
Модно использовать пароль+TOTP(RFC 6238) и сначала нужно спрашивать totp а потом пароль.
SSH ключи нинужны твердо и четко.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

96. "Анализ активности атакующих, связанной с подбором паролей по..."  +2 +/
Сообщение от Odalist (?), 05-Сен-20, 19:58 
>Логин    Пароль

Odalist Odalist - и хрен догадаешься, малолетний хакер!

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

2. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Dimitriy Reznitskiyemail (?), 05-Сен-20, 08:44 
Да итижи пассатижи
[rezdm@c3po ~]$ sudo cat /var/log/secure | grep "password check failed" | less | wc -l
22532

Лог начинается с 3:30 утра где-то, сейчас 7:40.

fail2ban установлен.

Ответить | Правка | Наверх | Cообщить модератору

4. "Анализ активности атакующих, связанной с подбором паролей по..."  –3 +/
Сообщение от Терпила (?), 05-Сен-20, 08:59 
Такая же ситуевина была неделю назад, заметил по чистой случайности на следующий день после пролома. Перелил с нуля, теперь наружу только впн и смотрит.
Ответить | Правка | Наверх | Cообщить модератору

38. "Анализ активности атакующих, связанной с подбором паролей по..."  +1 +/
Сообщение от InuYasha (??), 05-Сен-20, 13:31 
Та же фигня. Гистограмму (число запросов на IP) смотрю вот так:
tail -n скольконадо /var/log/secure | grep "Failed password for" | grep -Po "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" | sort | uniq -c | sort -r | less
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

44. "Анализ активности атакующих, связанной с подбором паролей по..."  +8 +/
Сообщение от Аноним (44), 05-Сен-20, 13:47 
> sudo cat /var/log/secure | grep "password check failed" | less | wc -l

Ну ладно cat бесполезный, но зам тут ещё и less?

sudo grep -c "password check failed" /var/log/secure

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

103. "Анализ активности атакующих, связанной с подбором паролей по..."  +1 +/
Сообщение от Dimitriy Reznitskiyemail (?), 05-Сен-20, 22:01 
там второй лесс по ошибке, ибо сначала одно, потом второе через конвеер, потом треть, ипросто ctrl+w не нажалось.

А так, по-старинке.

Ответить | Правка | Наверх | Cообщить модератору

133. "Анализ активности атакующих, связанной с подбором паролей по..."  –1 +/
Сообщение от Michael Shigorinemail (ok), 06-Сен-20, 17:58 
> просто ctrl+w не нажалось

Раз уж за readline: относительно недавно ввёл в быт Alt-. (история по последнему аргументу) и Alt-d (удалить слово вправо, с Alt-b/Alt-f хорошо сочетается обычно).

Ответить | Правка | Наверх | Cообщить модератору

117. "Анализ активности атакующих, связанной с подбором паролей по..."  +2 +/
Сообщение от mos87 (ok), 06-Сен-20, 12:14 
> cat /var/log/secure | grep
>Да итижи пассатижи

сколько раз твердили миру...

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Анализ активности атакующих, связанной с подбором паролей по..."  +22 +/
Сообщение от Аноним (3), 05-Сен-20, 08:50 
Вы лучше скажите самые безопасные логин и пароль которые не перебирали ни разу. Я себе их поставлю.
Ответить | Правка | Наверх | Cообщить модератору

5. "Анализ активности атакующих, связанной с подбором паролей по..."  +1 +/
Сообщение от Дима (??), 05-Сен-20, 09:06 
Закрывайте глаза и вслепую бацайте по клавиатуре, так что бы символов двадцать минимум. Будет вам вполне надежный пароль.
Ответить | Правка | Наверх | Cообщить модератору

14. "Анализ активности атакующих, связанной с подбором паролей по..."  +3 +/
Сообщение от A.Stahl (ok), 05-Сен-20, 10:28 
И как потом эту хрень запомнить? Не проще ли взять первую попавшуюся под руку книгу и выписать оттуда какое-то предложение: "Перед посадкой в людской вагон или высадкой из него личного состава установить стремянку" Всё лучше чем "sfhjkhlk^sdnfb45"
Ответить | Правка | Наверх | Cообщить модератору

30. "Анализ активности атакующих, связанной с подбором паролей по..."  +2 +/
Сообщение от Аноним (29), 05-Сен-20, 12:45 
Завести себе приложение управления паролями.
Ответить | Правка | Наверх | Cообщить модератору

75. "Анализ активности атакующих, связанной с подбором паролей по..."  +5 +/
Сообщение от Аноним (74), 05-Сен-20, 17:35 
В облаках.
Ответить | Правка | Наверх | Cообщить модератору

104. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от ключ на 32 (?), 05-Сен-20, 22:35 
В приватных облаках.
Ответить | Правка | Наверх | Cообщить модератору

58. "Анализ активности атакующих, связанной с подбором паролей по..."  –1 +/
Сообщение от topin89email (ok), 05-Сен-20, 16:21 
Да это тоже неплохой вариант. Или реально четыре радномных слова, типа "Correct Horse Battery Staple", которые, как верно подметил xkcd, легко запомнить (до сих пор ведь помню) и сложно перебирать. https://xkcd.ru/936/

Если очень хочется чистого рандома, запоминаешь два пароля и создаёшь третий методом одноразовых блокнотов (шифром Вернема). Воспроизвести без софта сложно, но вполне реально.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

113. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от BrainFucker (ok), 06-Сен-20, 07:52 
> И как потом эту хрень запомнить? Не проще ли взять первую попавшуюся под руку книгу и выписать оттуда какое-то предложение:

Не проще, при десятках аккаунтов без записывания начинаешь забывать те что не каждый день используются.
Использую эту тулзу: https://github.com/rekcufniarb/pswrd#readme
Ничего не хранит ни на дисках, ни в облаках, не надо таскать базу между устройствами.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

166. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от dstwo (?), 16-Сен-20, 12:10 
Поздравляю, md5-хэш из адреса сайта. Никто никогда не догадается и тем более не сможет повторить...
Ответить | Правка | Наверх | Cообщить модератору

167. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от BrainFucker (ok), 16-Сен-20, 18:44 
> Никто никогда не догадается и тем более не сможет повторить...

Конечно, ведь хеш солёный мастер паролем.

Ответить | Правка | Наверх | Cообщить модератору

154. "Анализ активности атакующих, связанной с подбором паролей по..."  –1 +/
Сообщение от Брат Анон (?), 08-Сен-20, 09:35 
Пароль, который можно запомнить -- плохой пароль.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

65. "Анализ активности атакующих, связанной с подбором паролей по..."  +1 +/
Сообщение от Аноним (65), 05-Сен-20, 16:34 
В слепую печатаются только самые популярные буквы. А рандомные цифры у меня иногда даже совпадали.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

6. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от timur.davletshinemail (ok), 05-Сен-20, 09:07 
Откажись от паролей.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

118. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от mos87 (ok), 06-Сен-20, 12:15 
и такие пассы руками делает...
Ответить | Правка | Наверх | Cообщить модератору

8. "Анализ активности атакующих, связанной с подбором паролей по..."  +9 +/
Сообщение от б.б. (?), 05-Сен-20, 09:12 
я как-то вытаскивал точку с логином root и паролем 1. вроде не подобрали. начинают мудрить, перебирать всякие 123 и 123456, а до 1 никто не додумался :)
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

53. "Анализ активности атакующих, связанной с подбором паролей по..."  +1 +/
Сообщение от topin89email (ok), 05-Сен-20, 15:39 
Эх да, мудрить любят.
Вспоминаю, как один один знакомый просил перебрать пароль от какого-то архива с ценной хренью для Volkswagen. Я думал, что это нереально, пароль наверняка символов двадцать со всеми доступными символами. Друг думал, продавец идиот и пароль будет чисто цифровой и короткий.

Друг был прав, там было семь цифр. Минут двадцать в Advanced RAR password recovery хватило.

Ответить | Правка | Наверх | Cообщить модератору

71. "Анализ активности атакующих, связанной с подбором паролей по..."  –3 +/
Сообщение от Аноним (65), 05-Сен-20, 17:08 
У меня на локалхосте пароль 3. Убунта позволяла создать при установке. Но теперь, если поменять, то уже passwd не даст такой простой создать. Разве что его пропатчить.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

86. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (3), 05-Сен-20, 18:34 
Столкнулся с такой же ситуацией в Linux Mint Вот баг https://github.com/linuxmint/cinnamon/issues/9291
Ответить | Правка | Наверх | Cообщить модератору

92. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (65), 05-Сен-20, 19:31 
Ответный комментарий там забавный. Если бы они заботились о безопасности, то не разрешали бы создавать простой пароль уже при установке. К счастью, это не так.
passwd позволит задать 123, а вот 1 уже нет.
По моему, в SUSE можно любой.
Ответить | Правка | Наверх | Cообщить модератору

121. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от w0sian (?), 06-Сен-20, 12:32 
perl -e 'print crypt("3", "aa")'
Ответить | Правка | К родителю #71 | Наверх | Cообщить модератору

15. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от YetAnotherOnanym (ok), 05-Сен-20, 10:31 
Очень хороший пароль получается из говядины с бобами:
beef+fabaceae=‭4206595485‬
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

19. "Анализ активности атакующих, связанной с подбором паролей по..."  +2 +/
Сообщение от Аноним (19), 05-Сен-20, 10:51 
Лучше несколько простых слов с парой спецсимволов, чем 6-8 кракозябр.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

152. "Анализ активности атакующих, связанной с подбором паролей по..."  –1 +/
Сообщение от n242name (?), 08-Сен-20, 01:30 
> Лучше несколько простых слов с парой спецсимволов, чем 6-8 кракозябр.

не лучше, энтропия будет меньше чем у какого-нибудь 12-символьного рандомного пароля

только если слова будут не из общеупотребительного словоря и их будет миниум штуки 4, а не 2 как вы предлагаете...

таким образом лучше запомнить звучный, но случайный пароль

Ответить | Правка | Наверх | Cообщить модератору

112. "Анализ активности атакующих, связанной с подбором паролей по..."  +1 +/
Сообщение от n242name (?), 06-Сен-20, 04:47 
< /dev/urandom tr -dc _A-Z-a-z-0-9 | head -c${1:-24};echo;
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

139. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от пох. (?), 07-Сен-20, 15:05 
Ну, похоже мой test 12345 неуязвим!
(странно, почему они думают, что такой пароль бывает только у рута? Он, конечно, такой и есть, ведь очень удобно когда модная-современная почти уже готовая для десктопа система предлагает "поставить такой же", одной галочкой, но, вроде бы, удаленный логин рутом нынче несколько затруднен?)
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

7. "Анализ активности атакующих, связанной с подбором паролей по..."  +3 +/
Сообщение от timur.davletshinemail (ok), 05-Сен-20, 09:11 
Дураки должны страдать, остальным стоит волноваться не об этом. А, например, об абьюзерах инфраструктуры серверов обмена открытыми ключами PGP. Например, валидный ключ Tor Project выглядит сейчас так: http://keys.gnupg.net/pks/lookup?op=vindex&fingerprint=on&se...
Ответить | Правка | Наверх | Cообщить модератору

97. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от FixingGunsInAir (ok), 05-Сен-20, 20:04 
Огонь

А смысл такой отаки? Чисто из вредности?

Ответить | Правка | Наверх | Cообщить модератору

100. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от timur.davletshinemail (ok), 05-Сен-20, 20:17 
> Огонь
> А смысл такой отаки? Чисто из вредности?

Отказ в обслуживании классический. Притом, принципиально неустранимый для уже имеющихся ключей.

Ответить | Правка | Наверх | Cообщить модератору

10. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от onanim (?), 05-Сен-20, 09:48 
в списке нет нескольких паролей, популярных в китайских роутерах.
и это хорошо :)
Ответить | Правка | Наверх | Cообщить модератору

16. "Анализ активности атакующих, связанной с подбором паролей по..."  +4 +/
Сообщение от Аноним (19), 05-Сен-20, 10:32 
Так они их и так знают
Ответить | Правка | Наверх | Cообщить модератору

114. "Анализ активности атакующих, связанной с подбором паролей по..."  +1 +/
Сообщение от onanim (?), 06-Сен-20, 09:46 
но почему-то не пытаются брутить мир на эти пароли.
отсюда у меня два предположения:
- или китайцы на "свои" роутеры заходят через другие бэкдоры, не через дефолтный пароль
- или с китайских диапазонов брутят не китайцы. вот это мне кажется более вероятным.
Ответить | Правка | Наверх | Cообщить модератору

140. "Анализ активности атакующих, связанной с подбором паролей по..."  +1 +/
Сообщение от пох. (?), 07-Сен-20, 15:09 
Ну, и? Чего темнить-то, назвал бы какие. А то те кто не в теме, теперь же ж спать не будут, пытаясь угадать - там root:12345 или все же test:test ?

P.S. кстати, странно что нет odroid в списках.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

148. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от onanim (?), 07-Сен-20, 22:11 
отнюдь не 12345, а захардкоденные "инженерные" пароли. кому надо, сам найдёт :)
Ответить | Правка | Наверх | Cообщить модератору

11. "Анализ активности атакующих, связанной с подбором паролей по..."  +1 +/
Сообщение от Ковид20 (?), 05-Сен-20, 10:11 
Опять Китай :)
Ответить | Правка | Наверх | Cообщить модератору

12. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от А10email (?), 05-Сен-20, 10:15 
У меня на продакшене постоянно брудфорсят ssh и я могу подтвердить данные, приведенные в этой статье
Ответить | Правка | Наверх | Cообщить модератору

18. "Анализ активности атакующих, связанной с подбором паролей по..."  +1 +/
Сообщение от timur.davletshinemail (ok), 05-Сен-20, 10:34 
Да его и не на продакшене брутфорсят постоянно. В день несколько попыток долбиться на SSH/VPN домашний роутер регулярно получает.
Ответить | Правка | Наверх | Cообщить модератору

27. "Анализ активности атакующих, связанной с подбором паролей по..."  +4 +/
Сообщение от flkghdfgklh (?), 05-Сен-20, 12:12 
Дык какая боту разница «продакшен» или дом? IPv4 он и в Африке IPv4, если на нем висит ssh, то рано или поздно его боты найдут и начнутся долбиться.
Ответить | Правка | Наверх | Cообщить модератору

50. "Анализ активности атакующих, связанной с подбором паролей по..."  +2 +/
Сообщение от Аноним (50), 05-Сен-20, 15:05 
у меня не получается подтвердить, на роутере все стандартные порты в хонейпот, ссш порт хрен знает где, для того чтобы до него достучаться нужен port knocking из нескольких стадий, переборы портов с дикими даунтаймами, ну и еще по мелочи...
увы, никаких связок логин пароль просто не имею, правда есть одна проблемка, несколько тысяч постоянно сидящих в бане адресов...
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

106. "Анализ активности атакующих, связанной с подбором паролей по..."  +2 +/
Сообщение от Аноним (106), 05-Сен-20, 23:29 
Ну, забаненые адреса можно через определённый тайминг вычищать из чёрного списка, например через месяц. Всё равно либо атакующий забудет о вашем существовании, либо бот перестанет существовать.

Социальная реклама: Каждый день тысячи сервисов банят IP-адреса и оставляют их навсегда в списках. Адресов каждый день становится меньше, но люди ещё быстрее уничтожают диапазон адресов, просто внося их в бан-лист. Пожалуйста, позаботьтесь о будущем интернета! Очищайте чёрные списки IP!

Ответить | Правка | Наверх | Cообщить модератору

119. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от mos87 (ok), 06-Сен-20, 12:22 
>все стандартные порты в хонейпот, ссш порт хрен знает где, для того чтобы до него достучаться нужен port knocking из нескольких стадий, переборы портов с дикими даунтаймами, ну и еще по мелочи...

посоны тут скрипт-кидди который ваши пароли брутфорсит

Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

23. "Анализ активности атакующих, связанной с подбором паролей по..."  –7 +/
Сообщение от Козлетто (?), 05-Сен-20, 11:59 
Самое лучше решение, совсем не использовать ssh. И сами себе скажите: Зачем он вам нужен?
Ответить | Правка | Наверх | Cообщить модератору

28. "Анализ активности атакующих, связанной с подбором паролей по..."  +5 +/
Сообщение от roman (??), 05-Сен-20, 12:25 
Vnc/rdp наше все, да?
Ответить | Правка | Наверх | Cообщить модератору

45. "Анализ активности атакующих, связанной с подбором паролей по..."  +2 +/
Сообщение от Аноним84701 (ok), 05-Сен-20, 13:58 
> Vnc/rdp наше все, да?

Зачем это смузихлебство, если есть проверенные временем (и поколениями пользователей) rlogin/rsh и telnet? o_O

Ответить | Правка | Наверх | Cообщить модератору

105. "Анализ активности атакующих, связанной с подбором паролей по..."  –2 +/
Сообщение от ключ на 32 (?), 05-Сен-20, 22:39 
Вот именно потому что проверенные - их никто уже и не использует. Как и md5 в passwd, как и SSL 3.0 с TLS 1.0, как и много чего еще другого "проверенного".
Ответить | Правка | Наверх | Cообщить модератору

59. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от topin89email (ok), 05-Сен-20, 16:26 
А чем тогда? Mosh конечно неплох, но клиентов маловато
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

168. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от mr.Clinemail (?), 06-Окт-20, 17:39 
А поверх чего он по твоему работает? ))
Ответить | Правка | Наверх | Cообщить модератору

24. "Анализ активности атакующих, связанной с подбором паролей по..."  +1 +/
Сообщение от flkghdfgklh (?), 05-Сен-20, 12:08 
Все идеи менять порт это просто засовывание головы в песок. В пространстве IPv4 найти порт ssh на всех адресах доступных в данный момент дело на несколько минут(почитайте про zmap, что ли).

А вот переход ssh на IPv6-only и использование не :1 из своей подсети, а рандомного адреса из /64 выданного на виртуалку тебе хостером полностью очищает auth.log от левых попыток. Шансов что в IPv6 кто-то найдет на каком именно адресе у тебя слушает ssh практически нет. Ну и да, использование паролей тоже дурная идея, ключ и только он, в том числе ради собственного удобства.

Ответить | Правка | Наверх | Cообщить модератору

35. "Анализ активности атакующих, связанной с подбором паролей по..."  +3 +/
Сообщение от OpenEcho (?), 05-Сен-20, 13:08 
Думаю в Shodan громко смеются т.к. с их ипишников все же идет скан и по IPv6 ...
Ответить | Правка | Наверх | Cообщить модератору

61. "Анализ активности атакующих, связанной с подбором паролей по..."  +2 +/
Сообщение от flkghdfgklh (?), 05-Сен-20, 16:29 
Слушай, ну вот у меня домашний провайдер выдает /56, то есть 4722366482869646000000 адресов. Ты там как быстро что-то насканируешь?
Практика перехода для ssh на IPv6-only показывает, что в auth.log за несколько лет не появлялось попыток ботов постучать
Ответить | Правка | Наверх | Cообщить модератору

98. "Анализ активности атакующих, связанной с подбором паролей по..."  +2 +/
Сообщение от OpenEcho (?), 05-Сен-20, 20:06 
> Слушай, ну вот у меня домашний провайдер выдает /56, то есть 4722366482869646000000
> адресов. Ты там как быстро что-то насканируешь?

Во первых я не думаю что кому-тo нужны домашние сетки с ССШ. (Но если кому и надо, то блоки из резидентиал ипшек регулярно обновляются провайдерами в PBL листах)

Во вторых, проведите экспырыментус, попытайтесь в выданной вам /56 сети поставить ипишник выше чем /64 (между /56 и /64) и посмотрите если вы можете куда либо выйти в сеть. Если да, то вам повезло, т.к. большинство провайдеров на самом деле в реальности не маршрутизируют выше чем /64

В третьих, если клиенты получают айпишки через ДХЦП провайдера, гляньте диапозон в каком выдаются адреса.

Может SLAAC ? Ну так там пол адреса состоит из МАС, где первые три байта это вендор из OUI

В OVH так вообще выдают /128

Хорошо спрятались?

> Практика перехода для ssh на IPv6-only показывает, что в auth.log за несколько
> лет не появлялось попыток ботов постучать

Видимо у нас разные ресурсы...


Ответить | Правка | Наверх | Cообщить модератору

138. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (138), 07-Сен-20, 12:46 
> Во первых я не думаю что кому-тo нужны домашние сетки с ССШ.

Взлом домашних роутеров, других домашних IoT устройств и построение на их основе ботнета — это же одна из классических целей скана ssh.

Ответить | Правка | Наверх | Cообщить модератору

141. "Анализ активности атакующих, связанной с подбором паролей по..."  +1 +/
Сообщение от пох. (?), 07-Сен-20, 15:12 
а вот такой ботнет в v6 нафиг никому, действительно, не нужен. Потому что поддосить или поспамить с него можно только точно такие же шибкоумные холодильники.

Поэтому неуловимый джо пока что неуловим.

Ответить | Правка | Наверх | Cообщить модератору

153. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от OpenEcho (?), 08-Сен-20, 09:10 
> Взлом домашних роутеров, других домашних IoT устройств и построение на их основе
> ботнета — это же одна из классических целей скана ssh.

Как много вы знаете мыльниц роутеров с работающим по умолчанию ССШ?
ИоТ тоже нет смысла голым задом светить в интернет для всех, они все в основном подключаются к родному дому сами и поэтому производителю нафиг не надо их искать, сами позвонят домой, как только наивные люди выпустят чудо в интернет

Ответить | Правка | К родителю #138 | Наверх | Cообщить модератору

41. "Анализ активности атакующих, связанной с подбором паролей по..."  +1 +/
Сообщение от Аноним (36), 05-Сен-20, 13:40 
Чекер на каком порту висит ssh это уже совсем другой скрипт и время затраты. Плюс то что порт был изменен повышает шансы что ssh работает через ключи, или использует сильный пароль раз о нём позаботились.
Меняя порт ssh ты так же облегчаешь работу злоумышленнику - он просто пройдёт мимо и не будет тратить время.
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

62. "Анализ активности атакующих, связанной с подбором паролей по..."  –1 +/
Сообщение от flkghdfgklh (?), 05-Сен-20, 16:30 
> Плюс то что порт был изменен повышает шансы что ssh работает через ключи

Понижает. Потому что порт обычно меняют мамкины хацкеры прочитав об этом в каком-нибудь бложике, а ключи для вас слишком сложны уже

Ответить | Правка | Наверх | Cообщить модератору

80. "Анализ активности атакующих, связанной с подбором паролей по..."  +3 +/
Сообщение от Аноним (81), 05-Сен-20, 17:48 
В ключи тоже умеем, бложики для мамкиных кулхацкеров советует и ключики тоже.
Ответить | Правка | Наверх | Cообщить модератору

77. "Анализ активности атакующих, связанной с подбором паролей по..."  +3 +/
Сообщение от edo (ok), 05-Сен-20, 17:42 
> А вот переход ssh на IPv6-only

… добавит кучу проблем. У меня резервный оператор дома не предлагает ipv6, сотовый оператор не предлагает, в офисе никакого ipv6, и т.д., и т.п.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

37. "Анализ активности атакующих, связанной с подбором паролей по..."  –2 +/
Сообщение от Ilya Indigo (ok), 05-Сен-20, 13:30 
> Всего было зафиксировано обращение с 27448 уникальных IP-адресов/

А можно где-нибудь опубликован список, желательно в sshguard формате?
..............................
1599248863|100|4|171.239.253.26
1599254644|100|4|92.11.249.50
1599286308|100|4|108.176.197.136
..............................
Добавил бы сразу на все сервера.

Ответить | Правка | Наверх | Cообщить модератору

39. "Анализ активности атакующих, связанной с подбором паролей по..."  –1 +/
Сообщение от Аноним (39), 05-Сен-20, 13:38 
1599286911|100|4|127.0.0.1
1599291488|100|4|192.168.0.1
1599294242|100|4|192.168.1.1
Ответить | Правка | Наверх | Cообщить модератору

116. "Анализ активности атакующих, связанной с подбором паролей по..."  +1 +/
Сообщение от Сейд (ok), 06-Сен-20, 12:00 
https://security.etnetera.cz/feeds/etn_aggressive.rules
https://security.etnetera.cz/feeds/etn_aggressive.txt
Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

40. "Анализ активности атакующих, связанной с подбором паролей по..."  +5 +/
Сообщение от Аноним (40), 05-Сен-20, 13:39 
Блин, какие все нежные, как боятся, что нехорошие боты начнут к их серверам пароли перебирать...
Ответить | Правка | Наверх | Cообщить модератору

42. "Анализ активности атакующих, связанной с подбором паролей по..."  +1 +/
Сообщение от Аноним (36), 05-Сен-20, 13:43 
Кто-то просто чистюля и любит порядок.
Ответить | Правка | Наверх | Cообщить модератору

47. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (47), 05-Сен-20, 14:10 
Ну кто-то молодец потому как понимает, что кто-то перебирает ключи, а вот в реальности тоже пока вас нет и к вам в квартиру кто-то ключи подбирает вы получите уведомление от соседей или с камеры скажите мамкины жулики? Все это преступные действия и анонимность в интернетах тут мешает ловить этих людей а по факту это попытки взлома и добычи информации* Уверен что дальше их конечно придумают как искать и штртафовать но сегодня эпоха цифрового дикарства
Ответить | Правка | Наверх | Cообщить модератору

52. "Анализ активности атакующих, связанной с подбором паролей по..."  –1 +/
Сообщение от Ordu (ok), 05-Сен-20, 15:19 
> к вам в квартиру кто-то ключи подбирает вы получите уведомление от соседей или с камеры скажите мамкины жулики? Все это преступные действия

Я не знаток УК, но что-то мне подсказывает, что попытка открыть чужой замок не наказуема. Успешная попытка может быть наказуема, и то стоило бы проверить, есть ли в этом состав преступления.

> по факту это попытки взлома и добычи информации

Это уже не факты, это предположения о мотивах двигающих тем, кто запустил брутфорс. Реально в суде тебе придётся ещё попыхтеть, доказывая, что мотивом был незаконный доступ к информации. Вот приведёшь ты его в суд, а он скажет суду, что забыл пароль к своей vps, а долбился на чужую, потому что адрес попутал. И доказывай после этого, что на самом деле он намеренно пытался влезть на чужую, чтобы туда майнер поставить.

Ответить | Правка | Наверх | Cообщить модератору

69. "Анализ активности атакующих, связанной с подбором паролей по..."  +2 +/
Сообщение от Lex (??), 05-Сен-20, 17:01 
«Попытка» - это иными словами  «покушение на [название действие]».

В случае с замком жилища - покушение на:
незаконное проникновение ( 139 ук ),
кражу (ч.3 ст.158 ук ),
разбой/грабеж (162/161 ук ) если преступники считали, что кто-то был дома.


Но зависит от множества обстоятельств, а то подобным образом можно и чужой карман с кошельком «случайно» со своим перепутать..

Ответить | Правка | Наверх | Cообщить модератору

48. "Анализ активности атакующих, связанной с подбором паролей по..."  +11 +/
Сообщение от Атон (?), 05-Сен-20, 14:12 
> в десятку лидеров также вошёл пароль "J5cmmu=Kyf0-br8CsW"

это мой пароль, только я забыл от какого хоста. вот приходится на всех пробовать.

Ответить | Правка | Наверх | Cообщить модератору

70. "Анализ активности атакующих, связанной с подбором паролей по..."  +4 +/
Сообщение от olanemail (?), 05-Сен-20, 17:07 
Ну как вспомнишь, напиши
Ответить | Правка | Наверх | Cообщить модератору

49. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Анонимemail (49), 05-Сен-20, 14:32 
А что насчет port knocker? Уже не актуально?
Ответить | Правка | Наверх | Cообщить модератору

67. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от z (??), 05-Сен-20, 16:59 
Очень помогает fwknop.
Ответить | Правка | Наверх | Cообщить модератору

55. "Анализ активности атакующих, связанной с подбором паролей по..."  +1 +/
Сообщение от Аноним (55), 05-Сен-20, 16:03 
От приступов паранойи лучше пить таблетки, настройка fail2ban помогает лишь на какое-то, не слишком продолжительное, время...
Ответить | Правка | Наверх | Cообщить модератору

132. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (-), 06-Сен-20, 17:56 
погодите таблетки, socat на сервере с поднятием одноразового ssh на свободный порт и на клиенте для перенаправления на нужный порт - первое что пришло в голову
Ответить | Правка | Наверх | Cообщить модератору

56. "Анализ активности атакующих, связанной с подбором паролей по..."  –1 +/
Сообщение от Корец (?), 05-Сен-20, 16:18 
А могут ли перебрать ключ? (Не пароль, а именно ключ)
Ответить | Правка | Наверх | Cообщить модератору

63. "Анализ активности атакующих, связанной с подбором паролей по..."  +3 +/
Сообщение от flkghdfgklh (?), 05-Сен-20, 16:31 
Тебе нужно перебрать не ключ, а пару ключей. Ну можно, наверное. Думаю за три-четыре возраста Вселенной справишься :-D
Ответить | Правка | Наверх | Cообщить модератору

87. "Анализ активности атакующих, связанной с подбором паролей по..."  –1 +/
Сообщение от Корец (?), 05-Сен-20, 18:51 
Не мне нужно. Я просто когда в гугле этот вопрос задаю, то гугл толком ничего не отвечает. Поэтому решил спросить тут.
Ответить | Правка | Наверх | Cообщить модератору

134. "Анализ активности атакующих, связанной с подбором паролей по..."  +1 +/
Сообщение от Аноним (44), 06-Сен-20, 18:53 
В ключе в среднем 2048 бит (256 произвольных байт), в пароле в среднем 10 байт из подмножества печатаемых символов ASCII. Вот и считай. Если не в курсе, зависимость времени перебора от длины — экспоненциальная.
Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

157. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (157), 08-Сен-20, 15:40 
основное занудство с ключами это их учётная генерация, хранение, отзыв. учесть все факты копирования ключевой информации без специального менеджмента сложно. у обычного админзащиты ключи лежали в железном сейфе, как понимаете, тоже закрытым на ключ. и когда он уходил скважина иногда поскрипывала. когда парсят пабликдату на предмет ключа, имеется контекстная связь между ключём и сервером и перебирать сами ключи не придётся. сам ключ обычно защищён паролем что несколько усложняет жизнь. но в чём-то вы правы, иногда ключ на ssh бывает слабее пароля. вообще, вместо постоянного наблюдения за ростом неудачных попыток достаточно один раз получить уведомление о успешном входе.
Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

158. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (-), 08-Сен-20, 16:06 
ах да, совсем необязателен правильный ключ, иногда достаточно "неправильного" в нужном месте.
Ответить | Правка | Наверх | Cообщить модератору

66. "Анализ активности атакующих, связанной с подбором паролей по..."  +2 +/
Сообщение от suffix (ok), 05-Сен-20, 16:58 
Авторизация по ключу и всё-равно ломятся пароль подбирать :(

За две недели:


fail2ban-client status sshd                                   Status for the jail: sshd
|- Filter
|  |- Currently failed: 1
|  |- Total failed:     12823
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned: 172
   |- Total banned:     1050

Ответить | Правка | Наверх | Cообщить модератору

68. "Анализ активности атакующих, связанной с подбором паролей по..."  –1 +/
Сообщение от Аноним (68), 05-Сен-20, 17:00 
Помогите подобрать пароль для выхода из детского режима тв приставки. 4 символа.
Ответить | Правка | Наверх | Cообщить модератору

84. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Michael Shigorinemail (ok), 05-Сен-20, 18:05 
> Помогите подобрать пароль для выхода из детского режима тв приставки.
> 4 символа.

Начните с 0000.

Ответить | Правка | Наверх | Cообщить модератору

91. "Анализ активности атакующих, связанной с подбором паролей по..."  +2 +/
Сообщение от Аноним (44), 05-Сен-20, 19:19 
> 4 символа.

По вертикали или по горизонтали?

Ответить | Правка | К родителю #68 | Наверх | Cообщить модератору

122. "Анализ активности атакующих, связанной с подбором паролей по..."  +1 +/
Сообщение от mos87 (ok), 06-Сен-20, 12:37 
А пальцы как ставить - вертикально или горизонтально? Если даже вертикально, то у Кузьмича толще будут. (с)
Ответить | Правка | Наверх | Cообщить модератору

101. "Анализ активности атакующих, связанной с подбором паролей по..."  +1 +/
Сообщение от СеменСеменыч777 (?), 05-Сен-20, 20:20 
смотри порно в i2p со смартфона.
все дноклассники так делают.
а приставку ну её нафиг.
Ответить | Правка | К родителю #68 | Наверх | Cообщить модератору

160. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (-), 08-Сен-20, 17:09 
этот пароль, вероятно, вводят каждый день, интересное дело перехватить(ретранслировать, 2й приемник, повторить без расшифровки) ик-сигнал от пульта, более занимательно чем результат. по пульту узнать протокол. командные импульсы модулированные несущей. для RC5 "The command data is a Manchester coded bitstream modulating a 36 kHz carrier" "Сигнал пульта состоит из командных импульсов, заполненных импульсами высокой частоты (27-50(60?) кГц у разных систем)" https://metager.org/meta/meta.ger3?eingabe=перехват+ик-сигнала+от+пульта Linux infrared remote control, GNU Radio, SDR.
Ответить | Правка | К родителю #68 | Наверх | Cообщить модератору

89. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (89), 05-Сен-20, 19:10 
fail2ban это отвратительно, лучше без питона sshguard.
Ответить | Правка | Наверх | Cообщить модератору

90. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (89), 05-Сен-20, 19:17 
Хотя на верхнем уровне у меня вход по белому списку, sshguard не помешает от вылета fw.
Ответить | Правка | Наверх | Cообщить модератору

93. "Анализ активности атакующих, связанной с подбором паролей по..."  +1 +/
Сообщение от suffix (ok), 05-Сен-20, 19:51 
1. fail2ban работает не только с ssh ! И с exim и с dovecot и с mod_security и т.д.

2. fail2ban 0.11 с прогрессивным баном дюже хорош!

Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

107. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (89), 06-Сен-20, 00:29 
Питон отвратительно! Файлы логов читает с задержкой, свапает в цикле контекст. Микролаги!
Ответить | Правка | Наверх | Cообщить модератору

108. "Анализ активности атакующих, связанной с подбором паролей по..."  +2 +/
Сообщение от Аноним (89), 06-Сен-20, 00:31 
sshguard работает не только с логамм ssh, но и с exim, postfix, exim, dovecot и другим. Читай сорцы их парсера.
Ответить | Правка | К родителю #93 | Наверх | Cообщить модератору

109. "Анализ активности атакующих, связанной с подбором паролей по..."  +1 +/
Сообщение от Аноним (89), 06-Сен-20, 00:32 
Прогрессивный бан есть не только в fail2ban.
Ответить | Правка | К родителю #93 | Наверх | Cообщить модератору

124. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от flkghdfgklh (?), 06-Сен-20, 14:07 
Есть какие-то причины, помимо религиозных, по которым бы стоило променять работающий у меня 15 лет fail2ban который я прекрасно знаю на sshguard? Какие-то фичи которые могли бы заинтересовать? Если что у меня fail2ban используется не только для логов ssh'а, но, к примеру, для логов nginx'а для бана особо буйных.
Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

126. "Анализ активности атакующих, связанной с подбором паролей по..."  +1 +/
Сообщение от Сейд (ok), 06-Сен-20, 14:30 
Я предпочитаю Suricata главным образом из-за её интеграции с панелями управления.
Ответить | Правка | Наверх | Cообщить модератору

127. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (127), 06-Сен-20, 14:55 
osquery тоже что-то умеет
Ответить | Правка | Наверх | Cообщить модератору

128. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (127), 06-Сен-20, 14:57 
ossec?
Ответить | Правка | К родителю #126 | Наверх | Cообщить модератору

147. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Сейд (ok), 07-Сен-20, 21:30 
Osquery и OSSEC нет в репозиториях Fedora, а ещё Suricata - система не только обнаружения вторжений, но и предотвращения.
Ответить | Правка | Наверх | Cообщить модератору

149. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (149), 07-Сен-20, 23:01 
Чем Suricata лучше отечественных DLP-систем?
Ответить | Правка | Наверх | Cообщить модератору

151. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Сейд (ok), 08-Сен-20, 01:21 
Выбор в каждом конкретном случае зависит от бюджета, топологии сети, требуемых функций защиты, желания админа возиться с настройками и, конечно же, рисков. Коммерческие решения получают поддержку и снабжаются сертификатами, что позволяет использовать эти решения в организациях, занимающихся в том числе обработкой персональных данных. Для меня Suricata лучше тем, что абсолютно бесплатна. Но именно предотвращение утечек информации в ней реализовано на базовом уровне вроде политик идентификации номеров кредитных карт и социального страхования. Суть здесь в защите от внешних атак.
Ответить | Правка | Наверх | Cообщить модератору

120. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (120), 06-Сен-20, 12:30 
В строке root без пароля это уже взломанные хосты со своим ключом?
Ответить | Правка | Наверх | Cообщить модератору

125. "Анализ активности атакующих, связанной с подбором паролей по..."  +1 +/
Сообщение от Аноним (127), 06-Сен-20, 14:17 
Honeypot и misconfiguration
Ответить | Правка | Наверх | Cообщить модератору

145. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от пох. (?), 07-Сен-20, 16:47 
или таки находятся индивидуумы, достаточно продвинутые чтобы на самом деле разрешить рутовую (!) впрочем, это за них, помнится, делала rh, авторизацию без пароля вообще.

Я поражаюсь изобретательности этих людей!

Ответить | Правка | Наверх | Cообщить модератору

142. "Анализ активности атакующих, связанной с подбором паролей по..."  –1 +/
Сообщение от пох. (?), 07-Сен-20, 15:14 
тоже непонятно, что это за фигня. С пустым паролем авторизация ж невозможна? Или боты об этом не знают? (это ж _подбираемые_, а не успешно подобранные)
Ответить | Правка | К родителю #120 | Наверх | Cообщить модератору

143. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (127), 07-Сен-20, 15:43 
PermitEmptyPasswords yes
Ответить | Правка | Наверх | Cообщить модератору

144. "Анализ активности атакующих, связанной с подбором паролей по..."  +2 +/
Сообщение от пох. (?), 07-Сен-20, 15:57 
Ура, теперь мне вообще не надо набирать пароль!

Ответить | Правка | Наверх | Cообщить модератору

150. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (149), 07-Сен-20, 23:08 
Тебе зачем капузёр? работать нужно! а не бить по клавиатуре как обезьяна!
Ответить | Правка | Наверх | Cообщить модератору

155. "Анализ активности атакующих, связанной с подбором паролей по..."  –1 +/
Сообщение от пох. (?), 08-Сен-20, 10:04 
> Тебе зачем капузёр? работать нужно!

вот именно! А там вместо чтоб просто дать работать - какие-то пароли-шмароли, вечно ищи эту отвалившуюся бумажку с монитора, и хрен еще ж наберешь тот бред что на ней написан (вчера, кстати, пришлось - хорошо хоть, нашел).

Ответить | Правка | Наверх | Cообщить модератору

159. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (-), 08-Сен-20, 16:24 
пароль легче сохранить, чем ключи, рфиды и прочие сущности. пароли всё ещё стандарт, за которым только биометрия и чипизация. доступ без учётных данных есть у всех анонимов и обычно он заканчивается на границе социальных процессов с вовлечёнными группами.
Ответить | Правка | Наверх | Cообщить модератору

161. "Анализ активности атакующих, связанной с подбором паролей по..."  –1 +/
Сообщение от пох. (?), 08-Сен-20, 23:35 
> пароль легче сохранить

один - да. А когда их стоодин, и желательно хоть часть иметь разные - и ты уныло выдумываешь стовторой - "таак... 12345 был, qazxsw2 был, Е6ать314здецкакойнадежныйпароль не помещается в ldap schema... да ну вас нафиг, 098765 будет".
А через неделю/две/год пытаешься вспомнить - 67890? Не, не то. 456789? Да блин, что за нахрен, где листок-то?!

А вот связку ключей от квартиры ты когда прошлый раз терял?

Ответить | Правка | Наверх | Cообщить модератору

162. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (-), 09-Сен-20, 11:24 
- один - да. А когда их стоодин
написать невзрачный листок совсем непохожий на список
- и ты уныло выдумываешь стовторой
малоформатная книжка, путеводитель по провинциальной галерее затёртого года или имитация, библия
- А вот связку ключей от квартиры ты когда прошлый раз терял?
достаточно потерять за ней контроль, уснуть, например.
Ответить | Правка | Наверх | Cообщить модератору

163. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (163), 09-Сен-20, 11:59 
специальные камеры, даже смарт рядом со связкой вполне атака на обычный ключ, а электронный ключ все равно с паролем, все равно выгружается, сложность даёт возможность.
Ответить | Правка | К родителю #161 | Наверх | Cообщить модератору

164. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (164), 09-Сен-20, 12:20 
keepassx

а я сейчас думаю про rutoken. есть парочка ключей, можно сделать вход по рутокену

Ответить | Правка | К родителю #161 | Наверх | Cообщить модератору

165. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Аноним (-), 10-Сен-20, 11:54 
> keepassx

молоком из горбушки винтажнее, вместо утюга можно лазерник, так уж и быть

Ответить | Правка | Наверх | Cообщить модератору

156. "Анализ активности атакующих, связанной с подбором паролей по..."  +/
Сообщение от Anonimous (?), 08-Сен-20, 15:01 
DynDNS и готово.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру