Словари для брута ssh
Словари для брута sshСловари для брута ssh
Рады представить вашему вниманию магазин, который уже удивил своим качеством!
И продолжаем радовать всех!)
Мы - это надежное качество клада, это товар высшей пробы, это дружелюбный оператор!
Такого как у нас не найдете нигде!
Наш оператор всегда на связи, заходите к нам и убедитесь в этом сами!
Наши контакты:
Telegram:
ВНИМАНИЕ!!! В Телеграмм переходить только по ссылке, в поиске много фейков!
Один из вариантов, который выбрал я — пропатчить OpenSSH он используется в большинстве дистрибутивов. Не боян, интересная тема. ЕМНИП, на яндекс олимпиаде мы его тоже хакали примерно в том же ключе. На самом деле, может стоить сделать веб-сервис в котором будут хранится регулярно все такие пароли из баз, то бишь блеклист. Но не в этом же дело. А в том, чтобы допустим протолкнуть обновляющийся блеклист в апстрим какого-нить дистрибутива, и ставить запреты на подобные пароли. Может разумней была бы рекомендация? Да, у бота с Кто-нибудь где-нибудь хоть раз юзал этот пароль? Особенно попытки нехороших дяденек непонятны при том, что даже я зная реальный пароль в жизни на локалхост под рутом не зайду:. А у меня куча юзверов есть, которые используют unix логин, в том числе и в ssh. Им бы я запретил законодательно: Кстати, ребята из OpenSSH говорят, что это подрывает безопасность. Потому что успешные логины с их паролями тоже будут в auth. И тот, кто сможет его прочитать, сможет залогиниться под всем, что увидит в auth. А у этих пользователей полная свобода действий? Или, может, это персонал? Это я к побоянить о красивом лдапе, с разграничениями по правам, возможностям и задачам. Предполагаю, что безопасностью в первую очередь должны админы заниматься, а не они. Ну эт и так ясно. Я просто уже прикинул схемку, в которой поставлю пару таких ветряных ловушек, буду собирать пароли, что любят боты, ну и запилю примитивную надстройку, для проверки паролей, что будут придумывать себе сотруды. Ну не рутовый же! В моём отделе нету рядовых сотрудников. Не в белости дело, и не только на 22 боты стучат. А саму базу паролей то ты откуда возьмешь? Я и говорю - делать онлайн блеклист под них было бы прикольно. Другой выход - это руками всегда генерировать пароль самому для юзверей. Либо скриптом, где есть регистрация. Причём часто юзвери сами рады такому. Я раньше раздавал логины так: И запомнить легко, и долго брутить будешь. Я всегда, когда ставлю пароли, использую только генератор. Онлайн сервис это конечно хорошо, разумно объединить усилия, но не всегда будет возможность это использовать. Потому и свою можно заиметь, что бы не быть в зависимости от политик сбора и объединений данных, в этом возможном общем сервисе. Для больших объёмов - это весьма шаткая схема. Мы пасём, помимо здравомыслящих, полторы тысячи юзеров нашей компании. Так вот такие пароли незапоминабельны, и эти Сейчас обсмактываем другие политики. Please create a password. Your password needs to contain a capital letter, a number, an emoji, 8 elements from the Periodic Table, and a plot containing a protagonist with some character development and a twisted ending. Пожалуйста, уговори тазика сделать это опциональным. Смысла в таком пути сбора скомпрометированных паролей нет, это медленно, и малоэффективно. Так что это баловство. Какеры используют готовые словари, которые запросто ты нагуглишь, я гарантирую это. В контексте ssh, раздам ключи, если в доступе действительно есть необходимость и у того кому нужен доступ, действительно так туго с памятью. Естественно, логиниться он будет в чрут. У меня может, даже, где-то остались словарики, для вардрайвинга. А мне виртуалку как-то захватил китайский бот. У меня он оставил бинарь, тихо слушающий кастомный порт, ну и добавил себя в вайтлист апитейблса. Думаю ждало команд, будучи частью ботнета. Знать, какой пароль используется, всё равно важно. Пароли и рута, и обычного юзверя от рабочего компа я им дал, конечно, мне жалко чо ли. Спустя пару недель, эти самые связки были использованы для попытки проникновения на мой домашний комп. Этим гебням невдомёк что ли, что одинаковые пароли ставить — моветон. Зато я сразу же узнал, что это — они, потому что никто больше причём с первой попытки мои пароли и логины знать не мог: Там всё разделено очень. Походу cacutza очень популярный пароль. А ведь он всегда первый. То есть цепочка всегда начинается с этого cacutza, потом только все остальные. Лишняя попытка же тратится. RU Регистрация - Вход. Failed password for root from Connection closed by Permission denied, please try again. Особенно попытки нехороших дяденек непонятны при том, что даже я зная реальный пароль в жизни на локалхост под рутом не зайду: Большая часть дистрибутивов из коробки разрешают логин рута. Это мне совсем непонятно. Всегда можно su -l потом, если что. Но запрет на простые пароли ты как сделаешь? Кстати, а абьюзы на Пиши и прикладывай логи. Плюс, пиши не только на эту айпишку, но и апстримам. Ну я от себя выложу список, которым меня сейчас брутят. Только подожду пару дней. Ну и passwd доступным только руту держать. Значит, юзвери это будут записывать где-либо. Ключи лучшего всего, имхо. Ключи замучаешься таскать с собой на всякие вписки. Я о ssl ключах, если что. Connectbot на ведроиде же. Для меня это невозможно. У меня и ноут всегда с собой. Плюс ссх ключи тоже защищены паролем. Так а может лучше исправить патч и логировать только неуспешные попытки? Ну и да - ты изобрел ханипод: Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив. Такое правило IPtables имеет право существовать?
Немного SSH
Словари для брута
Списки слов (словари)
Брутим SSH без напрягов.
Словари для брута Telnet/SSH/HTTP/FTP/ИТД.
Словари и пароли для брута
Брутим пароли с Гидрой (hydra)
Please turn JavaScript on and reload the page.
Мефедрон выводится из организма