Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

OS Linux

bruteforce test

None
24 antwoorden
  • Hallo,

    Ik ben bezich met 2 websites van kenissen welke op mijn servertje worden gehost.
    Van deze kenissen wil er één iemand persé een bepaald cgi script (forumpje) draaien, maar ik ben niet bekend met cgi.
    Aangezien er straks dus enkele websites gaan draaien met bepaalde rechten wil ik graag het e.e.a. testen voor ik het online gooi.
    Zo wil ik graag een bruteforce op het cgi script uitvoeren om te checken of deze veilig genoeg is, ik zit namelijk niet te wachten op problemen van iemand anders ;-).
    Indien het cgi script voldoende veilig is ben ik bereid om deze online te zetten (ze draaien nu nog ofline binnen mijn eigen lan).
    Als het goed is zou mijn firewall bruteforce attacks vanaf het internet ook kunnen detecteren, maar volgens mij werkt dit niet goed meer bij mij, want ik heb de laatste tijd vaak 'bursts' van enkele tientallen connection-attempts per seconde.
    Maar dat weet ik dus alleen zeker wanneer ik het daadwerkelijk probeer.
    Zou je een dergelijke simulatie ook vanaf localhost kunnen draaien of dient het persé vanaf een externe pc op het lan te komen ?
  • Ik kan voor het draaien van scripts op een Webserver een ding aanraden.

    1) Laat of zeer ervaren en betrouwbare programmeur iets coden.

    2) Gebruik liever voor forum software of andere scripts een bestaand script met een grote groep developpers er achter en een grote community base.

    Kijk eens op http://www.hotscripts.com wat de mogelijkheden zijn. Ik host ook een paar websites maar op mijn server komen geen eigengebakken scripts of de programmeur in kwestie moet iemand zijn met zeer veel expertisie. Dit is mijn mening hoe ik er als sysadmin tegen aan kijk.
  • [quote:c06828dc0e="m3ssi4h"]Ik host ook een paar websites maar op mijn server komen geen eigengebakken scripts of de programmeur in kwestie moet iemand zijn met zeer veel expertisie. Dit is mijn mening hoe ik er als sysadmin tegen aan kijk.[/quote:c06828dc0e]
    Dat is idd een hele goede insteek en eentje welke ik ook het liefst zou hanteren, maar aangezien ik zelf ook graag experimenteer met programeertalen en scripting etc. wijk ik daar toch regelmatig van af.

    Nu ik er over nadenk … loop je met ssh toch ook niet een risico op bruteforce ?
    Vaak is er een (of meerdere) ssh-accounts aanwezig met dezelfde inlognaam als een mailadres op dat systeem !
    Dan hoeven ze dus alleen maar het wachtwoord te bruteforcen ! :0
    Als ik hier zo bij stil sta is het geloof ik zaak dat ik z.s.m. die key's van ssh doorgrond en ga gebruiken om zo slechts enkele computers toegang toe te staan …. al is het natuurlijk wel weer een nadeel dat je dan niet van af veemde computers kun inloggen ?

    Hoe gevaarlijk is bruteforce indien ze je username al weten ?
    Dan kan een account volgens mij redelijk vlot worden gekraakt ?
  • Dit is misschien een rare vraag die totaal OT is… maar ze kwelt me al een tijdje…

    Mogen jullie in Nederland van jullie ISP's gewoon sites hosten op jullie eigen computer? of moet je daarvoor een speciaal account hebben?
    Hier in Belgie mag dit niet met de gewone accounts voor persoonlijk gebruik. (de poorten onder de 1024 zijn zelfs afgesloten dacht ik zodat je onmogelijk een service kan draaien)
  • Aantal tips om SSH te beveiligen:

    1) Sta Root logins niet toe.

    2) Gebruik het liefst password protected RSA/DSA keys maar mocht dit niet mogelijk zijn gebruik dan lange wachtwoorden met een combinatie van cijfers letters en tekens bijv. $14)/Aj+

    3) Sta alleen toe dat gebruikers van bepaalde IP adressen kunnen inloggen (dit is niet altijd mogelijk natuurlijk).

    4) Draai sshd op een niet standaard poort.
  • [quote:84092ff8c4="tafelpoot"]Dit is misschien een rare vraag die totaal OT is… maar ze kwelt me al een tijdje…

    Mogen jullie in Nederland van jullie ISP's gewoon sites hosten op jullie eigen computer? of moet je daarvoor een speciaal account hebben?
    Hier in Belgie mag dit niet met de gewone accounts voor persoonlijk gebruik. (de poorten onder de 1024 zijn zelfs afgesloten dacht ik zodat je onmogelijk een service kan draaien)[/quote:84092ff8c4]

    Van de meeste ADSL/Kabel providers mag dit tegenwoordig hier in Nederland. Vroeger is dat welleens anders geweest.
  • [quote:cb8f653e8b="Pinky & The Brain"]
    Hoe gevaarlijk is bruteforce indien ze je username al weten ?
    Dan kan een account volgens mij redelijk vlot worden gekraakt ?[/quote:cb8f653e8b]

    dit hangt volledig af van je wachtwoord heh… als je een wachtwoord van 3 tekens hebt die enkel kleine letters zijn… tja das sneller gekraakt dan een wachtwoord van 16 tekens waar kleine, hoofdletters en getallen door elkaar staan heh

    en natuuriljk moet diegene die toegang wil tot je PC elke keer dat hij een wachtwoord wil checken contact maken met je PC. en daar kan je misschien een stop op zetten
  • Btw om als webhost te fungeren hoef je natuurlijk voor deze mensen geen user account aan te maken en ze dus ook geen SSH toegang te geven. Je kunt ze ook hun site laten updaten met virtual ftp accounts en mail toegang geven met virtual mail-boxen ;) De meeste webhosts fungeren zo behalve XS4all (zullen er wel nog een paar zijn) daarbij krijgt elke user een useraccount + shell acces ;)
  • Tip: gebruik voor die ene site met cgi-scripts een UML. Veel werk… I know. Als het een betalende klant zou zijn, zou ik voor het hosten van een site met zelf gebakken cgi-scripts veel laten betalen. Dan is de tijd van een UML gerechtvaardigd.
  • [quote:2305dcc3a8="MrLeeJohn"]Tip: gebruik voor die ene site met cgi-scripts een UML. Veel werk… I know. Als het een betalende klant zou zijn, zou ik voor het hosten van een site met zelf gebakken cgi-scripts veel laten betalen. Dan is de tijd van een UML gerechtvaardigd.[/quote:2305dcc3a8]

    Nope, gewoon suexec gebruiken: http://httpd.apache.org/docs/suexec.html plus modsecurity http://www.modsecurity.org/ en phpsafemode http://nl2.php.net/manual/en/features.safe-mode.php
  • Modsecurity gooit minder nette cgi's en cookies wel eens in de war, hetgeen zelfs een site onbruikbaar kan maken. En in dat geval is een UML toch wel prettig. Maar gelukkig zijn er meer wegen naar "Rome".
  • [quote:81ead50d1c="MrLeeJohn"]Modsecurity gooit minder nette cgi's en cookies wel eens in de war, hetgeen zelfs een site onbruikbaar kan maken.[/quote:81ead50d1c]

    Dat is maar goed ook want minder nette CGI's daar houden we niet van ;)
  • Klopt…. maar als je klant die nu eenmaal heeft dan is een UML misschien acceptabel. Mits ze niet onveilig zijn uiteraard.
  • We zijn er weer ;):

    Mijn bezwaar tegen User Mode Linux is dat het weer zo'n complex (categorie SElinux) iets is terwijl met de gewone Unix tools dit soort problemen makkelijk te tackelen zijn.

    Ik heb een tijdje geleden een tutorial geschreven hoe veilig halt en shutdown te gebruiken onder Slackware met gewoon de traditionele Unix tools (o.a. Sudo). Iemand raadde daar ook User Mode Linux aan terwijl dat gewoon niet nodig is.

    Sorry Leon maar persoonlijk vind ik dat er te vaak voor allerlei complexe oplossingen wordt gekozen terwijl zoals ik al zei met de traditionele Unix tools hetzelfde mogelijk is. Jammer :(
  • Yep, yep, yep…. ben het helemaal met je eens. Persoonlijk zou ik ook alleen voor UML kiezen als de ondersteuning al in de kernel zit. Bij een aantal 2.6-oplossingen (sles9 o.a.) is dat dus. En dan is het ineens geen compleze oplossing meer. Maar in principe ben ik het helemaal met je eens.

    Of op een simpel 2e servertje ( http://mrlee.homelinux.net/multiserveroneipaddress.htm ) hiervoor kan ook he…. kost je zga niks… mrlee2.homelinux.net heb ik ook net gemaakt zo :wink:

    In hobby-sfeer zou ik ook helemaal geen site voor iemand gaan hosten die eigen scipts wil gebruiken. Dan moet ie dat maar zelf doen.
  • We zijn het weer met elkaar eens :D Volgende Nedlinux meeting een biertje ;)
  • Ben nu al een paar keer in Tiel geweest. Heb je nog niet gesproken, geloof ik…. lijkt me leuk… we zijn het zo vaak oneens en ook weer eens dat een babbel/borrel wel leuk is ja 8)
  • Tsja, ik ben een beetje van de Old Skool Unix en dat geeft soms weleens leuke discussies met de Rode Hoed mensen. Maar vaak komen we er wel uit ;)
  • Psies…. see ya IRL or virtual 8)

    Verder is iedereen om ons heen afgehaakt, geloof ik :wink:
  • [quote:96bf9a86dc="MrLeeJohn"]Verder is iedereen om ons heen afgehaakt, geloof ik :wink:[/quote:96bf9a86dc]

    Zouden ze het niet meer kunnen volgen :-?

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.