Informatives Video! 👌🏼 Für SSH ist ohne Zweifel ein Key-Auth (Private/Public Key) unerlässlich noch dazu sollte man seinen SSH Dienst weiter schützen, indem man beispielsweise den Port abändert und stärkende SSH Konfigurationen vornimmt. Von ggf. einer Firewall ganz zu schweigen 🖖🏼
Super informativ. Hydra kannte ich noch nicht. Aber du hättest einen Hinweis auf das publickey-Verfahren geben können, das verhindert einen bruteforce-Angriff
Was ich interessant finde, ist dass meine Server im Internet dauernd von SSH Bots angegriffen werden, obwohl Passwörter deaktiviert sind (nur SSH Keys können zur anmeldung genutzt werden). Ich dachte die Bots wären so schlau und merken, wenn man sich gar nicht mit Passwörtern anmelden kann...
Und aus genau diesem Grund habe ich bei allen meinen Servern ssh-login per Passwort deaktiviert, und meistens brauchts auch erstmal einen VPN in mein Netz weil ich SSH normal nicht ans internet expose
Sehr nett, aber wer bitte, der es ein wenig ernst meint, lässt seinen ssh zugang eines public servers noch auf defaultport 22 laufen und dann auch noch mit root passwort login? Da lobe ich mir Hoster die selbst bei 1€ VPS Servern ssh zugang nur über ssh key zulassen. Port muss man dann natürlich noch selber ändern.
Hm, ich würde generell immer zu Kali greifen. Aber die PW-Liste ist bei Kali bereits enthalten, man braucht diese nicht runterladen. Ich Penteste seit drei Jahren mit dem selben Kali welches ich vor drei Jahren installiert habe. Hydra ist mächtig aber wer ssh auch nicht auf z.B. 5 attemps mit time konfiguriert, sollte auch bestraft werden. Aber mal abgesehen davon, inzwischen Pentestet man nicht mehr ohne Gehirn wie z.B. mit Hydra... Man denkt nach und will möglichst einfach, ohne BruteForce, ein System kompromittieren.
Super und nebenan schlägt mir YT den Kanal Programmierenlernen vor *sigh* mit Server "hacken". Warum hab ich da drauf geklickt? Ich muss meinen Klick Reflex kontrollieren.
sorry, aber alles unter 25 Zeichen, vollständig random generiert, bringt heute gar nichts mehr. Und mit einem Passwortmanager spielt es doch keine Rolle mehr, ob ein Passwort 25 oder 36 Zeichen hat.
Super die Serie über Pentesting. Kurz, knackig und informativ. Bitte weiter so.
klasse. mach weiter so. Sehr Interesannt und Spannend :)
Interessant ;) Gern mehr solche Videos
Klasse Vielen Dank bitte mehr davon. 👍🏼
Super erklärt. Bitte weiter so 😀
Informatives Video! 👌🏼 Für SSH ist ohne Zweifel ein Key-Auth (Private/Public Key) unerlässlich noch dazu sollte man seinen SSH Dienst weiter schützen, indem man beispielsweise den Port abändert und stärkende SSH Konfigurationen vornimmt. Von ggf. einer Firewall ganz zu schweigen 🖖🏼
Super Reihe- sehr informativ 🤪👍🏻
Ja gerne weitere Videos davon
sehr nice kannst du mal zum Thma Metasploit machen (wird wohl eher ne ganze Videoreihe werden)... Weiter so
Super informativ. Hydra kannte ich noch nicht. Aber du hättest einen Hinweis auf das publickey-Verfahren geben können, das verhindert einen bruteforce-Angriff
Hast absolut Recht.
Man könnte jetzt noch einen Tarpit Container dranhängen um zu sehen was da im Netzwerk passiert ist.
OpenVAS würde mich Mal interessieren.
Kommentar Für neue Videos !
danke :D
Was ich interessant finde, ist dass meine Server im Internet dauernd von SSH Bots angegriffen werden, obwohl Passwörter deaktiviert sind (nur SSH Keys können zur anmeldung genutzt werden). Ich dachte die Bots wären so schlau und merken, wenn man sich gar nicht mit Passwörtern anmelden kann...
Pupsbärchensonderzeichen
man könnte auch eine gute gpu mit einbeziehen dann gehzs sehr schnell beim brutforcen
Und aus genau diesem Grund habe ich bei allen meinen Servern ssh-login per Passwort deaktiviert, und meistens brauchts auch erstmal einen VPN in mein Netz weil ich SSH normal nicht ans internet expose
Ja perfekt. Genau für sowas dienen die Videos. Sensibilisierung der Zuseher.
Sehr nett, aber wer bitte, der es ein wenig ernst meint, lässt seinen ssh zugang eines public servers noch auf defaultport 22 laufen und dann auch noch mit root passwort login? Da lobe ich mir Hoster die selbst bei 1€ VPS Servern ssh zugang nur über ssh key zulassen. Port muss man dann natürlich noch selber ändern.
Hm, ich würde generell immer zu Kali greifen. Aber die PW-Liste ist bei Kali bereits enthalten, man braucht diese nicht runterladen. Ich Penteste seit drei Jahren mit dem selben Kali welches ich vor drei Jahren installiert habe.
Hydra ist mächtig aber wer ssh auch nicht auf z.B. 5 attemps mit time konfiguriert, sollte auch bestraft werden. Aber mal abgesehen davon, inzwischen Pentestet man nicht mehr ohne Gehirn wie z.B. mit Hydra... Man denkt nach und will möglichst einfach, ohne BruteForce, ein System kompromittieren.
Super und nebenan schlägt mir YT den Kanal Programmierenlernen vor *sigh* mit Server "hacken". Warum hab ich da drauf geklickt? Ich muss meinen Klick Reflex kontrollieren.
sorry, aber alles unter 25 Zeichen, vollständig random generiert, bringt heute gar nichts mehr.
Und mit einem Passwortmanager spielt es doch keine Rolle mehr, ob ein Passwort 25 oder 36 Zeichen hat.