OstoVol

Это случилось...⁠⁠

Я узнал логин и пароль от базы данных своего провайдера.
Нет, я не хакер или профессиональный программист.

Просто когда я на днях зашел на сайт провайдера из-за того, что в очередной раз пропал интернет (подумал что оплата закончилась) мне показали ошибку.

Далее я использовал небольшой анализ и понял, что в ошибке кроме файловой системы сервера провайдера написаны ещё и логин:пароль от БД.

"У тебя есть власть, которая и не снилась обычному юзеру" могли подумать вы. Но, к счастью или сожалению, нет

Посредством виртуальной машины с линуксом я попробовал подключиться к БД, но провайдер оказался таки не совсем уж дураком и поставил фильтр на IP адреса.

И ещё как вишенки на торте ко всему тому, что я успел написать:
1. На поддомене с авторизацией и личными кабинетами пользователей у провайдера открытая файловая система.
Под открытой я имею в виду то, что просмотреть её структуру может каждый (кроме главной папки с index).
Не уверен что это можно считать за большую уязвимость, но закрыть её насколько я знаю минутное дело.

2. Пароль от БД, честно говоря, оказался не ахти. На уровне пятикласника аля имяфамилия1337.
Никаких специальных символов, заглавных букв. Только маленькие буквы и цифры. Длинна логина 6 символов, пароля - 9.

P.S. Учитывая строку "Error: Too many connections" в ошибке, предполагаю что сервер DDOSнули, а это значит что кроме меня ещё много людей смогли увидеть то же, а некоторые возможно даже зашли дальше.

P.P.S. Если я в чём-то ошибся, попрошу не пинать, а слегка поправить :)

106

Вы смотрите срез комментариев. Показать все

Lieho

5 лет назад

Спецсимволы с заглавными буквами гарантируют лишь то, что пользователь обязательно забудет пароль)

раскрыть ветку (55)

GamerX

5 лет назад

А какой тут пользователь? Напрямую в БД кроме админа лазят только разработчики и сам веб-сервер. У разработчиков наверняка своя база, тестовая, без личных данных юзеров. А админ лезет править sql только в самом крайнем случае.

Вот и получается что мощный пароль на этом слое - обязателен.

раскрыть ветку (8)

vhruk

5 лет назад

Зачем там мощный пароль если к БД доступ только с localhost и никаких чужих пользователей на сервере нет?

раскрыть ветку (7)

GamerX

5 лет назад

Доступ к БД далеко не всегда по Localhost. Я бы сказал что держать на одной железке и сервер и БД это роскошь. От размеров сайта конечно зависит.

раскрыть ветку (6)

vhruk

5 лет назад

Если у тебя отдельный сервер БД и это не сторонний хостинг то все равно в сеть БД ни один вменяемый админ посторонних не пустит и уж тем более не выставит сервер БД голой задницей в инет.

А если ты на стороннем хостинге живешь с еще 10000 таких же сайтов на том же сервере БД то и ценность соответствующая

ko4ila

5 лет назад

Я бы хохмы ради попробовал эти логин и пароль на ssh. Эксперимент многое бы показал.

раскрыть ветку (4)

GamerX

5 лет назад

Ну уж не-е-ет. Оставлять торчащий в сеть SSH это равносильно самоубийству. Не думаю что они на столько тупые.

раскрыть ветку (3)

DELETED

5 лет назад

Торчащих в сеть ssh - миллионы.

раскрыть ветку (2)

GamerX

5 лет назад

Одно дело торчащий, но требующий ключ. Голый доступ с логином\паролем - совсем другое.

раскрыть ветку (1)

DELETED

5 лет назад

с логином паролем тоже миллионы торчат - перебор пароля бесполезен с fail2ban ом

OstoVol

5 лет назад

При обычном брутфорсе даже если добавить их в единичном экземпляре это увеличит возможное количество комбинаций в сотни раз
Да и вообще, считаю непрофессиональным, непростительным и безответственным делать простые пароли для таких важных вещей как базы данных
А ещё пароли не обязательно знать наизусть, человечество уже давно придумало бумагу :)

раскрыть ветку (44)

Lieho

5 лет назад

Да, я в курсе как работает комбинаторика. Но для увеличения сложности подбора совершенно необязательно использовать спецсимволы. Во-первых, брутфорсер все равно будет перебирать все подряд, а не только буквы (он же не знает, что там пароль vasya2005). Во-вторых, достаточно использовать длинный пароль символов из 20, и никакой брутфорс его не возьмет. И запоминать такие пароли гораздо легче, чем osDE83!fx9. Например, можно латиницей набрать запоминающуюся фразу слитно. А бумага - это классический способ слить пароль кому не надо.

раскрыть ветку (18)

iamkisly

5 лет назад

У меня такой пароль сгенерирован одним серваком lineage2 12 лет назад. Я до сих пор его помню

Bakuman

5 лет назад

Так можно не с сырого словаря перебор делать, а с, допустим, скомпрометированных паролей. (что кстати чаще всего и делают)

GarrusVak

5 лет назад

Что мешает плохому парню поставить в очередь перебора сначала комбинации из строчных букв, букв и цифр и т.д.?

раскрыть ветку (14)

Stikkerrr

5 лет назад

Да пусть ставит что угодно, тупым брутом без словаря он до следующего пришествия 20 символов перебирать будет.

раскрыть ветку (2)

GarrusVak

5 лет назад

тупым брутом

А если не совсем тупым?

раскрыть ветку (1)

Goodwall

5 лет назад

До 3 го пришествия. Главное чтобы пароль был уникальным, или почти уникальным

depresssnyak

5 лет назад

Для пароля из 20 одних лишь строчных латинских символов существует 26^20 возможных комбинаций пароля. И это овердохуя. Пускай ставит. Вообще увеличение длины пароля влияет на его защищённость гораздо больше чем увеличение его алфавита. И запомнить какую-нибудь длинную фразу намного проще чем рандомную мешанину букв разного регистра и спецсимволов. И поскольку последнее запоминается намного хуже, то его часто где-нибудь дублируют. А чем больше мест где хранится пароль, тем больше шансов что его сопрут.

раскрыть ветку (10)

CometovArt

5 лет назад

Гораздо безопасней использовать разные пароли, потому что с большой вероятностью никто брутфорсить вас не будет, а вот получить логин/пароль при сливе баз данных вполне

Сложные символьные пароли + двойная аутентификация на важные ресурсы. Всё. Ваша 20ти символьная ебола не нужна и неудобна

GarrusVak

5 лет назад

Запомнить двадцать рандомных букв проще, чем 7-10 букв и символов? Так-то в первую очередь проверять комбинации из слов и будут

раскрыть ветку (8)

depresssnyak

5 лет назад

А зачем использовать рандомные буквы? Ты можешь использовать пароль вида "ХренТебеАНеПарольМерзкийХакер". Забыть невозможно, шансы что окажется в существующих словарях стремятся к нулю, шансы что смогут забрутфорсить смехотворны.

раскрыть ветку (7)

GarrusVak

5 лет назад

Зачем создавать отдельный словарь, если такие пароли можно генерировать на лету из простого словаря?

шансы что окажется в существующих словарях стремятся к нулю

А с этим я бы поспорил

раскрыть ветку (6)

depresssnyak

5 лет назад

Ну давай, поспорим. Словарный запас россиянина окончившего школу около 50к слов(вместе со словоморфами) в моём примере выше 8 слов. 50000^8=39трлн вариантов. А если еще сделать ошибку в слове каком-то... Вселенная раньше схлопнется чем все это переберется. И про словарь ты написал какой-то бред.

Lieho

5 лет назад

В русском языке больше 200.000 слов. Для фразы из 2 слов будет 40 миллиардов комбинаций. Для фразы из 3 слов - 8000 триллионов. Генерируй на здоровье.

раскрыть ветку (4)

GarrusVak

5 лет назад

И сколько из этих 200 000 обычный человек вообще знает? Сколько он использует в обычной жизни? Тысяча, две? Разумеется, первыми на проверку пойдут самые популярные слова.

раскрыть ветку (3)

Lieho

5 лет назад

Споришь ради спора что ли? Ну ладно, тогда я беру строчку из песни "Coming down on the floor like a maniac". Записываю русским транслитом: каминдаунонзефлорлайкэмэниак. Перегоняю в английскую раскладку: rfvbylfeyjyptakjhkfqr'v'ybfr. Твои действия?

раскрыть ветку (2)

ещё комментарии

ещё комментарий

NoTY

5 лет назад

простое увеличение длины пароля на один символ даст точно такой эффект для брутфорса как и добавление любого другого случайного символа. а пароль вида "сороктысячобезьянвжопусунулибанан" в отличие от "Gh234@fgs2!"ты никогда не забудешь, а срок его брутфорса превышет срок жизни вселенной. Поэтому все эти нелепые требования на сложность пароля только бесят, а к реальности отношения не имеют.

раскрыть ветку (23)

Gadnalapax

5 лет назад

Да вы батенька уже олдовый хрен. Лабиринт отражений. Фальшивые зеркала. Тимур. Падла. Три поросёнка. Спасибо, что напомнил. Бобра тебе, бро и купюр пачками в карманслы.

virtualwyvern

5 лет назад

Именно этот пароль вполне можно встретить в словарях :)

раскрыть ветку (1)

NoTY

5 лет назад

с этим я соглашусь)

SCP1715RU

5 лет назад

Двестиписятметровкраснойтряпки, семидесятипятимиллиметровый
набираю уже с закрытыми глазами

GoldsteinE

5 лет назад

Этот прикол известен, поэтому перебирать пароли, составленные из популярных слов тоже будут. И там уже сложность гораздо меньше.

раскрыть ветку (1)

SCP1715RU

5 лет назад

Выход есть: ошибки! Намеренные ошибки в словах

Bakuman

5 лет назад

Не спасает, если твой пароль будет в словаре брутфорса.

Что спасает, так это двойная авторизация.

OstoVol

5 лет назад

Очевидно что символы добавляют именно для того, чтобы не жертвовать длинной пароля. Обьясняю на пальцах.
При брутфорсе без спец символов машина перебирает:
abcdefg...
с символами:
abcdefg... !?:'"() и т.д.
Для каждой позиции.
То есть если в первом случае ей необходимо было перебрать 26 символов (англ. алфавит, без учета заглавных и чисел, это неважно), то во втором случае 26+36=62 (насколько я помню символов всего 26)
Итого:
Если пароль состоит из 5 символов то в первом случае кол-во комбинаций будет равно около 8 000 000, то во втором 800 000 000.
И нам не обязательно делать пароль вида fl!?n
Достаточно будет doit! вместо doita чтобы заставить брутфорсера просмотреть 800 лямов комбинаций вместо 8

P.S. незнаю откуда скрин, но если он твой, то советую выкинуть сайт в помойку. Очевидно что нельзя вычислить время брутфорса потому что используется разное оборудование и алгоритмы

раскрыть ветку (13)

NoTY

5 лет назад

осталось только понять как вы определили где пользователь в пароле употребил спецсимволы а где нет. Вы я так понимаю предполагаете что в зависимости от интуиции в одном случае брутфорса подключают таблицу с английским алфавитом, во втором словарь с паролями на хинди, а в третьем непечатаемые символы. нуну

раскрыть ветку (2)

OstoVol

5 лет назад

Почти все пароли используют английскую раскладку, насколько мне известно. Теперь на счет того, что брутфорсер знает где символы, а где нет.
Да, он этого знать не может.
Но.
Если ты поставишь пароль с символами, то брутфорс без них будет бесполезен.
Поэтому брутфорсеру в любом случае нужно будет использовать брутфорс с символами. А это, в случае с 5 знаками в пароле, в 100 раз больше времени

раскрыть ветку (1)

NoTY

5 лет назад

depresssnyak

5 лет назад

Если пароль из 5 символов только латинского алфавита, то число возможных комбинаций 26^5=11кк
если добавить регистр и цифры, то
62^5=916кк
если к паролю из просто латинских букв добавить всего 2 буквы что бы получить пароль из 7 букв, то количество возможных вариантов уже 26^7=8 миллиардов комбинаций. Ты теперь понимаешь насколько увеличение длины пароля увеличивает его защищённость, относительно увеличения размера алфавита? Какой вариант запомнить проще думаю понятно и без расчётов.

раскрыть ветку (9)

OstoVol

5 лет назад

Ты не можешь в математику -_-
Количество комбинаций рассчитывается по формуле размещений, а не степени. Это первое.
Второе. Я говорю об эффективности использования количества символов в пароле. И эффективность существенно увеличивается если добавить символы, это факт
Ты же говоришь об удобности пароля, что для каждого является индивидуальным параметром.
К примеру мне несложно запомнить пароль на 30 символов и знать что в конце находится знак восклицания.
Кому-то это может оказаться и вовсе невозможным (утрированый пример конечно), кому-то несложно будет и 100 символов

раскрыть ветку (8)

Builio

5 лет назад

Вот уже год стараюсь поймать "границу" длины пароля ВК, пока что остановился на 107 символах, могу ввести пароль с закрытыми глазами, или вслух произнести, и это не обычная запоминающаяся фраза, а набор разных паролей от "hellobitch" до KgdUtsAKL015319. Кажется, меня не забрутфорсят

раскрыть ветку (1)

OstoVol

5 лет назад

Админом на кластере стану, саботаж сделаю чтобы тебя брутфорснуть :)

Pasadei

5 лет назад

"Ты не можешь в математику -_-

Количество комбинаций рассчитывается по формуле размещений, а не степени. Это первое."

Не применительно к остальному спору, а исключительно к тому, что я комментирую. В математику не можешь как раз ты. В случаях, когда символы могут использоваться без ограничений по повторениям, т.е. Каждый последующий символ выбирается из неизменяемого (не уменьшающегося) пула (26 букв) и последовательность символов имеет значение используется как раз степень. Это очевидно на примере нолей и единиц - битов. Один бит это 2^1 вариантов, т.е. два варианта, два бита это 2^2 т.е. 4 варианта, и так далее.

А формула размещения используется для других случаев. Я учил теорию вероятности не на русском, поэтому русскими терминами не владею, так бы объяснил более детально.

раскрыть ветку (5)

OstoVol

5 лет назад

Опять все на пальцах объяснять, чтобы было понятно что мы вообще считаем.
Все логично.
Итак. В чем разница между степенью и размещениями?
Возьмем все те же 5 символов в пароле.
Размещение считает только комбинации с пятью позициями. То есть * * * * *
Примеры размещения:
12345
11111
19245

Степень же включает так же комбинации с меньшим количеством символов, чем 5.
То есть подсчитывает кроме * * * * * ещё и * * и * * * и т.д.

Но мы же хотим узнать количество комбинаций ПЯТИзначного пароля
Понятно? Именно поэтому используем размещения, а не степень

раскрыть ветку (4)

Pasadei

5 лет назад

Да блин, что же вы такой трудный то?

Формула размещения не применяется ни для первого ни для второго о чем было упомянуто.

Возьмем пример, что пароль состоит из трех символов. И существует только две буквы а и б. Какие есть варианты?

ааа

ааб

аба

абб

баа

баб

бба

ббб

Т.е 8 вариантов а это как раз 2^3 . Если бы мы учитывали, что там есть ещё такие отдельные пароли, как

аа

аб

ба

бб

То формула была бы 2^1+2^2+2^3=14 удивительно, но опять совпадает, да?

Есть четыре основополагающие формулы.

Которые используется в зависимости от двух параметров: 1. Имеет ли значение последовательность (а имеет, б не имеет) 2. Может ли использоваться символ повторно или нет, т.е. "возвращается ли он в пул или выпадает" (а может, б не может).

1 формула для случая 1а2а это и есть наш случай: x^y

2 формула для 1а2б: x!/(x-y)!

3. для 1б2а:

(x+y-1)

( y )

4. для 1б2б:

(x)

(y)

Я так понимаю вторая формула и называется формулой размещения. Так вот она используется в том случае когда последовательность символов имеет значение, НО символы не возвращаются в пул.

Применить эту формулу на мой пример даже не получится, потому что это не для этого случая формула.

QussthSmorodini

5 лет назад

Лол, что за бред? Много брутфорсеров изначально знают длину пароля, чтобы пользоваться только размещениями?

раскрыть ветку (2)

OstoVol

5 лет назад

Так тут я уже говорю не о брутфорсе даже, а о комбинациях пароля

раскрыть ветку (1)

QussthSmorodini

5 лет назад

Все говорят о брутфорсе, а ты говоришь о другом. Умно

ещё комментарии

PickUpBooster

5 лет назад

Словарь же часто используется. Перебор по словарю. Вы "сороктысяч..." хотя бы с ошибками пишите :) А насчёт жизни вселенной - то просто кой-то очень медленный брудфорс :)

раскрыть ветку (1)

NoTY

5 лет назад

ну если ваш пароль в словарь самых частых паролей не входит, то вы так или иначе будете использовать полную таблицу символов, и скорость взлома будет зависеть только от длины пароля.

lavrovmem

5 лет назад

База скорее всего недоступна из инета. Зачем тут сложный пароль? Хотя я всегда что-то длинное и сложное делаю, но просто по привычке)

ещё комментарии

munrover

5 лет назад

ну так запишет в архив запароленный вася123, где зачастую и еще куча пассов

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку