ISP Lite имеет проблему (баг) в настройках автоматической генерации паролей. Так, если стоит настройка уровня пароля Сложный, выставленная пользователем, то автоматическая генерация паролей пользователей и root паролей выдает пароль ниже сложного (отсутствуют специальные символы, например, #, %, ! и т.д.), а также по умолчанию стоят некоторые ограничения (в пароле не могут присутствовать 3 цифры подряд и т.п.). Данные ограничения значительно снижают количество паролей, которые нужно перебрать при взломе, и делают возможность взлома брут-форсом (простым перебором) более перспективной. Вполне вероятно, что данный баг сохраняется намеренно, чтобы сделать взлом системы, например спецслужбами, более перспективным. Компания Ispsystem (производитель панели) в лице техподдержки предлагает пользователю самому поднастроить уровень сложности пароля в конфигурационном файле, но мало кто над этим задумывается и будет делать, а также мало кто имет квалификацию это делать. Ниже привожу переписку с саппортом, который проигнорировал данный баг. Будьте осторожны, устанавливая пароль.
Переписка с саппортом:
Ссылки по теме:
Вы с математикой знакомы? Чтобы подобрать такой пароль нужно перебрать 218340105584896 вариантов. В ISP 5 после трёх неудачных попыток IP банится на 20 секунд. Чтобы подобрать пароль потребуется 2769407732 лет.
P.S. Ну а вообще в ISP 5 есть двухфакторная авторизация + меняйте почаще пароли.
Данная вами цифра актуальна только для неограниченных комбинаций без спецсимволов. Если ввести ограничения, то вариантов будет меньше. Давайте проверим ваше знание математики, которым вы гордитесь. Сколько комбинаций есть для пароля, состоящего из 8 символов, в котором не повторяются 2 цифры подряд, 2 буквы подряд, нет спецсимволов, нет слов из словаря, есть 4 буквы (2 строчные, 2 заглавные), есть 4 цифры, буквы всегда чередуются с цифрами, заглавные буквы всегда чередуются со строчными, среди букв первая всегда заглавная? Такой пароль по умолчанию предоставляет панель ISP Lite при автоматической генерации пароля. Типичные примеры:
T4e2P8z7
7O4b5H4o
Насчет трёх попыток - попробовал у себя три раза авторизоваться с неправильным root паролем. На четвертый раз попробовал с правильным - авторизация прошла успешно. По умолчанию в панели указанные вами ограничения отсутствуют.
Всего существует 5923125000 вариантов автоматически генерируемого по умолчанию пароля со следующими параметрами, которые известны (их нетрудно выяснить, заглянув в ваш код и мануал):
- состоит из 8 символов;
- не повторяются 2 цифры подряд;
- не повторяются 2 буквы подряд;
- нет спецсимволов;
- нет слов из словаря;
- есть 4 буквы;
- есть 4 цифры;
- 2 буквы всегда заглавные;
- 2 буквы всегда строчные;
- буквы всегда чередуются с цифрами;
- заглавные буквы всегда чередуются со строчными через одну;
- первая буква всегда заглавная;
- могут присутствовать похожие символы (O - o, I - l - 1 и т.п.).
Такой пароль по умолчанию предоставляет панель ISP Lite при автоматической генерации пароля. Типичные примеры:
T4e2P8z7
7O4b5H4o
Современные сервера могут обрабатывать несколько миллионов операций в секунду. Если пользователь не настроил ограничения (не настроил fail2ban; не назначил нестандартный порт; использует типичный рутовый логин root), то перебор брут-форсом займет:
1000 вариантов в секунду = 68,55 суток
10000 вариантов в секунду = 6,86 суток
100000 вариантов в секунду = 16,45 часов
1000000 вариантов в секунду = 1,65 часов
и т.д.
Весь вопрос только в желании не привлекать к себе внимание большим количеством запросов (незаметности) и желании взломать.
Я тебе повторяю. Ты не сможешь брутфорсить ISP. Попробуй повводить неправильные пароли и посмотри что у тебя получится с 3-10 попытки.
Я с вами на ты не переходил. Для брут-форса ISP достаточно, чтобы пользователь забыл включить опцию fail2ban и двухфакторную аутентификацию.
Защита от брутфорса в ISP есть из коробки.
Её нужно активировать, чтобы она работала. Из коробки много чего есть. Называется fail2ban в сервисах.
Её не нужно активировать. Из коробки - это значит из коробки.
Если что-то не знаете или не разбираетесь, то лучше спросить у людей знающих. Вот официальный ответ, в котором указано, что защита от брут-форса (fail2ban) не всегда активирована в системе по умолчанию.
Причем тут fail2ban.
Других защит из коробки от брут-форса, кроме fail2ban и двойной аутентификации в ISP Lite нет. Обе службы могут быть не настроены по умолчанию (сразу после установки) или деактивированы впоследствии.