Небезопасные пароли в панели управления сервером ISP Lite
ISP Lite имеет проблему (баг) в настройках автоматической генерации паролей. Так, если стоит настройка уровня пароля Сложный, выставленная пользователем, то автоматическая генерация паролей пользователей и root паролей выдает пароль ниже сложного (отсутствуют специальные символы, например, #, %, ! и т.д.), а также по умолчанию стоят некоторые огран…
Всего существует 5923125000 вариантов автоматически генерируемого по умолчанию пароля со следующими параметрами, которые известны (их нетрудно выяснить, заглянув в ваш код и мануал):
- состоит из 8 символов;
- не повторяются 2 цифры подряд;
- не повторяются 2 буквы подряд;
- нет спецсимволов;
- нет слов из словаря;
- есть 4 буквы;
- есть 4 цифры;
- 2 буквы всегда заглавные;
- 2 буквы всегда строчные;
- буквы всегда чередуются с цифрами;
- заглавные буквы всегда чередуются со строчными через одну;
- первая буква всегда заглавная;
- могут присутствовать похожие символы (O - o, I - l - 1 и т.п.).
Такой пароль по умолчанию предоставляет панель ISP Lite при автоматической генерации пароля. Типичные примеры:
T4e2P8z7
7O4b5H4o
Современные сервера могут обрабатывать несколько миллионов операций в секунду. Если пользователь не настроил ограничения (не настроил fail2ban; не назначил нестандартный порт; использует типичный рутовый логин root), то перебор брут-форсом займет:
1000 вариантов в секунду = 68,55 суток
10000 вариантов в секунду = 6,86 суток
100000 вариантов в секунду = 16,45 часов
1000000 вариантов в секунду = 1,65 часов
и т.д.
Весь вопрос только в желании не привлекать к себе внимание большим количеством запросов (незаметности) и желании взломать.
Я тебе повторяю. Ты не сможешь брутфорсить ISP. Попробуй повводить неправильные пароли и посмотри что у тебя получится с 3-10 попытки.