Комментарии 12
— вытащить исходный код проприетарного приложения хранящегося в git.
Не хочу разочаровывать, но редкое приложение будет ценнее взламываемой машины. На машине могут быть ценные данные (пароли, кредитки), а исходники для обычного взломщика ничего не стоят.
Не хочу разочаровывать, но редкое приложение будет ценнее взламываемой машины. На машине могут быть ценные данные (пароли, кредитки), а исходники для обычного взломщика ничего не стоят.
На этой машине нет ничего кроме git репозитория, там больше вытаскивать просто нечего.
Может теперь они прекратят попытки?
на данный момент ssh подбирать перестали, а вот basic-автоизацию на web подбирают несмотря на то что получают в 99% случаев «сервис временно недоступен». Возможно их брутфорсер не понимает статуса 503…
В любом случае угрозы они уже не представляют. Ломанут basic — будут еще долго подбирать вход в приложение, пока там подбирают — поменяем логин и пароль на basic-авторизации. И так по кругу. Надоест менять — автоматизирую сия процесс :-)
В любом случае угрозы они уже не представляют. Ломанут basic — будут еще долго подбирать вход в приложение, пока там подбирают — поменяем логин и пароль на basic-авторизации. И так по кругу. Надоест менять — автоматизирую сия процесс :-)
Если б все администраторы так внимательно следили за своими системами, хацкерам пришлось бы туго :-)
Вы уверены, что был действительно брутфорс, а не прогон украденных трояном закрытых ключей с машин горе-разработчиков? И что эти же ключи прогоняли через все более-менее популярные хостинги git-проектов, а остановка произошла от того, что просто закончились ключи.
Вполне возможно!
А еще на Debian два года была дырища в openssl, которая позволяла именно что подбирать ключи. Их всего-то сотню-другую тысяч перебрать нужно было (количество pid * разные длины и типы).
Fail2Ban, не?
Почему не bruteblock, зачем свой велосипед изобретать?
для закрытых репозиториев имхо проще использовать ssh транспорт
ну а если требуется web доступ, то https или vpn спасают, смысла городить огород не вижу
ну а если требуется web доступ, то https или vpn спасают, смысла городить огород не вижу
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Защита gitlab и gitolite от подбора паролей и ключей