Комментарии 5
Ну, да. Даже в Графане требуется авторизация. А в МонгоДБ — по дефолту нет.
Юбикам про эту «фичу» не сообщили? А то как-то несекьюрно вдруг по всему миру стало.
Юбикам про эту «фичу» не сообщили? А то как-то несекьюрно вдруг по всему миру стало.
Согласен, первая мысль, которая возникла при опробовании данного способа — «Чьорт побьери, ведь даже sudo не просит. Так тут можно вообче на контроллере получить че хошь».
Но на убнтшном форуме пишут, что в монгодб доступ только локалхост, поэтому и метод вполне себе приемлемый — ведь доступ к серверу уже имеется.
Но на убнтшном форуме пишут, что в монгодб доступ только локалхост, поэтому и метод вполне себе приемлемый — ведь доступ к серверу уже имеется.
Вообще говоря, наружу не должны торчать никакие порты, если доступ к ним не нужен — надо блокировать на уровне файрвола все, что не должно быть открыто (всегда ваш, кэп). Тогда, даже если наколбасить конфигурацию с привязкой не только на localhost (или забыть про конфиги старой версии MongoDB), то жить станет немного проще (вот тут ребята из Shodan написали чуть подробнее про момент с версиями).
Еще можно было бы попробовать hashcat-ом забрутить перестановки соседних букв и опечатки, если предполагаемый пароль известен
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Сброс пароля контроллера UniFi