Super die Serie über Pentesting. Kurz, knackig und informativ. Bitte weiter so.

Informatives Video! 👌🏼 Für SSH ist ohne Zweifel ein Key-Auth (Private/Public Key) unerlässlich noch dazu sollte man seinen SSH Dienst weiter schützen, indem man beispielsweise den Port abändert und stärkende SSH Konfigurationen vornimmt. Von ggf. einer Firewall ganz zu schweigen 🖖🏼

Klasse Vielen Dank bitte mehr davon. 👍🏼

klasse. mach weiter so. Sehr Interesannt und Spannend :)

Super erklärt. Bitte weiter so 😀

Super Reihe- sehr informativ 🤪👍🏻

Interessant ;) Gern mehr solche Videos

Ja gerne weitere Videos davon

sehr nice kannst du mal zum Thma Metasploit machen (wird wohl eher ne ganze Videoreihe werden)... Weiter so

Super informativ. Hydra kannte ich noch nicht. Aber du hättest einen Hinweis auf das publickey-Verfahren geben können, das verhindert einen bruteforce-Angriff

Was ich interessant finde, ist dass meine Server im Internet dauernd von SSH Bots angegriffen werden, obwohl Passwörter deaktiviert sind (nur SSH Keys können zur anmeldung genutzt werden). Ich dachte die Bots wären so schlau und merken, wenn man sich gar nicht mit Passwörtern anmelden kann...

Man könnte jetzt noch einen Tarpit Container dranhängen um zu sehen was da im Netzwerk passiert ist.

Kommentar Für neue Videos !

Pupsbärchensonderzeichen

OpenVAS würde mich Mal interessieren.

Und aus genau diesem Grund habe ich bei allen meinen Servern ssh-login per Passwort deaktiviert, und meistens brauchts auch erstmal einen VPN in mein Netz weil ich SSH normal nicht ans internet expose

Hm, ich würde generell immer zu Kali greifen. Aber die PW-Liste ist bei Kali bereits enthalten, man braucht diese nicht runterladen. Ich Penteste seit drei Jahren mit dem selben Kali welches ich vor drei Jahren installiert habe. Hydra ist mächtig aber wer ssh auch nicht auf z.B. 5 attemps mit time konfiguriert, sollte auch bestraft werden. Aber mal abgesehen davon, inzwischen Pentestet man nicht mehr ohne Gehirn wie z.B. mit Hydra... Man denkt nach und will möglichst einfach, ohne BruteForce, ein System kompromittieren.

man könnte auch eine gute gpu mit einbeziehen dann gehzs sehr schnell beim brutforcen

Sehr nett, aber wer bitte, der es ein wenig ernst meint, lässt seinen ssh zugang eines public servers noch auf defaultport 22 laufen und dann auch noch mit root passwort login? Da lobe ich mir Hoster die selbst bei 1€ VPS Servern ssh zugang nur über ssh key zulassen. Port muss man dann natürlich noch selber ändern.

Super und nebenan schlägt mir YT den Kanal Programmierenlernen vor *sigh* mit Server "hacken". Warum hab ich da drauf geklickt? Ich muss meinen Klick Reflex kontrollieren.

sorry, aber alles unter 25 Zeichen, vollständig random generiert, bringt heute gar nichts mehr. Und mit einem Passwortmanager spielt es doch keine Rolle mehr, ob ein Passwort 25 oder 36 Zeichen hat.