SMPFR

S'il y avait des clés vers d'autres serveurs, ils sont potentiellement tous compromis...

tu avais au moins modifié le firewall kali ?
vsphere client (902,443) genre a ton ip chez toi + une ip ailleurs de secours mais pas plus ca limite ce genre de failles \o/

edit : d'ailleurs avoir une vm qui peut y avoir accès aussi (suffit de mettre un vmkernel sur le réseau interne) ca permet de faire un rebond 443 au cas ou

Nous sommes d'accord. Mais travaillant essentiellement en VPN, cela va limiter le risque.


Edit 1 : @poulpito Non, car je pensais que la gestion du firewall était dispo uniquement sur la version payante.
Mais en fouillant ce matin, j'me suis aperçu que non! J'ai activé deux IP.

Edit 2 : J'ai fait la même chose pour le SSH.

Non, rien de tout ça.

Concernant ma demande au support.

malheureusement les logs sont uniquement présents dans votre serveur, nous n'avons aucuns éléments ou informations de connexion concernant votre serveur.

Mais ce n'est pas grave, je pense avoir compris.

La version du serveur était la suivante : ESXi 5.5 Update 1 Build 1623387 donc vulnérable à la faille heartbleed Le pirate a dû passer par là même si je ne peux pas le certifier à 100%. :/

Ma copine a tjrs dit que j'étais un expert en procrastination!

https://openvpn.net/index.php/access-se ... bleed.html

Je t'en prie.

Concernant les patchs ESXi, le dernier en date suffit où bien ?

http://kb.vmware.com/selfservice/micros ... Id=2076665

les patch pour heartblead datent de 2014 et sont systématiquement repris dans les patch ultérieurs.
donc oui, ça suffit

The Phucking Salt ?
-> http://www.hypervisor.fr/?p=5298

8 caractères c'est pas suffisant :/
passe à 16 voir plus, perso je mets 32.

j'utilise ca:
date +%s | sha256sum | base64 | head -c 32 ; echo
à envoyer sur un shell linux

+1, 8 caractères c'est beaucoup trop faible.
Par contre, manipuler une date c'est trop faible aussi. En fait, avec le head 32 ton nombre de mots de passe possibles se limite aux 32 premiers caractères possibles sur une base64. Inutile de prendre la date et de faire un sha.
J'ai eu le cas récemment dans un audit de code au taf, le sous-traitant faisait un MD5 d'un mot de passe quelconque, mais prenait ensuite que les X premiers caractères. Il était content de lui. Je lui expliqué que son mot de passe, quelqu'il soit, je le pétais en quelques minutes: ça faisait un truc du genre un milliards de combinaisons possibles. Bon dans ton cas ça fait quand même 32^64, ça va.

Mais ce n'est pas grave, je pense avoir compris.
La version du serveur était la suivante : ESXi 5.5 Update 1 Build 1623387 donc vulnérable à la faille heartbleed Le pirate a dû passer par là même si je ne peux pas le certifier à 100%. :/
Ma copine a tjrs dit que j'étais un expert en procrastination!

Heartbleed permet de récupérer des secrets dans la mémoire vive, mais faut avoir une sacrée chance pour chopper comme ça le mot de passe root, qui doit être chiffré ou hashé en plus. Je penche plutôt pour un défaut de configuration :/

du coup, tu conseil de remplacer par quoi la date?

Bah, pas besoin de prendre la date ni de faire un hash, pars direct sur une base64 générée à partir d'une phrase par exemple. Ou génère un mot de passe aléatoire ça ira plus vite ^^

Quand je fais des sessions de sensibilisation je conseille de former une phrase, avec majuscule, espaces et ponctuation. A partir de 15 caractères c'est extrêmement long de bruteforcer un password, surtout over Internet

surtout avec des caractères accentués façon "nordique", ça arrive pas en premier dans le dictionnaire/bruteforce

surtout avec des caractères accentués façon "nordique", ça arrive pas en premier dans le dictionnaire/bruteforce

haaaaan s'te technique de ninja Viking !! ^^

Öh Øui ^^

effectivement

Mais c'est dur a ecrire, surtout quand t'as un clavier azerty et que le serv le configure en qwerty

putain tu pars 2 ans et tu rates des trucs trop bien xD

putain tu pars 2 ans et tu rates des trucs trop bien xD

tuedieu, un revenant

kess ki dit le martel ? ca gaze ? (je vais pourrir tous les topics xD)

kess ki dit le martel ? ca gaze ? (je vais pourrir tous les topics xD)

Je me demandais justement ce que tu devenais, y a quelques jours...
Les chauffagesQuadOpteron te manquaient, pour que tu repasses ici?

t'étais habillé qd tu as pensé à moi ?

Oula, j'y suis plus du tout maintenant. je me suis remis au Retrogaming (grave erreur c'est encore plus cher que les quad ^^)

t'étais habillé qd tu as pensé à moi ?

Oula, j'y suis plus du tout maintenant. je me suis remis au Retrogaming (grave erreur c'est encore plus cher que les quad ^^)

c'est ma vie privée ça
Ouai retrogamming c'est assez la mort... y a un aspect investissement (ça se revend plus cher que ça s’achète souvent), contrairement au monde pc... mais y a aucune limite par contre...

Ouep, surtout qd on c'est du SNK ^^