很喜欢群友的一句话 几百万的防火墙也顶不住密码123456 三A他们特地发公告声明的缘故应该就是怕小白用户沾边,毕竟他们真敢说我都没做凭什么删我机 应该和阿里腾讯说不能搭魔法一样,只是给自己留个后路,实际你自己用用谁管你,你用的什么协议人家都清楚 目前哪吒没有爆出(至少没公开爆出)任何0day漏洞,包括之前说全网扫端口不也没后续了吗 不能说谁有问题谁没问题,你使用任何权限高的服务都应该做好这些安全防护,ssh端口你设个用户名root端口22密码123456被入侵了能说是ssh有漏洞嘛? 这件事我觉得主要缘故还是因为哪吒既然设置了webssh这个功能,就应该强设置二步验证或者github验证之类的,至少不能有默认用户名和密码这个概念,应该强制要求安装时手动设置用户名。 总的来说哪吒没爆出漏洞之前,罪不至死 自己做好防护比什么都重要
v0只能使用auth2,v1有几个用auth2的,一个探针都需要一键脚本搭的,出问题不是正常 但是哪吒监控也是,真有人生产上用哪吒监控的?不都是当个探针用的吗,所以默认关闭web ssh不好吗,这些都需要自己手动关闭,加上之前v0升级v1时候搞出来的事情,被骂也正常 最后还有给面板套cdn的,不知道意义在哪里,防止被扫?(做不到),防止被打?加上前几天cf的问题导致探针大面积掉线,真的是闲得没事给自己找事
@pioneer #7 @一介书生 #8 @facetoface #6 @丿啦灬啦啦 #3 应该是的。 是不是可以建议nezha从源头上做一些强制措施(没用v1,不太了解现有措施)。 例如 1、默认生成随机强壮密码。 2、默认检查修改密码复杂度。 3、默认密码防爆破机制,如错误锁定。 4、如关闭内置安全措施,声明自己承担被入侵后果。 5、可选开启Basic Authentication、二次认证之类的增强措施。
目前没看出有什么漏洞,就是因为用脚本安装后是默认密码,然后被扫了,而机器的ssh默认脚本是开着的,问题也好解决,默认脚本设置随机密码,然后后台的探针一键指令加上关闭ssh,但说句实话,你就算随机密码,有很多人为了方便也会改到简单密码,这种事避免不了,反而是有些开网站的没这种安全意识挺离谱的
很喜欢群友的一句话
三A他们特地发公告声明的缘故应该就是怕小白用户沾边,毕竟他们真敢说我都没做凭什么删我机
应该和阿里腾讯说不能搭魔法一样,只是给自己留个后路,实际你自己用用谁管你,你用的什么协议人家都清楚
目前哪吒没有爆出(至少没公开爆出)任何0day漏洞,包括之前说全网扫端口不也没后续了吗
不能说谁有问题谁没问题,你使用任何权限高的服务都应该做好这些安全防护,ssh端口你设个用户名root端口22密码123456被入侵了能说是ssh有漏洞嘛?
这件事我觉得主要缘故还是因为哪吒既然设置了webssh这个功能,就应该强设置二步验证或者github验证之类的,至少不能有默认用户名和密码这个概念,应该强制要求安装时手动设置用户名。
总的来说哪吒没爆出漏洞之前,罪不至死
自己做好防护比什么都重要
v0只能使用auth2,v1有几个用auth2的,一个探针都需要一键脚本搭的,出问题不是正常
但是哪吒监控也是,真有人生产上用哪吒监控的?不都是当个探针用的吗,所以默认关闭web ssh不好吗,这些都需要自己手动关闭,加上之前v0升级v1时候搞出来的事情,被骂也正常
最后还有给面板套cdn的,不知道意义在哪里,防止被扫?(做不到),防止被打?加上前几天cf的问题导致探针大面积掉线,真的是闲得没事给自己找事
自己使用弱密码的机场主都赖哪吒
说句公道话,确实是背锅侠了
@pioneer #7
@一介书生 #8
@facetoface #6 @丿啦灬啦啦 #3
应该是的。
是不是可以建议nezha从源头上做一些强制措施(没用v1,不太了解现有措施)。
例如
1、默认生成随机强壮密码。
2、默认检查修改密码复杂度。
3、默认密码防爆破机制,如错误锁定。
4、如关闭内置安全措施,声明自己承担被入侵后果。
5、可选开启Basic Authentication、二次认证之类的增强措施。
我也想知道下
背锅侠
哪吒v1,弱口令,被第三方入侵不是很正常吗,不是弱口令就不用担心
经过我的多方观察,不是没有实锤,是没有漏洞
肉鸡老老实实做肉鸡好了
应该是自己的问题
主要是默认弱密码要命,容易被扫
目前没看出有什么漏洞,就是因为用脚本安装后是默认密码,然后被扫了,而机器的ssh默认脚本是开着的,问题也好解决,默认脚本设置随机密码,然后后台的探针一键指令加上关闭ssh,但说句实话,你就算随机密码,有很多人为了方便也会改到简单密码,这种事避免不了,反而是有些开网站的没这种安全意识挺离谱的