#1 4. August 2006 Angenommen jemand kommt durch ein Exploit auf dem Linux System an die shadow file.... ist es möglich die pws im Klartext rauszulesen? + Multi-Zitat Zitieren
#3 4. August 2006 ist das nicht ein bruter? sofern das pw eine bestimmte länge hat und kein gewöhnliches pw ist, dürfte das mit john the ripper nicht möglich sein oder? eine andere möglichkeit gibt es also nicht das pw rauszulesen? + Multi-Zitat Zitieren
#4 4. August 2006 John ist schon etwas mehr als "nur" ein Bruter, shadow Passwörter könnte man auch mit z.B. crack 5.0 decrypten - das dauert immer und liefert (meistens) mehr als ein mögliches Passwort. Einfach so auf die schnelle mal ein Unix Passwort zu cracken geht nicht. (sofern es ausreichend stark ist) + Multi-Zitat Zitieren
#5 4. August 2006 Hmm, kommt drauf an wie die Shadow gecryptet ist. Die Shadow kann man "unshadown" und dann sieht man den Hash. Den zu knacken dauert bei einem starken Passwort (12 Zeichen, Gross und Kleinschreibung, Zahlen drin und Sonderzeichen, Eigenkreation) Ewigkeiten und man kann es im Prinzip als "unknackbar" einstufen. Jedoch benutzt Unix meines Wissens nach (korrigiert mich) MD5. Das wurde von einem chinesischen Professor gebrochen. (Sich den Kryptovortrag spart). Man kann nur (angeblich) zu einem Hash innerhalb von einer Stunde ein funktionierendes Passwort (Kollision) mit einem P4 1,6 Ghz finden. Nunja so schnell ist in der Realtität nicht, aber so innerhalb eines Tages sollte man, mit einem guten Rechner, ein Passwort haben. PS: Ich hab schon einige Erfahrungen mit Linux (Debian) Servern gemacht. Es ist WIRKLICH nicht einfach an die Shadow dranzukommen. Glaub mir mal, ich habs selber noch kein einziges mal geschafft... (natürlich gehörten die Server mir und es war nur ein Test *hüstel*) + Multi-Zitat Zitieren
#7 4. August 2006 Anscheinend wurde es doch geschafft... da heute früh alle logs in /var gelöscht wurden und das geht nur mit root rechten. Das root pw war ein 9 stelliges random Passwort. Den Server hab ich bereits vom Netz genommen, allerdings ist mir das schleicherhaft wie der "Hacker" innerhalb weniger Stunden (3-4) das root pw "knacken" konnte. + Multi-Zitat Zitieren
#8 4. August 2006 muss er doch garnicht... verwendest du einen apache mit php? wenn ja: zu 99% liegt da das problem. wiklich saubere phpscripts gibts verdammt wenig, da ist fast immer was zu machen (grad wenn register_globals an sind) darüber isses ein leichtes, sich zugang zum benutzer wwwrun zu verschaffen, dan noch eine kleine local privilege escalation duchgeführt und zack is er drin + Multi-Zitat Zitieren
#9 4. August 2006 nein schwachsinn => in der shadow ist der hash !!! nö, das kann man zwar bei distros wie Suse auswählen (neben blowfish) standartmäßig ist es aber DES. woran kann das liegen `? unfähigkeit ? klar geht das, man braucht root rechte, dann passwd&shadow speichern, cracken => thats it quatsch, s.o. und kommt auf das passwort an mfg moep + Multi-Zitat Zitieren
#10 5. August 2006 Also der apache lief ohne php.... das exploit welches benutzt wurde war in webmin (administrationssoftware für linux). Durch eine spezielle url hatte man auf alle dateien im system lese zugriff -> somit auch auf shadow. erstaunlich ist dass der "hacker" über einen bereits gehackten server auf den root zugegriffen hat, und es ist erschreckend wie viele root server mit der alten version von webadmin laufen (ohne ip-zugriffskontrolle und mit standardport)... ein wahres freudenfest für alle skript kiddies da draußen. Jedenfalls ist der server bereits neu installiert, bestimmte sicherheitsvorkehrungen wurden getroffen um sowas in zukunft zu vermeiden und alles ist wieder in ordnung + Multi-Zitat Zitieren
#11 5. August 2006 falsch...der apache account (nobody normal oder sonstwas) hat KEINE leserechte auf die shadow !!! es sei den man ist root oder es wurden die rechte so gesetzt (so doof kann keiner sein) würde sagen der hat ein local root exploit genutzt.. die methode mit accounts zu cracken mag bei win aufgrund der LM verschlüsselung funmktionieren, aber unter linux ne zeitaufwenidige und nicht immer durch erfolg geprägte sache mit dem webmin exploit kann man zwar beliebige dateien anschauen jedoch wird das mit der shadow nur bei 0,01 % der server anschauen... mfg moep + Multi-Zitat Zitieren
#12 5. August 2006 es war das webmin exploit.... zwar hat der "hacker" alle logs in var gelöscht, aber nicht die von webmin und dort konnte man rauslesen dass er über das webmin exploit auf die shadow zugegriffen hat. ps: webmin hat mit apache nichts zu tun und läuft auch ohne apache. Ich könnte hier eine ganze reihe von servern auflisten die dieses exploit haben, damit du siehst wie das im endeffekt dann aussieht. Aber ich glaube das ist nicht im sinne der moderatoren + Multi-Zitat Zitieren
#13 5. August 2006 ähm... ohne scheiss... kollega kam mal zu mir und meinte blabla server verhält sich komisch bla... ich fand raus: er hat "chmod -R 777 /etc/" gesetzt damit er sich nich immer als root einloggen musste...... das is dann sowas wie das hier oft gelesene "ich hab keine ahnung von linux, aber mir grad nen rootserver bestellt, wie geht das?" ist echt grausam was es alles an serverbesitzern gibt + Multi-Zitat Zitieren
#14 5. August 2006 okay mit solcher dummheit kann man nicht rechnen da steht vlt was von schreibrechte auf ne webmin config aber sicher nicht auf /etc/ 777'er setzen mfg moep + Multi-Zitat Zitieren
#15 5. August 2006 das exploit war gerademal 3 std. bekannt und danach kam sofort der fix und wurde aktuallisiert (innerhalb der 3 std. wurde der server gehackt)... "chmod -R 777 /etc/" no comment dazu... eventuell solltest du mal auf die webmin seite gehen und dir das prog mal anschaun bevor du solche behauptungen aufstellst. + Multi-Zitat Zitieren
#16 5. August 2006 okay^^ den auszug will ich sehen wo steht das ich 777er auf /etc/ setzen soll^^ sodumm sind die nun auch wieder nicht ! mfg moep + Multi-Zitat Zitieren
#17 5. August 2006 ne, da steht sowas nicht, aber etc auf 777 zu setzen (ist auf dem server auch nicht der fall gewesen, frage mich wie man auf sowas bescheuertes kommen sollte) hat nichts damit zu tun ob man durch das exploit an die shadow kommt.... ist eh egal, meine frage war eine andere, somit ist das thema für mich erledigt. + Multi-Zitat Zitieren