Also was sind Standartpasswörter ??? ja das is doch ganz einfach Passwörter die als Standart beim Produzieren des Produkts mit auf den Weg geben wurden... dies Stellt eigentlich nur Sicherheitsprobleme dar... mit Gewaltigen Standart Passwortlisten findet man z.B. für jedes BIOS ein Masterkey / Masterpassword was einen denn Zugriff zum Bios erlaubt .... Solch eine Liste befindet sich schon auf meiner Website. Aber es gibt auch noch eine Art die nicht dort beschrieben ist genierische Schlüssel wie : F1 , F3 , STRG + F1 , STRG + F3 , STRG + SHIFT + ESC , ENTF , STRG + ALT + S , STRG + ALT + EINFG .. naja wenn man denn Zeit hat einen Rechner zu öffnen kann man auch das CMOS auf denn Standart zurücksetzten (kein Passwort) naja dieser Jumper ist meistens auch beschriftet aufm Board !!

Dann gibts aba auch noch die die Standart PWD's in Router die wiederum auch ein riesiger Sicherheitsloch sein können ;-) da wären Standart PWD'S in 3COM Switches User : debug Passwort : synnet folgende Anbieter besitzen ebenfalls Standart pwd's Ericsson Tigris , Ascend Pipelines/MAX , Bay Networks , BreezeCom Adapter , Catalyst 1880 , Cisco IOS 9.1, Compaq Netelligent , DCM Brasx/IO1 , Develcon Orbiter , Digital ATM switches , Flow Point 2000 , Motorla Cable Router , Smartswitch , Shiva VPN Gateway , Webramp M3.... hehe das war so eine kleine Liste an Geräten die betroffen sind *g* Naja eine Liste sollte man im Netz finden können ;-) naja diese Varianten sind auch nicht gerade die bevorzugten ;-) aber ich wollte sie mal erwähnt haben ;-)

Kurze Einführung in chmod r = Leserecht , w = Schreibrecht , x = Ausführbar machen , Bsp:

-rwxrwxr-x 1 TGRuleZ Newbie <--- das heißt Alle anderen aus der Gruppe dürfen nur Lesen (r) und ausführen (x) die aus der Gruppe und der Eigentümer darf alles

- Die ersten 3 Zeichen geben die Rechte des Eigentümers an

- Die weitern 3 Zeichen geben die Rechte der Gruppe an

- Die letzten 3 geben die Rechte aller anderen Benutzer an

man kann auch wiederum "chmod 751 myscript.c" machen wobei man mit diesen 3 Zahlen auch wieder die Rechte des Eigentümer , Gruppe , Alle anderen festlegt ;-)

SUID und SGID Files sind etwas besonderes diese Dateien übernehmen automatisch dieselben Rechte wie ihr Eigentümer ... so nun zu dem Problem stellen wir uns vor ein Programm läuft mal als root ;-)))) so nun kommt ein normaler benutzer und verwendet dieses Programm , was haben wir gelernt ??? ja genau jeder User übernimmt dann die Rechte von root , dies kann zu einem Sicherheitsproblem führen :-))

!!!! mit " find / -perm +4000" kann man SUID Files finden !!!!!

Es gibt doch schon eine Recht lange Liste an Programmen aber leider keine komplette Liste aller Programme die SUID probleme haben.

Ja, ein Passwortangriff ist heutzutage nun wirklich nicht mehr schwer , da es genug tools gibt die sich spezialisiert haben einen solchen Angriff voll automatisch durchführen zu lassen mittels Brute Force (BF) meistens erlangt man dabei Zugriff auf das System durch eine schlechte Passwortsicherheit. HeHe ein angehender Hacker lernt als erstes etwas über Passwortangriffe da sie recht einfach durchzuführen sind *ggg* (war bei mir auch so) *gg*

Wie und Wo speichert Linux denn überhaupt die Passwörter ?

Also das File nennt sich passwd und man findet es unter /etc/passwd kann man sich dann anzeigen lassen mit cat /etc/passwd ...

root:80zrR2ac.lEGY:0:0:root:/root:/bin/bash <--- so sieht kann ein eintrag aussehen ohne Passwort Shadowing.... man kann deutlich erkennen das es sich wohl um denn User : root handelt dahinter steht das mit DES verschlüsselte Passwort... So ein problem ist im Prinzip das diese passwd für jeden user lessbar ist .... also könnte man z.b. cat /etc/passwd > passwd.save machen und man hat es in einer Datei die sich mit dem FTP übertragen lässt...

Files ohne Passwort Shadowing sind eher selten geworden oder eigentlich existieren sie nicht mehr da jede UNIX Plattform das mitlerweile alleine installiert ;-)) aber wie schon oben erwähnt kann man mithilfe von SUID Files Acess auf diese Datei bekommen ;-) oder auch andere Bugs gibts da ... dazu meldet man sich am besten bei einer der Führenden Mailingliste an , so wie ich auch , bei http://www.securityfocus.com/ da findet ihr alles was Akutell is nicht nur im Linux sondern auch über Windoof , Viren etc... aber das rockt da... manchmal fliegen in der mailing liste auch geile C quellcodes rum ;-)

witziger bug is der hier :

$ export RESOLV_HOST_CONF=/etc/shadow
$ rlogin /etc/shadow

oder auch http://packetstorm.widexs.nl/ bietet viele info's !!!!!!! SEHR VIELE :D

so nun hat man das PWD File was nun ? *g*

Man nimmt PWD Cracker darfür wie:

Dictionary's findest du hier :

ftp://ftp.uni-stuttgart.de/pub/security/passwd/wordlists/ <--- über 130 MB ;-))))
ftp://ftp.ox.ac.uk/pub/wordlists/
ftp://ftp.cerias.purdue.edu/pub/dict/wordlists/

das sind die 2 besten die man da so benutzen kann ;-) es gibt aber auch noch Killer Cracker und Lard usw... aber die beiden kann ich nur wärmstens empfehlen ;-)

Viel Spaß :-)

Jeder kennt sie , jeder mag sie ;-) diese kleinen niedlichen progz und toolz die zur Remote Administration eingesetzt werden ;-) da gibt's die witzigsten dinger ... es gibt welche die täuschen bei Linux denn Login Screen vor (intruderf.c) ;-) usw.. naja für Windows gibts da ja Back Oriffice 2000 sowie auch Sub7 Version 2.1BETA das sind mit 2 der bekannstesten ;-) es gibt natürlich auch die Möglichkeit nach infizierten Rechnern zu suchen ;-) und sie nicht selber zu infizieren dazu nimmt man am besten denn Portscanner "Superscan" dieser Portscanner unterstützt das durchsuchen nach Trojaner üblichen Ports ... um die Liste zu erweitern kann man die Liste manuell erweitern mit folgender Liste so kann man dann infizierte Rechner im Netz finden ;-). Die Handhabung von Trojanern is immer schon sehr simple gewesen immer nach dem Server & Client Prinzip , wer wirklich gut is schreibt sich seinen eigenen (kein Virenscanner erkennt ihn ,wenner nich ausm dummen Virengen is , aber Leute mit diesem Level sollten dann doch bitte meine Seite verlassen ) ;-) ... Naja mit Hilfe von Trojanern hat man dann halt die Möglichkeit Keylogger laufen zu lassen , bestimmte PWD's auszulesen (Outlook , DFÜ , ICQ , MSN , Websiten) viele Leute lassen ihre Passwörter Cachen was die Sache noch erleichtert , Passwort Caching SOFORT ausschalten , so wir haben es nun geschafft an ein T-Online PWD zu kommen , dann schauen wir doch mal hier vorbei http://t-online.t-online.de/t-on/kund/star/CP/cc-start.html Webmail könnten wir dann mal nachsehen ;-))

Viren , sind eigentlich ein schlechter Still ... dienen eigentlich nur zur vollkommenden Zerstörung und bringen einem im prinzip nix ... außer man würde Trojaner und Virus verbinden was ja Back Oriffice 2000 macht löschen und so weiter möglich na klar Sub7 auch ;-) Aber Viren wie ich sie meine sind so "KaRaDe" eine kleine Vision eines Virrus den ich nie umgesetzt habe , wobei ihn ihm eine Reihe von witzigen Ideen stecken ;-)

Also leutz wasn nun ein Scanner ja das ist wiederum ein Programm was nach Fehlern im System sucht (Konfiguration).

Man unterscheidet zwischen Systemscannern die halt nur Local denn Rechner nach bugs durchforsten (fehlerhafte Dateirechte SUID , Default Accounts , doppelte Accounts, sonstige Systemveränderungen ein gutes Programm ist dort "COPS" ;-)

Ja , is ja logisch wat dann wohl Netzwerkscanner sind *LOL* genau Programme die so ähnlich vorgehen wir Cracker es machen Schauen nach denn Ports und Diensten die verfügbar sind und prüfen ihre Passwortsicherheit ;-) empfehlenswertes Programm ISS , SAINT ist da auch richtig gut mit z.B. (CGI Webangriffe . Denial of Service , POP Server Angriffe , SSH Angriffe usw...)

Was ist Spoofing allgemein ?? es handelt sich dabei um das fälschen von IP Parketen ! Man ändert die IP Adresse so um das man die des gewünschten HOSTS hat ;-)) Unterscheidung findet zwischen dem alt bekannten IP Spoofing und denn auch mir neuen ARP Spoofing ;-) und DNS Spoofing ;-)

Wozu das alles , ja in der Linux Welt gibt es so etwas wie vertraute Hosts ... mit Hilfe von rlogin kann man sich auf diese vertrauten Hosts einlogen , das fatale an der Sache von den Rechnern denn vertraut wird braucht kein Passwort eingeben werden..... naja in einer rlogin Datei sind eigentlich immer vertrauendswürdiger Rechner + UserName in einer Reihe angegeben ;-) nun ist klar warum man versuchen sollte eine IP zu fälschen oder ?? ;) Man mit IP Spoofing auch verschiedene DoS Attacken vorbereiten *G* mendax stellt ein solches tool dar ;-) DNS Spoofing is eher ungewöhnlich und selten ;-) es handelt sich um das manipulieren der Zuordnungstabelen von Hosts und IP Adressen nützliche linux progs sind jizz , ERECT , snoof . Bei ARP (Adress Solution Protokol) Spoofing handelt es sich ums fälschen der IP aber behalten seiner Hardware Adresse , etwas zu kompliziert zu beschreiben :-| naja ihr weißt aber das es ARP Spoofing gibt ;-)

Portscanning ist eigentlich selbstverständlich aber ich erklärs tortzdem nochmal :-) es handelt sich um das feststellen offener Ports des Local Hosts (eigener Rechner) oder halt fremder Rechner im Netzwerk / Internet. Durch diesen Port können dann verschiedenste Attacken vorbereitet werden (DoS , Angriffe , Trojaner)

Wie bekomme ich informationen über bestimmte Personen / Domains ;-) dazu bedingt man sich einfach denic dort sind alle .de Domains registriert z.B. metager.de eintippen (wichtig ohne www) oder die URL deines Freundes ;-) oder auch ripe oder auch weltweit . es gibt auch whois für verschiedenste Subdomains (.de.vu , .dg .tt ) usw.. da befragt man am besten www.google.de aber meistens melden sich die Leute eh nicht richtig an ;-))) bei .de müssen sie es ja :-)

Das altbekannte DOS ;-) dort gibts ja noch tools wie "Netstat" , "Ping" , "Tracert" , "Route". Schauen wir uns mal Netstat an , dieses Programm kann man wohl gebrauchen um seine Netzwerk aktivitäten zu überwachen , oder auch um die IP eines anderen herauszufinden z.B. netstat -n zeigt einen alle IP's an ;-) das macht man einfach bevor man das ICQ Fenster öffnet und merkt sich alles oder mach netstat -n > ausgabe.txt klickt nun das ICQ Fenster an und lässt sich die USER Details abfragen / schreibt ne Frage und wartet auf die Antwort so nun machen wir nochmal netstat -n und sehen eine weitere IP ;-) wesen is das wohl :D ebenfalls netstat -a is gut dort sieht man die ganzen dialins die man dann einfach pingen kann um die IP zu erhalten. Diese Geschichte mit ICQ is nur möglich wenn ICQ eine direkte Verbindung herstellen darf ;-) Mit Tracert kann man IP Parkette verfolgen und somit mögliche Telnet Verbindungen feststellen z.B. telnet 212.6.94.204 oder telnet 134.106.253.140 naja ... probierts einfach aus :-D nimmt IP's von Websiten oder sonst wo her *G*