mail user Passwort

C

CEW4

Member
Hallo,

ich habe ein Problem mit einem V-Server, der offenbar zum Spamversand genutzt wurde. Anhand der Logfiles meine ich jetzt einen email-Benutzer identifiziert zu haben, unter dessen Login das passiert sein müsste.

Nun würde mich das Passwort dieses Benutzers interessieren. War es trivial (oder gar leer), so würde ich mich damit zufriedengeben, das Leck gefunden zu haben. War das Passwort komplex genug, muß ich an anderer Stelle suchen.

Gibt es eine Möglichkeit, entweder

a) das Mail-Passwort eines unter Plesk angelegten email-Users anzusehen
oder
b) wenigstens zu beurteilen, ob das Passwort "gut" war oder nicht?

Ich vermute allerdings bereits selbst, daß beides nicht möglich ist. Mein Plesk hat bei einem der letzten Updates seine Datenbank auf einen "sicheren Modus" umgestellt, damit dürften jetzt (hoffentlich) keine Klartextpasswörter mehr herumliegen.

Wo finde ich denn dann wenigstens einen PW-Hash, damit ich einen Brute-Force-Cracker darauf ansetzen kann?

MfG
 
CEW4 said:
Gibt es eine Möglichkeit, entweder

a) das Mail-Passwort eines unter Plesk angelegten email-Users anzusehen
oder
b) wenigstens zu beurteilen, ob das Passwort "gut" war oder nicht?
Click to expand...
Nein. Nix einsehbar.
Wenn du so unklug warst, in Plesk lasche Passwortlängen einzustellen, Pech gehabt.

Ansonsten:
use psa;
select mail_name,name,password from mail left join domains on mail.dom_id = domains.id inner join accounts where mail.account_id = accounts.id and postbox='true' order by name asc, mail_name asc;


Wo finde ich denn dann wenigstens einen PW-Hash, damit ich einen Brute-Force-Cracker darauf ansetzen kann?
Click to expand...
Wenn du das dir vom Kunden hast bestätigen lassen, dass du das darfst.

Ansonsten versuche mal ein gesalzenes Passwort wie das zu knacken:
Code: 
$AES-128-CBC$f9qDGZ0SZqJv3yoUd8pMSA==$uoVzaIWEz/dDyy6Nglf7mw==
 
Last edited by a moderator:
GwenDragon said:
Nein. Nix einsehbar.
Click to expand...
Naja. Hätte mich eigentlich auch gewundert.

Ansonsten versuche mal ein gesalzenes Passwort wie das zu knacken:
Code: 
$AES-128-CBC$f9qDGZ0SZqJv3yoUd8pMSA==$uoVzaIWEz/dDyy6Nglf7mw==
Click to expand...
Wenn Du mir sagst, daß das Ding nur acht Stellen hat, sollte das doch machbar sein, Salt hin oder her?

Und wenn meines länger ist, dann interessiert es mich ja schon nicht mehr. Das gerade ist ja alles, was ich wissen will.

Aber vergiss' es, war nur eine Idee. Danke jedenfalls.

MfG
 
Donnerwetter! Damit habe ich tatsächlich die Klartext-PWs bekommen. Ich bin gebügelt, so einfach hätte ich mir das nicht vorgestellt!

Vielen Dank für den Tip.

Und, nebenbei: Verdacht bestätigt. Das Passwort war doch tatsächlich "123456". Man glaubt es nicht.

MfG
 
CEW4 said:
Und, nebenbei: Verdacht bestätigt. Das Passwort war doch tatsächlich "123456". Man glaubt es nicht.
Click to expand...
Kann aber auch nach einem Angriff oder per Keylogger gestohlenem sicherem Originalpasswort geändert worden sein.
 
GwenDragon said:
Kann aber auch nach einem Angriff oder per Keylogger gestohlenem sicherem Originalpasswort geändert worden sein.
Click to expand...
Ist in meinem Fall zum Glück unwahrscheinlich: Es handelt sich um einen vergessenen Test-Account, der wahrscheinlich tatsächlich so angelegt wurde. Der klassische Fall, wie man ihn im Lehrbuch "Sicherheit für blutige Anfänger" nachlesen kann.

Mit obigem Kommando habe ich übrigens nicht alle Accounts bekommen, sondern nur eine Handvoll. Das sind wahrscheinlich die, deren Account ein echtes Postfach hat, nicht nur eine Weiterleitung, oder?

MfG
 
mysql -u admin -p`cat /etc/psa/.psa.shadow` psa -e "SELECT accounts.id, mail.mail_name, accounts.password, domains.name FROM domains LEFT JOIN mail ON domains.id = mail.dom_id LEFT JOIN accounts ON mail.account_id = accounts.id WHERE mail_name is not Null"

zeigt die aktiven Konten.
 
You must log in or register to reply here.
Back
Top