Swanlee.dk cracked - forbindelse til defacing af newz.dk

    Tror helt sikkert det er en dum knækt med for meget fritid, det kunne jo også være en der har luret folk og nemlig skriver sådan et sporg, for at vi alle skal tror han er 15, lidt ligesom den gruppe bankrøver der snakkede lidt tyrkist, så vi alle trode de var invandre (også politiet), men det var så også et trick for at ingen skulle mistænke dem....... de blev dog fanget hele banden, og inden kunne rigtig tyrkisk :))

    Quote

    Oprindeligt indlæg af KarGa


    Det tager noget tid, men det kan lade sig gøre.. Den ska jo bare teste nogle passwords og brugernavne.. Og man ka udelukke nogle ting, som ikk er kendte ord..
    Hvis serveren så sørger for man ikk ka komme ind hvis man skriver forkert bruger eller pass, så varer det bare en smule tid, så ka man prøve igen..


    At bruteforce er jo at bare at skaffe bruger+pass til et site - utrolig nemt.
    Sites som så bruger ORC (optical character recognition) er lidt sværere, men stadig er sikkerheden omkring det utrolig lille.


    Men af hvad jeg kan forstå, så har de hacket siden, og fundet filen med krypterede bruger+pass og så dekrypteret den. Denne kan de måske have haft adgang til hvis de har skaffet administrator pass til serveren.

    Quote

    Oprindeligt indlæg af Happy^


    At bruteforce er jo at bare at skaffe bruger+pass til et site - utrolig nemt.
    Sites som så bruger ORC (optical character recognition) er lidt sværere, men stadig er sikkerheden omkring det utrolig lille.


    Men af hvad jeg kan forstå, så har de hacket siden, og fundet filen med krypterede bruger+pass og så dekrypteret den. Denne kan de måske have haft adgang til hvis de har skaffet administrator pass til serveren.


    Bruteforce angreb består af at man prøver forskellige ord/kombinationer indtil den rammer det der er benyttet.
    Fra Wikipedia: "In cryptanalysis, a brute force attack is a method of defeating a cryptographic scheme by trying a large number of possibilities; for example, exhaustively working through all possible keys in order to decrypt a message."


    Pointen med at lave et password der ikke bare er et ord (som f.eks. missekat) er at du forøger sværhedsgraden (og tiden det vil tage) på et sådan angreb betydeligt.


    Men ja som du også siger så er jeg også helt sikker på at de har anskaffet sig admin adgang ved hjælp af et eller andet sikkerhedshul og derefter angrebet password filen. De har så mest sandsynligvis lavet et sådant bruteforce angreb på selve password filen. Der kan du jo også afprøve mange ord på kort tid eftersom det bare kommer an på CPU kraft og skrivehastighed.
    Det er ikke engang sikkert at de har haft admin pass da de fik fat på password filen. Der var engang en sikkerheds fejl i apache webserveren der droppede folk til prompten med en nobody konto. Som sådan kunne man ikke rigtig lave noget med de rettigheder men man fik da adgang til password filen og var der nogle svage passwords i den kunne man jo bruge dem til at få videre kontrol.
    Jeg havde tilfældigvis en apache server som fik en sådan behandling. Det var en trist dag men serveren var heldigvis bare til sjov.


    Og så lige til sidst.
    Det er umuligt at dekryptere MD5 kryptede password filer (som de forhåbentlig har brugt).
    Du kan derimod (hvis du har tid nok eller password'ene er nemme nok, hvilket missekat så sandelig er) sagtens lave et bruteforce angreb på en sådan fil.



    EDIT:
    Blah.. Ja jeg tror vi mener det samme. Selvfølgelig er det meget nemt at lave et bruteforce angreb men det ville dælme tage lang tid at lave over nettet og de fleste admins skulle/burde have et password der er tæt på umulig at finde med denne metode.


    Sikke en dejlig verden du lever i ;)


    Det er nemmere end du lige tror.

    Quote

    Oprindeligt indlæg af Happy^


    Sikke en dejlig verden du lever i ;)


    Det er nemmere end du lige tror.


    Nemt, ja men hvis du skal afprøve 256*256*256*256*256*256*256 (eller hvor mange mulige tegn et 7-tegns password nu kan have) muligheder over en internet forbindelse skal du godt nok have god tid til det og server administratoren burde nok opdage det.


    Der er selvfølgelig administratorer der bruger passwords som 'misekat' hvor det slet ikke vil være noget problem. Men ALLE administratorer burde altså bruge et asymetrisk password bestående af tilfældige tal+bogstaver.

    Forstår ikke hvorfor man bruger tid på at hacke en side og så skrive sådan en gang l***, som oven i købet er fyldt med stavefejl... :roller:

    ASUS P5Q Pro // Intel Core2Duo E8500 @ 3,16 GHz
    6 GB RAM (2x2 Gb Mushkin PC2-8500 + 2x1 Gb CM2X1024 6400C4)
    ASUS EAH4850/HTDI PCIe, 1 GB GDDR3
    CoolerMaster Real Power M620 Modular PSU
    Medusa 5.1 ProGamer Headset
    Kubuntu 10.04-64 / Win7-64 Ultimate

    Quote

    Oprindeligt indlæg af fhqwhgad
    Der er selvfølgelig administratorer der bruger passwords som 'misekat' hvor det slet ikke vil være noget problem.


    Lige netop det password burde egentlig kunne modstå et dictionary attack...