Brute Forcer [Schul Projekt]

[Lord_Carlos]

Das Zauberwort heisst Hydra THC. Bisschen alt kann aber recht viele Protokolle mit einer Wörterbuch Attacke angreifen.

[123456]

Das Zauberwort heisst Hydra THC. Bisschen alt kann aber recht viele Protokolle mit einer Wörterbuch Attacke angreifen.

Currently this tool supports:
TELNET, FTP, HTTP, HTTPS, HTTP-PROXY, SMB, SMBNT, MS-SQL, MYSQL, REXEC,
RSH, RLOGIN, CVS, SNMP, SMTP-AUTH, SOCKS5, VNC, POP3, IMAP, NNTP, PCNFS,
ICQ, SAP/R3, LDAP2, LDAP3, Postgres, Teamspeak, Cisco auth, Cisco enable,
LDAP2, Cisco AAA (incorporated in telnet module).

also nix ssh.

[Lord_Carlos]

mhh, da habe ich dann wohl geirrt. Naja, vielleicht kann er es für was anderes benutzen.


Edit: Wie wäre es mit bruteSsh? [0]

A simple sshd password bruteforcer using a wordlist, it's very fast for internal networks. It's multithreads.

Oder dieses [1] brutessh plugin für dieses Python Pentesting app. [2]

[0] http://www.edge-security.com/soft/brutessh-0.5.tar.bz2
[1] http://inguma.wiki.sourceforge.net/brutessh
[2] http://inguma.wiki.sourceforge.net/

[Nerospeed]

Hallo,

so vielen danke für die Hilfe, Hydra habe ich mir angeschaut aber bin dann doch auf was selbst geschriebenes umgestiegen.
SSH EInstellungen war gemeint, zugriff auf Root begrenzen Public Key ... das halte ich in zusammenhang mit fail2ban schon für eine wirkende Maßnahme.
Ich besuche nicht die Unterstufe, sondern die Fachoberschule. Naja hin oder her, werde ggf. das selbst geschriebene was mir zur Verfügung gestellt wurde, hier mal aufzeigen.

Gruß Nero

[ckoepp]

das halte ich in zusammenhang mit fail2ban schon für eine wirkende Maßnahme.

Das ist das tolle an Bildung: es gibt immer etwas zu lernen. Reguläre Ausdrücke sind nicht zum Parsen von logiles geeignet.
Lernt jeder im ersten Semester in der Vorlesung zur theoretischen Informatik.

[gms]

naja, beim automatischen Parsen von Logdateien, sollten die regulären Ausdrücke mit der nötigen Sorgfalt formuliert werden, das ist ja mal klar, aber wenn man heutzutage in der Vorlesung "theoretischer Informatik" lernt, daß "reguläre Ausdrücke zum Parsen von Logfiles nicht geeignet sind" dann lauft dort auch etwas falsch

[habakug]

Hallo!

Ja, vor allem wenn man sich dazu nur selbst zitiert. Vor einiger Zeit war es zumindest hier [1] noch ganz normal. Es muß sich wohl um sehr moderne "Vorlesungen" handeln.

Gruß, habakug

[1] http://www.ondotnet.com/pub/a/dotnet/20 ... glogs.html

[bombaclaude]

Habt Ihr denn alle nicht aufgepaßt oder sieht hier niemand mehr die öffentlich rechtlichen Fernsehsender? Wenn, dann gab es dort vor ein paar Monaten eine sehr gute Gebrauchsanleitung zum Brute Forcing.

Gezeigt wurde nicht nur DAS es mit bestimmten Programmen vollautomatisch funktioniert, sondern auch der Name eines dieser Programme wurde im Bild gezeigt. Nicht gezeigt wurde wie der Brutealo seine eigene IP verschleiert und das wurde letzendlich dem fiesen Brutealo zum Verhängnis. Übel auch das er die Volljährigkeit erreicht hatte. Waren übrigens ebay Betrügereien im ganz kleinen Rahmen.

Genutzt wurde übrigens Windows Vista als WirtsOS.

[ckoepp]

wenn man heutzutage in der Vorlesung "theoretischer Informatik" lernt, daß "reguläre Ausdrücke zum Parsen von Logfiles nicht geeignet sind" dann lauft dort auch etwas falsch

Nicht wirklich, denn reguläre Ausdrücke beschreiben Automaten. Ideales Beispiele und Übungsfeld für (kontext-sensitive) Grammatiken
Was sonst wären denn deiner Meinung nach die Grundlagen der Theoretischen Informatik? Darauf baut alles auf...

@habakug: Suchfunktion nutzen, dann findest Du auch Links. Bist doch alt genug, muss dir doch nicht alles vorkauen oder?

[habakug]

Hallo!

Bist doch alt genug, muss dir doch nicht alles vorkauen oder?

Mir brauchst du nichts vorzukauen. Du solltest aber vielleicht in eigenem Interesse einen Link posten, in dem man ebenfalls der Meinung ist das "reguläre Ausdrücke zum Parsen von Logfiles nicht geeignet sind". Damit wir deine Informatiker-Denke u.U. nachvollziehen können

Gruß, habakug

[Danielx]

Reguläre Ausdrücke sind nicht zum Parsen von logiles geeignet.

Den Beweis für diese Behauptung würde ich gerne mal sehen!

Solange es nicht möglich ist, eine komplette Zeile, deren Inhalt der Angreifer vollständig bestimmen kann, in die Log-Datei zu schreiben, ohne die anderen Zeilen in der Log-Datei zu verändern, wird es immer einen regulären Ausdruck geben, der alle möglichen manipulierten Zeilen nicht fälschlicherweise erkennt.

Gruß,
Daniel

[123456]

Den Beweis für diese Behauptung würde ich gerne mal sehen!

Nicht nur du. ich bin gespannt wie ein Flitzebogen...

[gms]

wenn man heutzutage in der Vorlesung "theoretischer Informatik" lernt, daß "reguläre Ausdrücke zum Parsen von Logfiles nicht geeignet sind" dann lauft dort auch etwas falsch

Nicht wirklich, denn reguläre Ausdrücke beschreiben Automaten. Ideales Beispiele und Übungsfeld für (kontext-sensitive) Grammatiken
Was sonst wären denn deiner Meinung nach die Grundlagen der Theoretischen Informatik? Darauf baut alles auf...

deshalb sind wir ja auch in der Praxis von Automaten "umgeben", aber deine Erkenntnis war jetzt nicht wirklich spannend

[ckoepp]

Nur damit ich nicht falsch verstanden werde: natürlich haben reguläre Ausdrücke ihre Daseinsberechtigung. Jeder von uns nutzt ja grep
Und natürlich ist es eine tolle Sache um Zeichenketten (auch aus Logs) herauszufiltern. Wer macht das nicht um schnell und zuverlässig Einträge zu finden?

Aber wenn jemand dadurch iptables erzeugt, dann geht er ein hohes Risiko ein. Reguläre Ausdrücke sind nichts was man leichtfertig in Automatismen einsetzen sollte. Die Updaterate bei fail2ban & Co -Konfigurationen spricht da für sich...
Es ist naiv anzunehmen, dass es den sicheren regulären Ausdruck gibt. Zumal durch fail2ban nicht wirklich was gegen die wahren Probleme erreicht wird. Will jemand BruteForce-Attacken starten, dann sind das verteilte Angriffe gegen die derartige Software nutzlos ist. Hinter den ganzen One-Host-Verbindungen stehen14-jährige Schüler in der großen Pause und automatisierte "Abgras-Bots". Die stellen nicht die Gefahr dar - das ist das normale Hintergrundrauschen.

Wurde eben auf einen Thread im rootforum aufmerksam gemacht. Da ist dann auch der Link dabei, den ich schon einige Male hier gepostet habe. Wie gesagt, wer suchet der findet

[habakug]

Hallo!

Der Thread im "rootforum" ist ziemlich beknackt. Es ist eine Zumutung, darin lesen zu müssen, um einen Link, den du vielleicht meinst, darin zu finden. Sollte das etwa Informatiker-Niveau sein?
Du hättest auch einfach sagen können das du Logfile-Injection meinst. Die meisten hier hätten damit sicher etwas anfangen können. Die fail2ban-FAQ [2] enthält fairerweise den Hinweis auf das Paper [1] das du wohl meinst:

Fail2ban parses log files of other services and thus it can be vulnerable to log injection. Daniel B. Cid describes this kind of issues in Attacking Log analysis tools. I strongly suggest that you read this article. We will always try to provide safe configuration files. However, you can use fail2ban-regex to test your configuration files against forged log lines.

Was genau willst du denn jetzt damit beweisen? Wer fail2ban nutzt liest die FAQ und ist über die mögliche Schwachstelle informiert. Er wird sicher das Für und Wider einer solchen Software abwägen. Oder heisst das jetzt etwa kein fail2ban, weil Logfile-Injection, und kein SQL, weil SQL-Injection?. Ist dein Rechner überhaupt am Netz? Schreibst du hier vom Internet-Cafe? Du mußt normalerweise damit leben das der Netzanschluß dich einer Vielzahl von Gefahren aussetzt, von denen die traute Runde im "rootforum" noch nicht einmal etwas ahnt. Ich glaube es ist dein größtes Problem, das du, als Informatiker, das ebenfalls ahnst.

Gruß, habakug

Für @ckoepp verlinkt:
[1] http://www.ossec.net/en/attacking-loganalysis.html
[2] http://www.fail2ban.org/wiki/index.php/FAQ_english

[Danielx]

Reguläre Ausdrücke sind nichts was man leichtfertig in Automatismen einsetzen sollte. Die Updaterate bei fail2ban & Co -Konfigurationen spricht da für sich...

Wer nach dem Vorkommen eines bestimmten Musters innerhalb einer Zeile, an einer beliebigen Position sucht und das obwohl der Benutzer/Angreifer die Eingaben bestimmen darf, dem fehlen offensichtlich die nötigen Fachkenntnisse oder es wurde nicht gewissenhaft gearbeitet

Wer übrigens denkt er könne in die Benutzereingaben solche Dinge wie "Line Feed" oder "Carriage Return" einbauen, damit in der Logdatei eine neue Zeile begonnen wird, der wird spätestens daran scheitern, dass beim Schreiben der Logdatei diese Steuerzeichen entfernt werden.

Übrigens wäre die wesentlich bessere Lösung, nicht den Umweg über Logdateien zu gehen, sondern den entsprechenden Programmen eine Schnittstelle zu geben, über welche die entsprechenden Daten, wie IP-Adresse, Benutzername u.s.w. des fehlgeschlagenen Loginversuchs direkt übergeben würden, dann gäbe es das Problem auf Grund falsch erstellter regulärer Ausdrücke gar nicht erst.

Sollte das etwa Informatiker-Niveau sein?

Nein, aber dieses Niveau scheint bedauerlicherweise immer mehr zum neuen FH-Niveau zu werden.

Gruß,
Daniel

[ckoepp]

Du hast auch immer irgendwas zu meckern
Ist gerade Mittagspause und Essen war alle?

Du hättest auch einfach sagen können das du Logfile-Injection meinst.

Oben hast Du gemeckert ich jede zu viel Fachchinesisch, was denn nun?
Zumal ich den Begriff gar nicht kenne. Bei diesen ganzen Buzzwords kommt ja niemand mehr mit. Habe erst gestern von HTML-Injection gehört - wer denkt sich denn solchen Mist aus?

Was genau willst du denn jetzt damit beweisen?

Was? Beweisen will ich dir gar nichts. Bin verwirrt...

Wer fail2ban nutzt liest die FAQ und ist über die mögliche Schwachstelle informiert.
Er wird sicher das Für und Wider einer solchen Software abwägen.

In einer rosaroten Welt mit blauen Wölkchen ist das sicher so
Diese Aussage darf man getrost ins Reich der Mythen abschieben. Hier ist es doch nicht anders, sieh dir doch an wer die Software einsetzt. Es sind leider vor allem unerfahrene die gehört haben wie toll und sicher fail2ban einen Server macht. Diesmal hab' ich es dir sogar verlinkt - musst also nur noch die Ergebnisse durchstöbern.
Bin schon gespannt was jetzt wieder falsch ist

Oder heisst das jetzt etwa kein fail2ban, weil Logfile-Injection, und kein SQL, weil SQL-Injection?

Ach fail2ban schreibt syslog - ja hab ich ganz vergessen
Spaß beiseite: was Du da schreibst ist natürlich Quatsch. Logfiles haben weder elementare Datentypen noch irgendeine Konsistenzgarantie - das wäre bei logfiles auch vollkommen unnötig.

Ist dein Rechner überhaupt am Netz? Schreibst du hier vom Internet-Cafe?

Nein, hab Mittagspause wie Du

Du mußt normalerweise damit leben das der Netzanschluß dich einer Vielzahl von Gefahren aussetzt, von denen die traute Runde im "rootforum" noch nicht einmal etwas ahnt. Ich glaube es ist dein größtes Problem, das du, als Informatiker, das ebenfalls ahnst.

Konfuzius sagt: "Töricht ist der, der zusätzliche Gefahren selbst schafft."
Ich werde mich hier nicht zu irgendwelchen Genitalverlängerungsdebatten wie 'Ich weiß mehr als Du' auslassen

Die Moral von der G'schicht: entweder nimmst' die Kritik ernst oder eben nicht. Du bist für deine Server verantwortlich, nicht ich.
Bei unseren Sicherheitskonzepten sind solche Dinge verboten. Wir sind da sehr restriktiv, weil es da eben um wertvolle Daten geht. Bei höheren Sicherheitsanforderungen ist selbst PHP weg. Aber das ist ja auch alles andere als tragisch

[gms]

das ist ja alles schön und gut, es hat ja niemand in Frage gestellt, daß bei falscher Anwendung, reguläre Ausdrücke auch Probleme bereiten können. No na, das git ja für fast alles im Leben.
Wenn aber neuerdings angeblich eine Lehrmeinung der theoretischen Informatik existiert, wonach reguläre Ausdrücke für das Parsen von Logfiles nicht geeignet sind, eine Lehrmeinung die sehr wichtig zu sein scheint, weil sie jeder im ersten Semester in der Vorlesung zur theoretischen Informatik lernen muß, dann müßte dieser Satz irgendwann hergeleitet/bewiesen worden sein und auf diesen Beweis warten wir noch immer ganz gespannt.
Es können sich aber auch noch andere Personen melden : Jeder der ein Beispiel findet, bei dem ein Logfile ( egal von welchem Programm ) mit Hilfe eines regulären Ausdrucks, "geeignet" (subjektive Meinung) geparst wurde, hat den Gegenbeweis schon erbracht

Gruß
gms

[neuss]

Hallo,

du hattest weiter oben schon geschrieben,

naja, beim automatischen Parsen von Logdateien, sollten die regulären Ausdrücke mit der nötigen Sorgfalt formuliert werden, das ist ja mal klar, aber wenn man heutzutage in der Vorlesung "theoretischer Informatik" lernt, daß "reguläre Ausdrücke zum Parsen von Logfiles nicht geeignet sind" dann lauft dort auch etwas falsch

Ich habe selbst nie Informatik studiert, komme ja aus der Elektrotechnik und dies ist auch schon lange her. Deshalb möchte ich nicht in die Theorie gehen, da hätte ich Probleme mich "fundamentiert" zu äußern

Heutzutage haben wir ja das Turbo-Abi und beim Studium erstmal den Bachelor. Könnte es sein, daß manch tieferes Wissen erst beim Master vermittelt wird oder gar noch später? Es würde manchen Diskussionspunkt erklären.

Grundlegend um eine Information sinnvoll weiter zu verarbeiten, ist es doch sowohl ihre Herkunft, wie ihr Ziel genau zu kennen. Also einiges an Wissen, um deine geforderte Sorgfalt leisten zu können.
Hier wäre es für mich interessant, von aktuellen Studenten zu erfahren, wieviel Operator und wieviel echtes Wissen gelehrt wird.

gruss neuss

[gms]

Heutzutage haben wir ja das Turbo-Abi und beim Studium erstmal den Bachelor. Könnte es sein, daß manch tieferes Wissen erst beim Master vermittelt wird oder gar noch später? Es würde manchen Diskussionspunkt erklären.

nun, bei uns war das keine Vorlesung des ersten Semesters, allerdings wurden für "theroretische Informatik 1(!)" auch keine besonderen Vorkenntnisse erwartet, es ist also sicherlich ein "Einführungsfach".
Als private Meinung kann ich mir ja auch durchaus vorstellen, daß diese von einem Studenten, bis hin zu einem Professor verbreitet wird, aber so eine banale Aussage kann sicherlich nie (oder hätte bei uns sicherlich nie ) Teil des Lehrstoffes(!) sein (können).

Gruß
gms