Archief - De topics van lang geleden

got r00t?

16-01-2002, 14:17 door Handtasje, 4 reacties
Bij een bedrijfsfeest in Zeewolde kwam ik iemand tegen van een bepaalde bank. Hij geloofde niet dat ik deze services ALTIJD kan exploiten, hij geloofde dit niet omdat meer dan de helft van al hun servers een kwetsbare versie van SSH draaiden (ik heb het ondertussen allemaal dicht gegooid). Het risico dat deze bank gewoon liep. Ik had gewoon toegang op hun eigen netwerk, op ALLE shares.
Kun je je voorstellen wat ik hiermee eigenlijk allemaal niet kan doen als ik een kwaadwillend persoon was?.

Veel mensen mogen van geluk spreken, dat 99% van alle hacks geen gerichte hacks zijn. Dat 99% van alle hackers, niets anders doen met hun bakken dan defacen en aan hun dosnetje hangen.

Hackers van nu zijn scriptkiddies van 18 (net als ikzelf) die niets leuker vinden dan met een ipv6 adres op irc komen en mensen dossen. Maar ik ken ook hackers die lijsten hebben met creditcard nummers van enkele mb's (!) groot.

Ik krijg altijd het gevoel dat mensen niet snappen hoeveel wel niet kan op het internet en hoe kwetsbaar alles wel niet is. Vrijwel elke machine is te hacken.

Ik hack voor fun, en voor me werk (ik heb mijn eigen bedrijf). Waarop word er nu geroot?

wuftpd 2.6.0, daar ben ik mee begonnen, maar die's oud nu en als je een bak root is het een "honeypot" (ook leuk trouwens :D)

tegenwoordig root ik alleen nog maar:
wuftpd 2.6.1 wed
wuftpd 2.6.1-18
wuftpd 2.6.1(2)
SSH-1.5-1.2.27
SSH-1.99-OpenSSH_2.2.0p1
SSH-1.5-1.2.29
SSH-2.99-OpenSSH_2.2.0p1
SSH-1.5-1.2.31
SSH-2.99-OpenSSH_2.2.0p1
SSH-1.99-OpenSSH_2.2.0p2

Je wilt niet weten hoeveel machine's deze versie's draaien. Als je machine een van deze versie's draait dan raad ik je aan om zsm de laatste versie erop te zetten. Ik scan 2 range's per dag ;).

Sinds ik mijn eigen bedrijf heb besef ik pas hoeveel kwaad ik en andere hackers kunnen aanrichten. Mocht je een bedrijf hebben dan doe je er goed aan om een degelijke beveiliging te hebben. Hackers zijn zo binnen.

mvgr Satish
Reacties (4)
16-01-2002, 14:54 door Anoniem
Allereerst een hardgrondig 'yes' :-)
Je wilt inderdaad niet weten hoeveel servers er openstaan. En ja, een eigen bedrijf helpt je zeker om er ander over na te denken :-) * sprak de ouwe lul *

<rant>
Wat voor smaakje FTP dan ook gebruiken is 'een beetje dom', en een secure SSH is makkelijk gescoord.
Als het allemaal peachy zou zijn, zou je je waarschijnlijk te pletter vervelen, of een stevige bak coding skills uit de kast moeten halen om nog iets voor elkaar te krijgen. Helaas.... Ik ken beheerders die nog denken dat telnet nog best wel veilig is.. Ze geloven in webinterfaces en null-passwords..etc etc..
En dan hebben we het nog niet over de @#$%'s die denken dat je een netwerk kunt 'beveiligen' (haha) en daarna achterover kunt leunen en salaris vangen..Wake up!
</rant>

Ikzelf hak alleen een beetje rond in m'n eigen netwerk (gaten genoeg, als je maar lang genoeg zoekt:-), maar ik heb af en toe ook moeite de verleiding te weerstaan..

* btw....let op 'sK1dd1otz... leren programmeren HELPT echt :-) Vooral als je een baan in de IT wilt..*

Have a nice DoS :-) lol
19-01-2002, 20:02 door Anoniem
wat is dit? topic voor zogenaamde hacker met grootpraat?
20-01-2002, 10:12 door Anoniem
Sinds wanneer is constateren dat het merendeel van de beheerders zijn/haar eigen aars nog niet kan vinden met een zaklamp en een uitgebreide kaart, grootpraat van zogenaamde hackers ?

Of installeer IK soms oude SHH MET v.1 fallback, en hang 'm direct aan de login..tuurlijk..

Feit is gewoon dat een groot deel van de servers op het net (binnen Nederland) slecht wordt bijgehouden, fout geconfigureerd of ouwe bagger draait..

Daar hoef je geen hacker voor te zijn..
01-02-2002, 09:54 door suntac
Originally posted by GeneralFailure
.. Ze geloven in webinterfaces en null-passwords..etc etc..

Niks mis met een webinterface te gebruiken voor login module. Het is gewoon een kwestie van wat er achter draait.

Bedenk wel een systeem is zo veilig als dat de programmeur kan kloppen. Een webinterface is dus niet in alle gevallen een onveilige manier. Dat denken is een beetje kortzichtig.

Ik ben inderdaad veel webinterface gevallen tegengekomen die echt om te huilen zijn wat security betreft ik ben er echter ook een aantal tegen gekomen die het neusje van de zalm zijn wat veiligheid betreft en waar MS nog wat van kan leren.

Suntac
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.