IT-Blogger

Ein täglicher auf den ISC-Blog von SANS lohnt sich definitiv. Heute wurde auf dem ISC-Blog ein interessantes Skript, welches ein User auf einem Server gefunden hat, vorgestellt. Dieses Skript ermöglicht es über PHP eine verteile Bruteforce-Attake auf Wordpress-Blogs durchzuführen.

Das Skript bedient sich dazu der Möglichkeit unter PHP cURL zu nutzen.

cURL:

A free and easy-to-use client-side URL transfer library, supporting FTP, FTPS, HTTP, HTTPS, SCP, SFTP, TFTP, TELNET, DICT, FILE, LDAP and LDAPS. libcurl supports HTTPS certificates, HTTP POST, HTTP PUT, FTP uploading, kerberos, HTTP form based upload, proxies, cookies, user+password authentication, file transfer resume, http proxy tunneling and more.

Wikipedia

Es wurde nicht das komplette Skript veröffentlicht, sondern nur einige Code-Snippets. Wer das Skript haben möchte, sollte schnell anfangen zu programmieren

Im ersten veröffentlichten Screenshot erkennt man eine Funktion, die 3 verschiedene Parameter erwartet. $ch ist dabei der Handle, der durch curl_init() erstellt wurde. Das ist im Ausschnitt nicht zu sehen.  An diesen Handle werden nun alle erforderlichen Einstellungen angehängt und am Ende mittels curl_exec($ch) ausgeführt.

Parameter 2 und 3 ergeben sich logischerweise aus ihrem Namen.

Enthält die Antwort des Servers, also die zurückgelieferte Webseite, den Ausdruck “Log Out” war die Brute-Force Attacke erfolgreich. Das wird mittels

[...]

eregi(“Log Out”,$result)

[...]

überprüft.

Interessanter als die Nutzung von cURL in PHP ist die Möglichkeit, Seiten, die gecrackt werden sollen, in einer zentralen Instanz zu verwalten um verteiltes Cracken zu ermöglichen.

Zunächst holt sich das Skript aus einer zentralen MySQL-Datenbank 200 URLs, die gecrackt werden sollen und markiert diese in der Datenbank mit seiner persönlichen “colo_id”. Bricht das Skript nun aus irgendeinem Grund ab, holt sich das Skript die vorher markieren Einträge wieder aus der Datenbank und kann an der Stelle weitermachen, an der es abgebrochen wurde. Genau diesen Schritt stehen wir hier in diesem Screenshot:

Mittels “select url, site_type from site where colo_id=’$colo_id’” werden die Einträge aus der Datenbank geholt, an denen dieser “colo”, also dieses Skript, vorher gearbeitet hat.

Interessant ist auch die Möglichkeit, Passwortlisten zentral in einer Datenbank zu speichern und so allen Skripts zur Verfügung zu stellen.

Auf jeden Fall eine interessante und erwähnenswerte Idee, wie ich finde.

Eigentlich sollte man sich hin und wieder folgende Fragen stellen:

• Wann habe ich das letzte mal mein Passwort geändert
• Ist mein Passwort wirklich sicher?
• (Wie) könnte es jemand erraten

Ich sehe immer wieder Passwörter die viel zu einfach sind. Da gibt es z.B. $vorname$geburtsjahr, $sternzeichen, $1BuchstabeVorname$Nachname, usw…

Dabei gibt es wirklich einfache Möglichkeiten sich Passwörter zu merken. Z.B.

• Um 6 Uhr aufzustehen macht keinen Spaß. Deswegen bleibe ich bis 7 liegen! => U6UamkS.Dbib7l!

Wer erkennt das System? 

• !!37bC1h(wordpress)69blHf??

Und hier?

Eigentlich muss man nur ein wenig kreativ sein, dann funktioniert die Sache schon viel einfacher. Was man allerdings nicht mehr machen sollte, ist seine Passwörter folgendermaßen zu gestalten: $St3rnZ31ch3n. Also die schlechten Passwörter von vorher in l33t-speech umzuwandeln. Dafür gibt es inzwischen schöne Wortlisten und mit Sicherheit auch schon Generatoren. Die Idee selbst ist aber garnicht so schlecht… ohne das weiter auszuführen

Bei packet storm gibt es z.B. solche Wortlisten zum runterladen. Professionelle Cracker haben da natürlich eigene, bessere Listen…

Ein weiterer Punkt ist die Faulheit. Es gibt viele Dienste, die einen nach einer gewissen Zeit dazu zwingen sein Passwort zu ändern. Meistens hat das einen Sinn – deswegen sollte man nicht bei jedem Passwortreset das hier machen: $Sternzeichen1 => $Sternzeichen2 … -_-

Also denkt mal über eure Passwörter nach