Hallo,
auf Full-Disclosure gibt es zur Zeit eine interessante Diskussion, die hier startet:
http://lists.netsys.com/pipermail/full-disclosure/2004-August/025732.html
(Achtung! Leider ist der Thread etwas "zerstückelt", was wohl daran liegt, dass einige Personen Mail-Programme nutzen, die kein In-Reply-To: setzen können. Also ruhig noch etwas weiter suchen)
Was ist passiert?
Ein Benutzer hat ein vollständig gepatches Woody-System aufgesetzt und zwei Nutzer-Accounts eingerichtet, admin und user. Beide Accounts hatten identischen Username und Paßwort, und es waren keine Accounts mit root-Rechten.
heissen die Accounts jetzt admin und user also admin mit passwort admin und user mit passwort user?
Das wäre ja grob fahrlässig.
Und?Der Hintergrund ist der, dass in letzter Zeit ssh-Scans nach eben diesen Accounts durchgeführt wurden.
Habe heute um 10 eine frisch installierte Maschine (Sarge) eine frisch installierte Maschine ins Netz gehängt. Zwei Stunden später waren schon die ersten Loginversuche per ssh und zwar wurde probiert mit: admin, test, guest und user
Aug 26 12:05:07 localhost sshd[2340]: Illegal user test from ::ffff:200.33.20.234
::ffff:200.33.20.234
Aug 26 12:05:12 localhost sshd[2344]: Illegal user admin from ::ffff:200.33.20.234
Aug 26 12:05:19 localhost sshd[2346]: Illegal user admin from ::ffff:200.33.20.234
Aug 26 12:05:23 localhost sshd[2348]: Illegal user user from ::ffff:200.33.20.234
Aug 26 12:05:35 localhost sshd[2356]: Illegal user test from ::ffff:200.33.20.234
Wenn ein Angreifer einen lokalen Benutzer geknackt hat, kann er damit schon einiges machen. Da braucht es keine Sicherheitslücke.
Wahrscheinlich war "root" auch das Passwort von root
Grüße Chris
--
Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
