Hi Andreas,
On Tue, Jun 15, 2010 at 03:06:31 +0000, Grimnin Fridyson wrote:
> das man auch bekannte Gesichter sieht finde ich ja mal toll
Der Hacking Contest war wieder sehr witzig. Trotz meiner dieses Jahr eher
kurzen Vorbereitung hat es fuer den zweiten Platz gereicht. Ich bin
ausserdem allein angetreten, nicht als Teil des bewaehrten Teams "GSQ".
Das Gewinnerteam "legofun" hatte eine sehr nette Idee auf Lager.
Sie verwendeten ein kleines Skript, um damit in /var/log/auth.log nach
dem Muster
sshd[...]: Failed password for invalid user USER from
zu suchen. Gab es nun einen Login-Fehlversuch via ssh, wurde der
(entsprechend lang gewaehlte) Username USER zu einer Shell-Kommandozeile
decodiert, welche das Logwatcher-Skript dann mit root-Rechten via
"sh -c ..." ausfuehrte.
Um etwa das root-Passwort auf "nix" zu setzen, mussten sie sich nur
so versuchen einzuloggen:
ssh uu6563686f20726f6f743a6e69787c6368706173737...@hostname
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
wird zu: echo root:nix|chpasswd
Gruss,
Chris
--
Christian Perle chris AT linuxinfotag.de
010111 http://chris.silmor.de/
101010 LinuxGuitarKitesBicyclesBeerPizzaRaytracing
_______________________________________________
Lug-dd maillist - Lug-dd@mailman.schlittermann.de
https://ssl.schlittermann.de/mailman/listinfo/lug-dd
