Het verkrijgen van informatie over je
slachtoffer
Hackers schijnen in films altijd te weten hoe
ze een systeem moeten binnen dringen maar mensen neem maar van mij aan een
hacker weet echt niet alles maar wel zo veel dat jouw systeem kan binnen
dringen door beveiligings fouten die hij thuis op zijn eigen computer heeft gevonden.
Een echt computer hacker gaat niet zitten gokken over wat voor systeem je heb
draaien ,nee het kan simpeler en er zijn methodes voor het zogenaamde
information gethering en daar ga ik nu wat over vertellen. Een systeem zo als
linux is standaard gebouwd voor het hosten van netwerken en webpagina’s etc daarom
kan een root (de baas op een linux pc) zijn computer een naam geven en ook vaak
instaleerd hij een paar services
Dat kunnen zijn
·
Finger
·
FTP
·
Whois
·
IRC
·
Pop
·
Telnet
En met deze services kan je meestal door een
fout te veroorzaken een klein beetje systeem informatie krijgen als je
bijvoorbeeld bij de bekende Wu-ftpd (Washington University File transfer protocol
daemon) de commando HELP stuurt naar de server kan het zijn dat je een response
(antwoord) krijgt van de server die je een Email adres geeft van de systeem
beheerder en als deze niet het zelfde is als de installatie waarde ([email protected])
maar bijvoorbeeld [email protected] kan je voorspellen dat de systeem beheerder
zich zelf ravecool noemt . Wat het voordeel hier van als hacker zijnde is dat
er een kans aanwezig is dat de systeem beheerder ook op deze linux pc een
account heeft lopen met de naam Ravecool en dat kan je weer testen door een
finger attack te doen hier voor zijn in grote schaal gratis software pakketten
te downloaden op veel underground sites zo als www.system7.org www.hackersclub.org
neworder.box.sk blacksun.box.sk als het goed is kan en de account bestaat kan
je op zo iets reactie als het volgende verwachten
...
[www.tchuh.com]
Welcome to Linux
version 2.2.10 at gethdc.org !
7:56pm
up 1:01, 1 user,
load average: 1.01, 1.25, 1.69
Login Name Tty
Idle Login Time Where
root
root 1 55 Thu 19:00
Login: ravecool Name: Hacker of the
day
Directory:
/home/rave Shell:
/bin/csh
Last login Wed
Jan 23 18:30 (CET) on tty1
No Mail.
No Plan.
...
Dit is een hele simpele test om een mogelijke
ingang te zoeken in een systeem maar niet alleen FTP heeft foutjes wat dacht je
van POP mail servers ?. Ik wou laatst nog informatie over de OS van een site
hebben had tenminste iets nodig van een aanknoop punt om een account te kunnen
kraken ik wist een mail adres niets toen kwam ik met het volgende idee ik
stuurde een Email naar een niet bestaande account op de POP (Email Server)
server van mijn slachtoffer www.zwartebergen.nl, dat is een camping site hun
systeem beheerder (een NT beheerder) is op de hoogte gesteld dus ik betwijfel
het dat de fout er nog in zit. Maar goed ik nam een niet bestaande account op
de zwartebergen server ik ging totaal voor de account Ravecool (mooie naam he J)
dus dan werd het Mail adres van de niet bestaande account [email protected]
ik stuurde een mailtje met de tekst “Sorry Ravecool ik zoek je” (moest toch wat
typen) en wachte geduldig 10 minuutjes tot ik weer een email terug kreeg van de
desbetreffende POP server (automaties) die
mijn mede deelde dat de systeem beheerder (de Hr Jan Klaase) het account met de naam ravecool niet kon
vinden op het systeem. Op dit moment was ik zeer tevreden over me zelf want
mijn slachtoffer had in het lokaas gebeten namelijk een klein beetje informatie
over de mensen achter de web pagina onthuld zo dat mijn kansen om een accountje
te kraken op deze server met het moment groter werden… Ik kon nu namelijk proberen om een account te
fingeren die de naam Jan Klaasen of jan had of janklasen en meestal zijn zowel
username (gebruikers naam) als password gelijk en heb je zo toegang tot een
systeem op beheerders level dat is gebruiker 0 en dus root als je root bent kan
je alles met een systeem doen wat je maar wilt.
Er zijn nog meer maniertjes om via email een
site of account te kraken want zo als ik hier boven al beschreven heb kan het
zijn dat zowel een gebruikers naam als wachtwoord gelijk zijn, denk nu eens aan
je gebruikers naam bij je ISP (internet provider) dat is bijvoorbeeld jan123 en
je ISP is Wanadoo dan is er een grote kans dat je Email [email protected] is goed
je heb dus een account op de computer van je ISP en jou email is dus voor de
systeem beheerders van wanadoo om jou te kunnen bereiken want het apenstaartje
betekend in het engels AT of te wel op dan word jouw Email dus JAN123 op
Wanadoo in NL (nederland) wow je account isJAN123 het enige nadeel voor mij als
hacker is ik weet nu wel een account naam maar geen password om op jouw naam te
kunnen internetten want met het instellen van een internet account word dit
vaak samen gesteld door de ISP en niet door u en u kan de fout maken om deze de
zelfde waarde te geven als uw gerbruikers naam dus Jan123. maar een ISP pakt
een random woord en dat word dan jou password en is des te moeilijker te
kraken. Daarom worden accounts op een Publieke domein naam bv www.uwzaak.com ook
zo vaak gekraakt omdat als een hacker eenmaal de naam van de systeem beheerder
weet (en misschien andere info) meestal het password het zelfde is. Een andere reden waarom servers eigenlijk
nutteloos worden aangesproken is om het OS van deze computer te bepalen omdat
elke Operating system wel standard zwake plekken hebben vooral de oudere
versies van de Linux OS’n. Of een
versie van een vatbaar programma (bij linux Daemons genoemd) kan worden bepaald
hier onder zie je een aanval op mijn FTP server om de versie van mijn WU-ftp
server te sniffen (ruiken/scannen/vinden).
...
bash-2.03# ftp
www.tcuh.com
Connected to
www.tcuh.com.
220 gethdc.org
FTP server (Version wu-2.6.1(2) Mon Jan 29 20:10:10 CET 2001) ready.
Name (www.tcuh.com:root): ziro
331 Password
required for ziro.
Password:
230 User ziro
logged in.
Remote system
type is UNIX.
Using binary
mode to transfer files.
ftp> bye
221-You have
transferred 0 bytes in 0 files.
221-Total
traffic for this session was 229 bytes in 0 transfers.
221-Thank you
for using the FTP service on tcuh.com.
221 Goodbye.
bash-2.03#
...
Uit deze aanval is gebleken dat de versie van mijn FTP server is WU-.2.6.1(2) is als je WU ziet staan bij een FTP server kan je er trouwens ook van uit gaan dat het systeem dat de server draait een linux systeem is. Als ik nu na ga denken en ik vind ergens in mijn gedachten nog een bug in deze server kan ik dus binnen dringen op het systeem omdat ik wat informatie heb gewonnen voor dat ik mijn echte grote aanval op het systeem uit ging voeren. Ik was dus voorbereid op deze aanval en weet wat ik kan verwachten een fout die veel beginners maken is dat ze niet eerst scannen of alles wel veilig is voordat ze hun aanval beginnen zodat ze zo in een val van de systeem beheerder kunnen lopen en het risico lopen opgepakt te worden. De mooiste val die ik ooti zag was een die een vriend van me gezet had na het lezen van een van mijn tutorials van toen ik nog voor GGZ werkte. Ik deed namelijk de boven beschreven aanval via een fout email adres. En de response die ik van zijn linux pc als fout melding kreeg zag er ongeveer zo uit.
Welkom bij systems Hosting Email Services
U heeft als hacker zijnde een grote fout gemaakt want het account
[email protected] is op dit systeem niet bekend.
Uw IP adres en alle informatie die ik over u kon vinden worden
door gegeven aan de regionale politie.
Met
vriendelijke groet.
De vriendelijke Systeem beheerder stimpy
Dit gene wat mijn vriend dus
had gedaan is gewoon een standaard terug slag aanval gemaakt in zijn server die
iedereen die een verkeerde email naar zijn server stuurde dit bericht terug
stuurde om afteschrikken dus ook onschuldige mensen. Maar niets van deze
dreiging was echter waar.
Nog een makkelijke methode om
versie informatie van een OS of programma te verkrijgen is een port scan,
hetgeen dat je dan even moet doen is een port scannen je vind ze op de over
bekende Underground sites (waar deze er ook één van is) en een portscan te
maken voor je slachtoffer veelal word bij het openen van een port de versie
nummer van de service waar je mee verbonden bent weer gegeven een voorbeeld
hier van is SSH en telnet en FTP (zie voor FTP hier boven) . Een portscanner
kan bovendien vaststellen wat voor bestuurings systeem je slachtoffer gebruikt.
Dat nog een leuke methode om
te checken of het systeem wat je aanvalt een Linux of unix based systeem is het
is simpel als je een server wil hacken en je weet toevallig dat ze een
webserver moet je deze URL eens proberen www.jouwslachtoffer.com/icons/ als je
nu een lijst met bestandjes voor je neus ziet kan je er van uit gaan dat het
hier een Unix based (zo als linux) systeem is. Want het mapje Icons is een
standaard mapje op de Apache web server die standaard word mee geleverd met Linux.
*** Note … Als ik meer trucjes
boven komen update ik de tutorial naar versie 2.0 ***
Vriendelijke groet Ravecool
[Rc][2002][TCuH]
-Groetjes aan-
Ziro
r00t
Stty0
SnAke
AssEmblr
Asbakkie
NadienTje
Genetics
Madbrain
-Gemaakt Door-
Ravecool
They Call us Hackers
http://ziro.tk
100% GNU/PL
-Reverenties-
* blacksun.box.sk
* Pc beveiligd
* neworder.box.sk
* www.system7.org
* [TCuH] Forum