in legatura cu conturile sparte

[shootervl]

NUu este nici un sql injection , access "putty" sau alte teorii ale conspiratiei discutate pe aici ...

Daca era ceva din cele de mai sus , nu mai avea nimeni nimic .

Problema este de la cei care "pierd" datele de access .

cateva exemple :

- au parole sau date de recuperare parole prea simple , intuitive , ...

- "naivi" sau fara experienta : nu inteleg cum se pot fura parolele : folosesc programe de pe "net" , de la "prieteni" , ....

- folosesc aceleasi parole si date pe alte site-uri publice care au bug-uri ( exemplu : sql injection) : blog-uri , facebook, alte servere de mu ..

- fishing ( cum spunea cineva mai sus ... )

..

completati voi lista de scenarii :)

sa fim seriosi.....daca ar fi 1-2 carora sa le fi spart acc mai ziceam...dar sunt vreo 10 carora li sa spart acc.

pe langa astia se adauga si Schema30

cont de moderator spart.....masurile ce sau luat care sunt?sau trb sa ast ne sparga la toti conturile ca sa se ia anumite masuri?

[Biggles]

o intrebare as avea, in baza de date cum sunt salvate parolele? in format MD5 hash?

[xtest]

Vi s-a spus ca nu este vorba de o vulnerabilitate la serverul de MU. Conturile care au fost sparte, au fost sparte prin accesarea mail-ului de yahoo sau google. Daca era vulnerabilitate la serverul de MU nu mai era nimic acuma asa cum a mai zis Dragos.

[shootervl]

Vi s-a spus ca nu este vorba de o vulnerabilitate la serverul de MU. Conturile care au fost sparte, au fost sparte prin accesarea mail-ului de yahoo sau google. Daca era vulnerabilitate la serverul de MU nu mai era nimic acuma asa cum a mai zis Dragos.

nu ati inteles?

sunt 10-11 acc sparte.......

celc are a facut asta es in continuare lasat sa joace pe acest srv?

[topbk]

nu ati inteles?

sunt 10-11 acc sparte.......

celc are a facut asta es in continuare lasat sa joace pe acest srv?

da

[oldGard]

aiurea rau

[shootervl]

1 data la 2 zile se mai sparge cate 1 cont....si nu se ia masuri....

daca era ce zicea dragos se intampla la 2-3 nu la 7-11 cati sunt

un ex este sm stotiei lui dream ....daca era sa fi luat ceva ii spargea si bk-ul si adminul nu crezi?

deci ce zice dragos eu 1 nu cred....

alt ex cazul BoghyBGY

daca sa spart asta se spargeau mai multe acc (daca luase ceva ce nu trb cum zici u dragos)

[you_and_me]

Noobi sunt aia care pun botu la ce primesc pe mess sau email. Ca se da cret marele "hacker" ca sparge conturi se inseala....stie si el doar ce e ala keyloger. Pun la bataie contul meu, daca e in stare sa-mi afle contul...desi de copii care se cred mari hackeri m-am saturat de mult timp.

Asa ca bafta hackeri-lor la spart contul meu :))

[tranced]

Noobi sunt aia care pun botu la ce primesc pe mess sau email. Ca se da cret marele "hacker" ca sparge conturi se inseala....stie si el doar ce e ala keyloger. Pun la bataie contul meu, daca e in stare sa-mi afle contul...desi de copii care se cred mari hackeri m-am saturat de mult timp.

Asa ca bafta hackeri-lor la spart contul meu :))

e a 2339824298-a oara cand zic asta :

crezi ca toti sunt "botanisti" (cum ii numesti tu) sa dea click pe linkuri primite pe mail / mess? sa fim seriosi ca nu toti umblam pe net de ieri / azi

plus ca daca as fi avut keylogger , imi golea 2-3 conturi full si nici decum conturi de 1 si 4 rr , capsici? teoria ta pica

asa ca hai sa nu mai ne dam cu presupul aiurea ca nici nu se pune problema de keylogger in cateva cazuri cel putin

eu tot nu inteleg ce se tot asteapta atat? se stie cine le face , dovezi sigur exista , deci? eventual sa mai fie spart inca vreun mod/gm si poate dupa aia...

[babacku]

:-? Oare daca faceam eu toate astea ce pateam??? :-?

[Guest CeausescuPresedinte]

:-? Oare daca faceam eu toate astea ce pateam??? :-?

erai impaiat deja

[boomeey]

si tras in teapa.

@cat e gluma e panarama, dar deja e deranjant

[Biggles]

da nu imi raspunde si mie nimeni ?

in ce format sunt salvate parolele??? MD5 hash?

[Konvict]

da nu imi raspunde si mie nimeni ?

in ce format sunt salvate parolele??? MD5 hash?[/color[

Ce vrei u este o informatie confidentiala pe care sunt sigur ca nu o vei primi niciodata.

[tranced]

da nu imi raspunde si mie nimeni ?

in ce format sunt salvate parolele??? MD5 hash?

din cate stiu eu parolele sunt criptate in db , asta e tot ce tre sa stii

alte detalii tehnice nu te-ar ajuta cu nimic oricum

[Dark]

da nu imi raspunde si mie nimeni ?

in ce format sunt salvate parolele??? MD5 hash?

ce parole? pt user forum? sau user joc?

pt forum probabil md5, pt joc, nush, probabil la fel, si indiferent de metoda oricum exista un passwd hash. logica intrebarii?

ps:72f157f0356a9b771e97e4a6574678dd , md5 hash, decriptezi tu asta? in cat timp? :lol:

[Biggles]

ce parole? pt user forum? sau user joc?

pt forum probabil md5, pt joc, nush, probabil la fel, si indiferent de metoda oricum exista un passwd hash. logica intrebarii?

ps:72f157f0356a9b771e97e4a6574678dd , md5 hash, decriptezi tu asta? in cat timp? :lol:

doar intrebam, nu dadeam cu parul :violent: , stiu si eu acest lucru ca la peste 95% din forumuri/situri/shopuri/etc etc parolele sunt salvate in format md5 hash, si in db de la joc e posibil sa fie la fel.

cineva care stie hashul md5 al unei parole il poate crakui destul de usor, asta numai daca il duce capul.

parola la mu este intre minim 6 si max 10 caractere, eu unu la jumate din conturi am parola de 6 caractere, iar la restul, niciuna nu este de 10, toate sunt caractere mici, un brute force atack asupra hashului cu charset de lower alfa ar dura undeva intre 2minute si 15 zile, si mi s-ar putea sparge toate conturile in aceasta modalitate,

"teoria conspiratiei" :rofl1: ar fii urmatoarea.. cineva a spart contu lui morfeu, si a obtinut niste informatii care nu trebuia sa le aiba. (asta nu inseamna ca e si adevarata :)) )

@dark am gasit table "md5_loweralpha-numeric#1-10" Success rate: 96.8% ... dar problema e ca... costa... mult... 2000 de dolari ::)) sau... daca chiar vrei sa crekuiesti un hash de parola de mu cu brute force attack(aceelasi charset)... ai de asteptat intre 1 minut si....

aproximativ 28 de ani.

So... care dintre variante le alegi? :readthis:

[NIKE_SHOX]

doar intrebam, nu dadeam cu parul :violent: , stiu si eu acest lucru ca la peste 95% din forumuri/situri/shopuri/etc etc parolele sunt salvate in format md5 hash, si in db de la joc e posibil sa fie la fel.

cineva care stie hashul md5 al unei parole il poate crakui destul de usor, asta numai daca il duce capul.

parola la mu este intre minim 6 si max 10 caractere, eu unu la jumate din conturi am parola de 6 caractere, iar la restul, niciuna nu este de 10, toate sunt caractere mici, un brute force atack asupra hashului cu charset de lower alfa ar dura undeva intre 2minute si 15 zile, si mi s-ar putea sparge toate conturile in aceasta modalitate,

"teoria conspiratiei" :rofl1: ar fii urmatoarea.. cineva a spart contu lui morfeu, si a obtinut niste informatii care nu trebuia sa le aiba. (asta nu inseamna ca e si adevarata :)) )

@dark am gasit table "md5_loweralpha-numeric#1-10" Success rate: 96.8% ... dar problema e ca... costa... mult... 2000 de dolari ::)) sau... daca chiar vrei sa crekuiesti un hash de parola de mu cu brute force attack(aceelasi charset)... ai de asteptat intre 1 minut si....

aproximativ 28 de ani.

So... care dintre variante le alegi? :readthis:

gg ai un os...intre timp se poate face ceva pt siguranta conturilor? :)

[Dark]

doar intrebam, nu dadeam cu parul :violent: , stiu si eu acest lucru ca la peste 95% din forumuri/situri/shopuri/etc etc parolele sunt salvate in format md5 hash, si in db de la joc e posibil sa fie la fel.

cineva care stie hashul md5 al unei parole il poate crakui destul de usor, asta numai daca il duce capul.

parola la mu este intre minim 6 si max 10 caractere, eu unu la jumate din conturi am parola de 6 caractere, iar la restul, niciuna nu este de 10, toate sunt caractere mici, un brute force atack asupra hashului cu charset de lower alfa ar dura undeva intre 2minute si 15 zile, si mi s-ar putea sparge toate conturile in aceasta modalitate,

"teoria conspiratiei" :rofl1: ar fii urmatoarea.. cineva a spart contu lui morfeu, si a obtinut niste informatii care nu trebuia sa le aiba. (asta nu inseamna ca e si adevarata :)) )

@dark am gasit table "md5_loweralpha-numeric#1-10" Success rate: 96.8% ... dar problema e ca... costa... mult... 2000 de dolari ::)) sau... daca chiar vrei sa crekuiesti un hash de parola de mu cu brute force attack(aceelasi charset)... ai de asteptat intre 1 minut si....

aproximativ 28 de ani.

So... care dintre variante le alegi? :readthis:

hash passwords se gasesc in fisierul .htpasswd (. inseamna ca e hidden). tot acolo gasesti si usernameul, plain text ex:

dark 743h5m4o6hmjh67m37oipj (hash invalid, unul real contine doar 14 numere hexazecimale)

ca sa ajungi sa ai acces la fisierul htpasswd e dificil, nu imposibil, vdragos a zis ca nu e o vulnerabilitate de server (tind sa il cred) pt ca daca atacatorul ar fi stiut cum sa obtina acel hash, ar fi putut face mult mai mult "damage" :lol: decat sa suspende cateva conturi.

multi isi fac o gramada de date publice pe retele de socializare, daca care de multe ori sunt folosite si la intrebarile de securitate ale conturilor de mail :lol:

nush ce e md5_lower_alfa numeric etc

[oldGard]

1 data la 2 zile se mai sparge cate 1 cont....si nu se ia masuri....

daca era ce zicea dragos se intampla la 2-3 nu la 7-11 cati sunt

un ex este sm stotiei lui dream ....daca era sa fi luat ceva ii spargea si bk-ul si adminul nu crezi?

deci ce zice dragos eu 1 nu cred....

alt ex cazul BoghyBGY

daca sa spart asta se spargeau mai multe acc (daca luase ceva ce nu trb cum zici u dragos)

ati deviat.aiurea... revenim la ce a zis baiatu.

[Guest CeausescuPresedinte]

din cate stiu eu contul de mu nu are nimic ... problema e cu mailurile ... mailurile se sparg nu conturile de mu ...

[Biggles]

hash passwords se gasesc in fisierul .htpasswd (. inseamna ca e hidden). tot acolo gasesti si usernameul, plain text ex:

dark 743h5m4o6hmjh67m37oipj (hash invalid, unul real contine doar 14 numere hexazecimale)

ca sa ajungi sa ai acces la fisierul htpasswd e dificil, nu imposibil, vdragos a zis ca nu e o vulnerabilitate de server (tind sa il cred) pt ca daca atacatorul ar fi stiut cum sa obtina acel hash, ar fi putut face mult mai mult "damage" :lol: decat sa suspende cateva conturi.

multi isi fac o gramada de date publice pe retele de socializare, daca care de multe ori sunt folosite si la intrebarile de securitate ale conturilor de mail :lol:

nush ce e md5_lower_alfa numeric etc

eu ma refeream la hashul de la parola de mu, parola de mu nu te lasa sa bagi mai mult de 10 caractere (minim este 6), nicidecum 14 cum zici tu acolo, hashurile unei parole este de mai multe tipuri (ex: MD4, MD5 and SHA-0) cel mai sigur si cel mai folosit este bineinteles hashul de md5 pentru ca este un algoritm de criptare one way,

ceea ce zici tu cu htpasswd aia are treaba cu sistemele linux nicidecum cu jocul cum vb noi aici. facem ceva in linux ?? (nu sunt as dar pt mine ceea ce stiu este mai mult decat suficient :)) )

md5_lower_alfa numeric asta inseamna parole care folosesc doar caractere lower (adica se foloseste doar a, nu si A), alfa ... (adica abcd,... pana la ... xyz) si numerice adica 1,2,3... ,9,0

din cate stiu eu contul de mu nu are nimic ... problema e cu mailurile ... mailurile se sparg nu conturile de mu ...

iti dau tema de facut: creaaza un forum despre orice vrei tu, incearca sa ai cam 100 de utilizatori inregistrati, intra in baza de date si ai sa fii uimit cat % dintre ei au aceeasi parola la mail identica cu parola de pe forum.

eu tot ce vreau sa spun este ca totul este posibil.

[bunny]

iti dau tema de facut: creaaza un forum despre orice vrei tu, incearca sa ai cam 100 de utilizatori inregistrati, intra in baza de date si ai sa fii uimit cat % dintre ei au aceeasi parola la mail identica cu parola de pe forum.

eu tot ce vreau sa spun este ca totul este posibil.

adevarat. sau cum si-au facut unii conturile pe forumul asta avand aceeasi parola ca si numele de user. (prietenii stiu de ce :>)

ma bucur ca mai exista si persoane care au cat de cat ceva cunostinte in domeniu asta, si nu va bateti ca primatele cu bate ca pana acum.

xDDDDD

[Dark]

eu ma refeream la hashul de la parola de mu, parola de mu nu te lasa sa bagi mai mult de 10 caractere (minim este 6), nicidecum 14 cum zici tu acolo [hashul md5 are 14 char indiferent de nr de char din pass, la hashul pus de mine mai sus parola avea 20 char :lol:], hashurile unei parole este de mai multe tipuri (ex: MD4, MD5 and SHA-0) cel mai sigur si cel mai folosit este bineinteles hashul de md5 pentru ca este un algoritm de criptare one way,[si se poate face si criptare la hash, ca s afie si mai buna criptarea, sunt scripturi free si pe net]

ceea ce zici tu cu htpasswd aia are treaba cu sistemele linux nicidecum cu jocul cum vb noi aici.[are treaba deoarece conturile le facem pe forum, www.linkmania.ro/s2/new/creare_cont.php, sau ceva de genul, date stocate pe un server de linux, pe care ruleaza apache => htaccess si htpasswd :P] facem ceva in linux ?? (nu sunt as dar pt mine ceea ce stiu este mai mult decat suficient :)) )

md5_lower_alfa numeric asta inseamna parole care folosesc doar caractere lower (adica se foloseste doar a, nu si A), alfa ... (adica abcd,... pana la ... xyz) si numerice adica 1,2,3... ,9,0 [da, intelesesem partea asta, de program ziceam ca nu stiu la ce te referi]

iti dau tema de facut: creaaza un forum despre orice vrei tu, incearca sa ai cam 100 de utilizatori inregistrati, intra in baza de date si ai sa fii uimit cat % dintre ei au aceeasi parola la mail identica cu parola de pe forum. [ar trebui facut un topic pinned, cu masurile de siguranta care trebuiesc luate de utilizator pentru a nu pierde contul de mu / mail/ etc]

eu tot ce vreau sa spun este ca totul este posibil.

[Biggles]

:))))))

iti sugerez sa citesti asta pentru a invata ce inseamna un hash md5 al unei parole. (cica 14 chars :rofl1: :-j )

tot ceea ce faci pe www.linkmania.ro/s2/new/creare_caracter.php se salveaza in baza de date, niciodata in htaccess si htpassword, poate sa iti confirme acest lucru orice admin (acolo se salveaza utilozatorii linuxului)

program care decripteaza hasuri de md5 sunt destule, dar nu iti pot spune nume sau situri (eventual pe pm daca te intereseaza asa mult :)) )

cea mai buna parola este aceea de tip ascii-32-95#1-8 adica parola sa contina spatiu(daca se poate)+un caracter din urmatoarele !"#$%&'()*+,-./ + un cuvant + inca 2-3 caractere din urmatoarele 0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxyz{|}~

adica mai simplu litere mici litere mari cifre si semne !"#$%&'()* etc etc,

@asa cum a zis si dragos "completati voi lista de scenarii"

cineva care a avut/are access la db, sa "uitat" si el prin baza de date, sau altcineva ia spart contul respectivului si nu a avut ce face .... este un scenariu care pt mine mi se pare destul de plauzibil.

BNY nimeni nu s-a nascut invatat, nevoia ma facut sa invat lucruri in securitatea siturilor, pentru ca in timpul liber mai intretin si cateva situri :) (contra cost bineinteles :hello: :> )