Eggdrop Password Sécurité & Crackage
#1
Bonjour à tous,

Suite à des recherches.. Je suis tomber sur des informations à propos de la sécurité concernant le userfile de eggdrop.

Il est possible de craqués les mots de passe grace/a cause de http://passwords.openwall.net/unix-crypt

J'ai fait un teste, chez moi il tente ~ 4645K mot de passe par secondes et ça fonctionne.

Je trouve sa énorme.

Afin d’éviter ce problème, il est possible de modifier sa manière d'encrypter les mots de passe.

Editez src/mod/blowfish.mod/blowfish.c
Aller vers la ligne 264

Citation :/* Of course, if you change either of these, then your userfile will
* no longer be able to be shared. Smile
*/
#define SALT1 0xdeadd061
#define SALT2 0x23f6b095

/* Convert 64-bit encrypted password to text for userfile */
static char *base64 =
"./0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ";

Modifier les valeurs de SALT1, SALT2 en mettant d'autre valeur HEXadecimal.

Tout comme indiquer, il est évident que si modifier ces valeurs, il faut le faire sur tout les eggdrops qui sont en botnet.
  Répondre   Avertir
#2
Salut,

Une simple question ou plusieurs même.

Pour commencer il et possible de cracker les mots de pass D'accord.
Mais pour celà il faudrais que la personne puisse avoir accès auprès du shell, Et du dossier de l'eggdrop non ?

Hors dans les normes de sécurité etc.. Ils et bien stipuler, Et je pense que plusieurs discussions à travers le net ou des réseau franco eggdrop, Qu'il ne faut pas donner accès à son shell/machine ou et mis son eggdrop.

C'est comme si tu donner le mot de pass root de ton server dedie par exemple, C'est assez stupide de la personne de faire ceci.

Ensuite tu dit de modifier 2 ligne dans un fichier.. Je pense pas que sa va résoudre le soucis..
Mais ce qui à était fait par l'homme peut être défais par l'homme..

Y'a rien de sécuriser à 100%, La meilleur façon reste de ne pas donner accès au source de son eggdrop Smile
  Répondre   Avertir
#3
(13/09/2013, 02:00)aliasangelius a écrit : Ensuite tu dit de modifier 2 ligne dans un fichier.. Je pense pas que sa va résoudre le soucis..
Mais ce qui à était fait par l'homme peut être défais par l'homme..
Bien sûr, mais si tu changes les salts (qui sont les mêmes pour tous les eggdrops du monde), tu compliques un peu le travail de decryptage.
(13/09/2013, 02:00)aliasangelius a écrit : Y'a rien de sécuriser à 100%, La meilleur façon reste de ne pas donner accès au source de son eggdrop Smile
Le but d'une sécurité, que ce soit pour eggdrop ou IRL (par exemple pour ta maison), ce n'est pas de rendre inviolable, c'est de compliquer au maximum l'effraction, et de la retarder le plus possible.
  Répondre   Avertir
#4
Oui tout à fait Crazy Smile
  Répondre   Avertir


Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)