Communauté sur les Eggdrops - Community about Eggdrops   ›   Eggdrop et TCL   ›   Un peu plus loin   ›   Eggdrop Password Sécurité & Crackage

Thread Closed 
Eggdrop Password Sécurité & Crackage
 ZarTek
Développeur
***

Joined: 01/07/2010
Posts: 248


Type eggdrop:
  • Eggdrop 1.9
#1
12/09/2013, 11:49
Bonjour à tous,

Suite à des recherches.. Je suis tomber sur des informations à propos de la sécurité concernant le userfile de eggdrop.

Il est possible de craqués les mots de passe grace/a cause de http://passwords.openwall.net/unix-crypt

J'ai fait un teste, chez moi il tente ~ 4645K mot de passe par secondes et ça fonctionne.

Je trouve sa énorme.

Afin d’éviter ce problème, il est possible de modifier sa manière d'encrypter les mots de passe.

Editez src/mod/blowfish.mod/blowfish.c
Aller vers la ligne 264

Quote:/* Of course, if you change either of these, then your userfile will
* no longer be able to be shared. :)
*/
#define SALT1 0xdeadd061
#define SALT2 0x23f6b095

/* Convert 64-bit encrypted password to text for userfile */
static char *base64 =
"./0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ";

Modifier les valeurs de SALT1, SALT2 en mettant d'autre valeur HEXadecimal.

Tout comme indiquer, il est évident que si modifier ces valeurs, il faut le faire sur tout les eggdrops qui sont en botnet.
Retrouvez les dernières modifications de mes scripts TCL (versions Alpha/Bêta) ainsi que d'autres de mes réalisations sur ma page GitHub et les versions stables dans la section scripts de ce site  8-)
  Website
 aliasangelius
Criminel orthographique
*****

Joined: 10/04/2010
Posts: 785


Type eggdrop:
  • Eggdrop 1.6.x
#2
13/09/2013, 02:00
Salut,

Une simple question ou plusieurs même.

Pour commencer il et possible de cracker les mots de pass D'accord.
Mais pour celà il faudrais que la personne puisse avoir accès auprès du shell, Et du dossier de l'eggdrop non ?

Hors dans les normes de sécurité etc.. Ils et bien stipuler, Et je pense que plusieurs discussions à travers le net ou des réseau franco eggdrop, Qu'il ne faut pas donner accès à son shell/machine ou et mis son eggdrop.

C'est comme si tu donner le mot de pass root de ton server dedie par exemple, C'est assez stupide de la personne de faire ceci.

Ensuite tu dit de modifier 2 ligne dans un fichier.. Je pense pas que sa va résoudre le soucis..
Mais ce qui à était fait par l'homme peut être défais par l'homme..

Y'a rien de sécuriser à 100%, La meilleur façon reste de ne pas donner accès au source de son eggdrop :)
 CrazyCat
Ma(ni)tou
*******

Joined: 30/04/2004
Posts: 2,818


Type eggdrop:
  • Eggdrop 1.9
#3
13/09/2013, 08:41
(13/09/2013, 02:00)aliasangelius Wrote: Ensuite tu dit de modifier 2 ligne dans un fichier.. Je pense pas que sa va résoudre le soucis..
Mais ce qui à était fait par l'homme peut être défais par l'homme..
Bien sûr, mais si tu changes les salts (qui sont les mêmes pour tous les eggdrops du monde), tu compliques un peu le travail de decryptage.
(13/09/2013, 02:00)aliasangelius Wrote: Y'a rien de sécuriser à 100%, La meilleur façon reste de ne pas donner accès au source de son eggdrop :)
Le but d'une sécurité, que ce soit pour eggdrop ou IRL (par exemple pour ta maison), ce n'est pas de rendre inviolable, c'est de compliquer au maximum l'effraction, et de la retarder le plus possible.
zeolia: tchat gratuit, sans inscription ni publicité
Merci de ne pas demander d'aide en MP
Away
  Website
 aliasangelius
Criminel orthographique
*****

Joined: 10/04/2010
Posts: 785


Type eggdrop:
  • Eggdrop 1.6.x
#4
13/09/2013, 23:24
Oui tout à fait Crazy :)
Thread Closed 


Forum Jump:


Users browsing this thread: 1 Guest(s)