anoniem Geplaatst: 3 december 2002 Delen Geplaatst: 3 december 2002 Het wachtwoord van de administrator op de server (windows 2000) was deze morgen gehacked en veranderd. Ik heb het gelukkig terug kunnen veranderen met ERD Commander maar weet iemand hoe ze dit geflikt hebben ? Ik weet zeker dat het niet brutal force is gedaan... Daarvoor was het password te lang Ik weet ook zeker dat ze het niet hebben zien typen.. Daarvoor typ ik te snel. Bovendien is het password net 1 week oud dus meer als 2 mensen kunnen het niet gezien hebben. Het is geen makkelijk password want het bestaat uit 11 letters en cijfers. Ze hebben de logs leeggegooid dus ik kan helaas niet meer zien van welke pc dit gebeurt is maar weet iemand wel hoe je een password hacked ? en zo ja hoe je dit dan ook kan beveiligen ? Quote Link naar reactie
anoniem Geplaatst: 4 december 2002 Auteur Delen Geplaatst: 4 december 2002 Tja, de mogelijkheden zijn legio, misschien een fake aanlogscherm, misschien een keylogger, toch een bruteforce op de sam (11 letters op een rappe P4 kan in 2 dagen gebeurt zijn), stickynote op je monitor met het wachtwoord??? :-) Quote Link naar reactie
anoniem Geplaatst: 4 december 2002 Auteur Delen Geplaatst: 4 december 2002 M$ SQL 6 of 7 draaien? Zo ver ik mij kan herineren staat de userID plus wachtwoord van de admin in de registry. Quote Link naar reactie
anoniem Geplaatst: 4 december 2002 Auteur Delen Geplaatst: 4 december 2002 Nee ik schrijf nooit passwords op... Fake aanlogscherm kan niet omdat ik CTRL-ALT-DEL moet in drukken wil ik kunnen inloggen. 11 letters in 2 dagen ? Ook op pentium 3 733 MHz ?? Het kan niet van een programma zijn, ik heb namelijk voor ieder programa een ander password. Hoe kan ik voorkomen dat brutal force werkt ? Als ik namelijk 5 keer het password fout in typ dan blijftie 20 sec hangen en kan je opnieuw proberen aan te melden. Kan het te maken hebben met een soort cache ? Ik heb het eens geprobeerd om aan te melden zonder netwerkverbinding (dus kabel lostrekken) en toen lukte het ook gewoon... Is er een manier om dit uit te zetten ? (password caching staat trouwens in de policy's op 0 niet cachen) Quote Link naar reactie
anoniem Geplaatst: 5 december 2002 Auteur Delen Geplaatst: 5 december 2002 [quote:be488d455d="G_ij_s"] Fake aanlogscherm kan niet omdat ik CTRL-ALT-DEL moet in drukken wil ik kunnen inloggen. [/quote:be488d455d] Dat maakt niks uit, er zijn tooltjes (check astalavista) die netjes het aanlogscherm geven waardoor jij dapper je wachtwoord intypt, waarna de machine gewoon aanmeldt, het wachtwoord is inmiddels als txt bestand netjes weggeschreven..... [quote:be488d455d="G_ij_s"] 11 letters in 2 dagen ? Ook op pentium 3 733 MHz ?? [/quote:be488d455d] Ja hoor, als je de sam lokaal hebt, gaat er niks over het netwerk en haal je zeer hoge snelheden.....Heb de sam van ons netwerk (200 users, waarbij meerdere wachtwoorden van 9 of meer tekens) in 3,5 dagen volledig afgewerkt. [quote:be488d455d="G_ij_s"] Hoe kan ik voorkomen dat brutal force werkt ? Als ik namelijk 5 keer het password fout in typ dan blijftie 20 sec hangen en kan je opnieuw proberen aan te melden. [/quote:be488d455d] Dat is even afhankelijk van de gebruikte software methode. Als je de sam lokaal hebt, log je niet aan, maar probeer je de hash van de sam te breken. [quote:be488d455d="G_ij_s"] Kan het te maken hebben met een soort cache ? Ik heb het eens geprobeerd om aan te melden zonder netwerkverbinding (dus kabel lostrekken) en toen lukte het ook gewoon... Is er een manier om dit uit te zetten ? (password caching staat trouwens in de policy's op 0 niet cachen)[/quote:be488d455d] Daar zullen ongetwijfeld tools voor zijn. Misschien moet je dit incident maar vergeten en auditing aanzetten zodat je kan zien als er iemand verkeerde wachtwoorden ingeeft, dan zie je in ieder geval vanaf welke machine dit gebeurt. Dit kan natuurlijk alleen als er aangelogt tracht te worden, het binnen halen van de sam en dan lokaal een brute force wordt niet gezien. Aangezien alleen de administrators bij default de mogelijkheden hebben om de sam binnen te halen wordt je kringetje natuurlijk wel kleiner. Quote Link naar reactie
anoniem Geplaatst: 5 december 2002 Auteur Delen Geplaatst: 5 december 2002 http://www.atstake.com/research/lc/ Wachtwoorden kunnen ook via het netwerk afgevangen worden. Ik neem aan dat je ook een recente virusscanner gebruikt. Controleer ook eens welke processen er lopen op de pc misschien zie je daar iets vreemds aan. Quote Link naar reactie
anoniem Geplaatst: 6 december 2002 Auteur Delen Geplaatst: 6 december 2002 Iemand die in staat is om de SAM hive te kopieren uit de WINNT\SYSTEM32\CONFIG directory, kan vervolgens rustig op zijn eigen PC m.b.v. LHoptcrack ALLE userid's + paswords tevoorschijn toveren. BEVEILIG deze directory dus ! TIP: hernoem de Administrator naar een andere userid (liefst met een 'hidden' karakter aan het einde, b.v. ALT255), maak een copy van de guest account en noem deze administrator. Zet vervolgens de de optie aan dat deze user 24 uur / dag niet mag aanloggen. Je voorkomt hiermee dat iemand snel merkt dat dit een 'locked' fake account is. Beperk het aantal machines waarop de echte admin mag aanloggen. Quote Link naar reactie
anoniem Geplaatst: 6 december 2002 Auteur Delen Geplaatst: 6 december 2002 Het hacken van een password onder nt/2000/xp kan je heel makkelijk doen met een linux bootdisk, hoe het precies werkt weet ik niet,maar je kan in ieder geval het administrator wachtwoord veranderen. Quote Link naar reactie
anoniem Geplaatst: 6 december 2002 Auteur Delen Geplaatst: 6 december 2002 De bootdisk verwijderd het administrator wachtwoord en plaatst er een nieuwe voor in de plaats. Het is dus niet zo dat je met die bootdisk achter het echte wachtwoord komt. Het is een linux :lol: bootdisk met een soort dos achtige registry editor erop die automatisch de locatie van het wachtwoord aanpast. Quote Link naar reactie
anoniem Geplaatst: 6 december 2002 Auteur Delen Geplaatst: 6 december 2002 Ja, zoiets d8 ik al, die database ontcijfer je niet ff :lol: Quote Link naar reactie
Aanbevolen berichten
Om een reactie te plaatsen, moet je eerst inloggen