:strip_exif()/u/3761/1.gif?f=community)
:strip_icc():strip_exif()/u/1522/crop5f4a0291a77ba_cropped.jpeg?f=community)
:strip_exif()/u/111/360CS.gif?f=community)
hmmm ik ben geen sysadmin ofzo, maar moet toegeven dat het wel slecht is dat hij er niet meteen iets aan gedaan heeft. Ik was ergens s'nachts op IRC waar die 2 gasten aankwamen, geloof dat Jasper er ook was, toen hadden ze het er al over (dat ze in de MySQL db konden ofzo, ik was niet echt wakker toen 
).
Omdat Rick niet reageerde of met iets anders bezig was, heb ik hem zelfs nog een ICQ gestuurd.
Maargoed, ik denk dat jullie het beter hadden kunnen doen dan een eikel die de boel wil verneuken hier.
Iig even op Rick wachten dan...
).Omdat Rick niet reageerde of met iets anders bezig was, heb ik hem zelfs nog een ICQ gestuurd.
Maargoed, ik denk dat jullie het beter hadden kunnen doen dan een eikel die de boel wil verneuken hier.
Iig even op Rick wachten dan...
Iedereen maakt wel eens een foutje, Rick is ook maar een mens, alleen had hij IMHO gewoon moeten reageren toen die 2 aan kwamen zetten door de boel meteen dicht te gooien...Op dinsdag 12 december 2000 09:56 schreef Whatistheforce het volgende:
ik zou heel blij zijn met zo'n adminNOT!!
Nou even mijn reactie ook al vind ik Rick niet de aardigste gozer ik verdedig hem wel 
.
Die CGI script is niet netjes nee maar dat je ze kunt uit voeren betekent niet dat je er iets mee kan hoor en dat van de shellz.nl DB is heel overdreven dat is een prive project van Rick en heeft dus een lagere prioriteit dus het is niet gek dat die niet dezelfde security heeft als de t.net DB *sigh* ik vind dit heel overdreven hoor.
(en ik moet leren typen )
.Die CGI script is niet netjes nee maar dat je ze kunt uit voeren betekent niet dat je er iets mee kan hoor en dat van de shellz.nl DB is heel overdreven dat is een prive project van Rick en heeft dus een lagere prioriteit dus het is niet gek dat die niet dezelfde security heeft als de t.net DB *sigh* ik vind dit heel overdreven hoor.
(en ik moet leren typen
)
There are two major products that come out of Berkeley: LSD and UNIX.
We don't believe this to be a coincidence. -- Jeremy S. Anderson
In short: just say NO TO DRUGS, and maybe you won't end up like the Hurd people. -- Linus TorvaldsI
Hier moet ik aan toevoegen dat het publiek maken van deze informatie niet op prijs wordtr gesteld op het internet vaak kan je veel meer eer behalen door het gewoon door te geven aan de admins inplaats van weer een leuk nieuw doel voor script kiddy's te geven. Ik snap dat dat ook leuk kan zijn maar als je een security hole ontdekt hoeft het echt niet zo.... losers 
There are two major products that come out of Berkeley: LSD and UNIX.
We don't believe this to be a coincidence. -- Jeremy S. Anderson
In short: just say NO TO DRUGS, and maybe you won't end up like the Hurd people. -- Linus TorvaldsI
There are two major products that come out of Berkeley: LSD and UNIX.
We don't believe this to be a coincidence. -- Jeremy S. Anderson
In short: just say NO TO DRUGS, and maybe you won't end up like the Hurd people. -- Linus TorvaldsI
:strip_icc():strip_exif()/u/21/crop659694649f051_cropped.jpg?f=community)
Ouch. Dat wist ik niet.. Nu kan het iig niet meer.
Dat was om users de mogelijkheid te bieden via het web hun password en login info te veranderen. Meteen nadat ik ervan op de hoogte ben gesteld dat andere users deze DB's konden uitlezen heb ik de db verwijderd en de zaken beveiligd.
Onzin. Beveiliging van een webserver en van een shellserver zijn twee compleet verschillende dingen. Er heeft bijna niemand een account op de Tweakers.net machine, en daarmee is het al een heel stuk moeilijker de machine te hacken. Ik heb ook geen tijd om dagelijks alle bugs bij te houden.
Nogmaals, meteen nadat er duidelijk was gemaakt dat de db onveilig was heb ik alle userinfo uit de db gehaald en de db beveiligd. Nu ik weet van dat finger gaatje heb ik dat ook beveiligd.
Er is NIETS geroot. Alles wat deze "hackers" gedaan hebben, is een db binnengehaald met userinfo (met daarin o.a. passwords). Ik weet het, het is een erg slordige fout van me geweest. Ik heb hiervan geleerd en zoiets zal ook niet meer voorkomen.
Rest mij nog te zeggen dat dit alles enorm s opgeblazen.
Ik zat er al eerder aan te denken te stoppen met shellz.nl, maar door dit soort gezeik weet ik het zeker. Ik heb hier geen tijd voor. Het hele idee achter shellz.nl is PLEZIER geweest. Ik wou door deze service meer leren over beveiliging van systemen, het is me duidelijk geworden dat dat op deze manier niet werkt.
/u/1083/icon.png?f=community){kind=icon}
Quotje van Rick:
Nog een quotje van Rick (www.shellz.nl/english/contest.html):
Contest
The first person to root the shellmachine,
without causing further damage, can pick up a
second-hand Voodoo3 2000
Rick:
je kunt ook in de home dirs van andere users rond snuffelen.. je ziet geen dir listing bij /usr/home maar als je bv doet cd /usr/home/rjansen dan kun je daar alles bekijken.. je kunt de users uit de file /etc/passwd halen die ook tot iedereen leesbaar is.
(of was, ik heb al een tijdje niet meer gewerkt op die shellz.nl)
anyway, ik heb het je ooit verteld op irc, maar toen was je er niet of maar half wakker of zo
je kunt ook in de home dirs van andere users rond snuffelen.. je ziet geen dir listing bij /usr/home maar als je bv doet cd /usr/home/rjansen dan kun je daar alles bekijken.. je kunt de users uit de file /etc/passwd halen die ook tot iedereen leesbaar is.
(of was, ik heb al een tijdje niet meer gewerkt op die shellz.nl)
anyway, ik heb het je ooit verteld op irc, maar toen was je er niet of maar half wakker of zo
edit:
het kan nog steeds, rick, je hebt 15 nr's van the corrs in je home dir staan (of iig die van rjansen)
het kan nog steeds, rick, je hebt 15 nr's van the corrs in je home dir staan (of iig die van rjansen)
Tuurlijk kun je /etc/passwd bekijken, daar hebben ze shadowed passwords voor uitgevonden... Als je /etc/passwd NIET kon viewen dan zou er pas iets heel erg fout zijn 
En de users kunnen natuurlijk ook zelf de verantwoording over de homedirs nemen, je kunt ze immers zelf chmodden zodat er niemand anders behalve jij en root bij kan.
Trouwens, als er een homepage in de userdir staat dan moet de userdir wel toegankelijk zijn voor iedereen anders is die homepage niet te bereiken.
En wat betreft die test-cgi en printenv, dat snap ik niet echt... Ik zie dat toch niet als beveiligingslek ofzo... of zit ik nou fout?
Het zijn toch gewoon 2 testscriptjes dir wat info over je systeem naar buiten blaaten...
Ok, van die database was slordig maarja, shit happens...
En de users kunnen natuurlijk ook zelf de verantwoording over de homedirs nemen, je kunt ze immers zelf chmodden zodat er niemand anders behalve jij en root bij kan.
Trouwens, als er een homepage in de userdir staat dan moet de userdir wel toegankelijk zijn voor iedereen anders is die homepage niet te bereiken.
En wat betreft die test-cgi en printenv, dat snap ik niet echt... Ik zie dat toch niet als beveiligingslek ofzo... of zit ik nou fout?
Het zijn toch gewoon 2 testscriptjes dir wat info over je systeem naar buiten blaaten...
Ok, van die database was slordig maarja, shit happens...
/u/8/oog3.png?f=community)
Boeiuh?
als je in de home dirs van anderen kunt kijken, dat is geen ramp, als een gebruiker niet wil dat iemand oook maar zijn userdir leest moet hij gewoon zelf een chmod 700 doen.
Dat is een redelijk normale gang van zaken (bijv. op universiteiten enzo).
Okay, die database had niet gemogen, das een beetje fout, maar je hebt imho nog steeds geen root access gehad
als je in de home dirs van anderen kunt kijken, dat is geen ramp, als een gebruiker niet wil dat iemand oook maar zijn userdir leest moet hij gewoon zelf een chmod 700 doen
.Dat is een redelijk normale gang van zaken (bijv. op universiteiten enzo).
Okay, die database had niet gemogen, das een beetje fout, maar je hebt imho nog steeds geen root access gehad
"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan
Shellmachine rooten is niet hetzelfde als zeggen dat ie geroot is, wat niet het geval is, en vervolgens ook nog gaan dreigen de userdb te verspreiden als ik die V3 niet weggeef. Tsja sorry hoor, maar dan kan je van mijn part echt optiefen.Op dinsdag 12 december 2000 11:38 schreef Chaos het volgende:
Quotje van Rick:
[..]
Nog een quotje van Rick (www.shellz.nl/english/contest.html):
[..]
Pagina: 1