Perchè molti attacchi informatici sui siti riguardano etc/passwd?

Perchè molti attacchi informatici sui siti riguardano etc/passwd?

Molti attacchi informatici a siti web mediante  riguardano il tentato accesso ad informazioni riservate del sistema. Motivo per cui si tende a dislocare tali informazioni su macchine remote, in modo da limitare le possibilità di attacco, cosa peraltro non possono sulle normali architetture dedicate o condivise che usiamo per i nostri siti abitualmente.

Se facciamo login via SSH con un account root, possiamo visualizzare noi stessi le informazioni contenute nel file con un semplice cat:

cat /etc/passwd

In questo modo andremo a visualizzare un file di testo per righe, suddiviso dal simbolo :, in cui sono rappresentati tra gli altri username e password dei vari utenti. Se le username sono memorizzate in chiaro, le password sono usualmente salvate in forma criptata nel file /etc/shadow.

Ad esempio:

 
 salcap:x:1000:1000:Mario Rossi,218,888 123456,777 987654,vendite:/home/salcap:/bin/bash

La “x” indica il campo password, che come visto è memorizzato in un secondo file a parte (etc/shadow), ad esempio in questa forma:

salcap:$6$F5o3Sdoc$y.IdYyCK74kDS6zXxW7iFer8JciApaQAiaZJGO1Om8MPZUxn8XTml9TNLn2deLNRPNKwZAvHKfefAtnDVD5Zo/:14671:0:90:6:7:14800:9

Gli attacchi informatici che riescono a navigare del disco fisso del server (basta anche un semplice plugin di WordPress fallato) puntano quindi a scaricare, e successivamente provare a decriptare, i due file riservati in questione, che sono in posizione standard sulla maggioranza delle distribuzioni Linux. Tenete conto che, con un po’ di fortuna (e specialmente se usate password banali) la password criptata potrebbe essere scoperta con attenzione da terzi, anche per tentativi o con un attacco a dizionario.

(fonte: cibercity.biz)


Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.