Perchè molti attacchi informatici sui siti riguardano etc/passwd?

7d0f737e72c3832a 640 password

Molti attacchi informatici a siti web mediante  riguardano il tentato accesso ad informazioni riservate del sistema. Motivo per cui si tende a dislocare tali informazioni su macchine remote, in modo da limitare le possibilità  di attacco, cosa peraltro non possono sulle normali architetture dedicate o condivise che usiamo per i nostri siti abitualmente.

Se facciamo login via SSH con un account root, possiamo visualizzare noi stessi le informazioni contenute nel file con un semplice cat:

cat /etc/passwd

In questo modo andremo a visualizzare un file di testo per righe, suddiviso dal simbolo :, in cui sono rappresentati tra gli altri username e password dei vari utenti. Se le username sono memorizzate in chiaro, le password sono usualmente salvate in forma criptata nel file /etc/shadow.

Ad esempio:

 
 salcap:x:1000:1000:Mario Rossi,218,888 123456,777 987654,vendite:/home/salcap:/bin/bash

La “x” indica il campo password, che come visto è memorizzato in un secondo file a parte (etc/shadow), ad esempio in questa forma:

Keliweb : il servizio di hosting italiano
salcap:$6$F5o3Sdoc$y.IdYyCK74kDS6zXxW7iFer8JciApaQAiaZJGO1Om8MPZUxn8XTml9TNLn2deLNRPNKwZAvHKfefAtnDVD5Zo/:14671:0:90:6:7:14800:9

Gli attacchi informatici che riescono a navigare del disco fisso del server (basta anche un semplice plugin di WordPress fallato) puntano quindi a scaricare, e successivamente provare a decriptare, i due file riservati in questione, che sono in posizione standard sulla maggioranza delle distribuzioni Linux. Tenete conto che, con un po’ di fortuna (e specialmente se usate password banali) la password criptata potrebbe essere scoperta con attenzione da terzi, anche per tentativi o con un attacco a dizionario.

(fonte: cibercity.biz)



Questo blog pubblica contenuti ed offre servizi free da 10 anni. Per informazioni contattaci
Perchè molti attacchi informatici sui siti riguardano etc/passwd?
Torna su