So könnte ein Teil einer Log Datei ausehen.
[1] Sat 18Sep99 21:30:45 - Starting FTP
Server... (Version 2.5f (32-bit))
[5] Sat 18Sep99 21:31:08 - (000001) Connected to 90.0.0.1 (Local
address 149.225.89.137)
[5] Sat 18Sep99 21:31:08 - (000001) IP-Name: secret
[5] Sat 18Sep99 21:32:00 - (000001) User THEPOWERANT logged in
[3] Sat 18Sep99 21:33:46 - (000001) Sending file c:\tpa\tpa.zip
[3] Sat 18Sep99 21:33:46 - (000001) Sent file c:\tpa\tpa.zip
successfully (44.2 Kb/sec - 453 bytes)
[3] Sat 18Sep99 21:36:35 - (000001) Sending file
c:\bilder\nudegirl.jpg
[3] Sat 18Sep99 21:36:35 - (000001) Sent file
c:\bilder\nudegirl.jpg successfully (146 Kb/sec - 44015 bytes)
[5] Sat 18Sep99 21:36:41 - (000001) Closing connection for user
THEPOWERANT (00:05:33 connected)
[5] Sat 18Sep99 23:55:31 - (000002) Connected to 90.0.0.1 (Local
address 90.0.0.2)
[5] Sat 18Sep99 23:55:33 - (000002) IP-Name: Sysadmin
[5] Sat 18Sep99 23:56:02 - (000002) User SYSADMIN logged in
[4] Sat 18Sep99 23:57:45 - (000002) Receiving file
c:\bilder\hotgirl.jpg
[4] Sat 18Sep99 23:57:45 - (000002) Received file
c:\bilder\hotgirl.jpg successfully (147 Kb/sec - 44015 bytes)
[4] Sun 19Sep99 00:00:17 - (000002) Receiving file c:\secret.txt
[4] Sun 19Sep99 00:00:18 - (000002) Received file c:\secret.txt
successfully (151 Kb/sec - 17577 bytes)
[5] Sun 19Sep99 00:00:33 - (000002) Closing connection for user
SYSADMIN (00:05:02 connected)
[5] Sun 19Sep99 02:07:22 - (000004) Connected to 90.0.0.1 (Local
address 90.0.0.3)
[6] Sun 19Sep99 02:07:22 - (000004) 220 Serv-U FTP-Server v2.5f
for WinSock ready...
[5] Sun 19Sep99 02:07:22 - (000004) IP-Name: Master
[2] Sun 19Sep99 02:07:41 - (000004) USER Max
[6] Sun 19Sep99 02:07:41 - (000004) 331 User name okay, need
password.
[2] Sun 19Sep99 02:07:44 - (000004) PASS
xxxx
[5] Sun 19Sep99 02:07:44 - (000004) User MAX logged in
[6] Sun 19Sep99 02:07:44 - (000004) 230 User logged in, proceed.
[2] Sun 19Sep99 02:07:59 - (000004) PORT 90,0,0,3,4,16
[6] Sun 19Sep99 02:07:59 - (000004) 200 PORT Command successful.
[2] Sun 19Sep99 02:07:59 - (000004) RETR secret.txt
[6] Sun 19Sep99 02:08:00 - (000004) 150 Opening ASCII mode data
connection for secret.txt (17577 bytes).
[3] Sun 19Sep99 02:08:00 - (000004) Sending file c:\secret.txt
[3] Sun 19Sep99 02:08:00 - (000004) Sent file c:\secret.txt
successfully (223 Kb/sec - 17577 bytes)
[6] Sun 19Sep99 02:08:00 - (000004) 226 Transfer complete.
[2] Sun 19Sep99 02:09:38 - (000004) PORT 90,0,0,3,4,17
[6] Sun 19Sep99 02:09:38 - (000004) 200 PORT Command successful.
[2] Sun 19Sep99 02:09:38 - (000004) STOR secret2.txt
[6] Sun 19Sep99 02:09:38 - (000004) 150 Opening ASCII mode data
connection for secret2.txt.
[4] Sun 19Sep99 02:09:38 - (000004) Receiving file c:\secret2.txt
[4] Sun 19Sep99 02:09:38 - (000004) Received file c:\secret2.txt
successfully (9.06 Kb/sec - 742 bytes)
[6] Sun 19Sep99 02:09:38 - (000004) 226 Transfer complete.
[2] Sun 19Sep99 02:09:44 - (000004) QUIT
[6] Sun 19Sep99 02:09:44 - (000004) 221 Goodbye!
[5] Sun 19Sep99 02:09:44 - (000004) Closing
connection for user MAX (00:02:22 connected)
[5] Sun 19Sep99 03:00:18 - (000005) Connected to 90.0.0.1 (Local
address 149.225.52.143)
[6] Sun 19Sep99 03:00:18 - (000005) 220 Serv-U FTP-Server v2.5f
for WinSock ready...
[5] Sun 19Sep99 03:00:18 - (000005) IP-Name: UNKNOWN
[2] Sun 19Sep99 03:00:23 - (000005) USER Anonymous
[6] Sun 19Sep99 03:00:23 - (000005) 331 User name okay, please
send complete E-mail address as password.
[2] Sun 19Sep99 03:00:29 - (000005) PASS lame@over.de
[5] Sun 19Sep99 03:00:29 - (000005) ANONYMOUS logged in,
password: LAME@OVER.DE
[6] Sun 19Sep99 03:00:29 - (000005) 230 User logged in, proceed.
[2] Sun 19Sep99 03:00:38 - (000005) CWD C:\
[6] Sun 19Sep99 03:00:38 - (000005) 250 Directory changed to /c:/
[2] Sun 19Sep99 03:00:49 - (000005) PORT 149.225.52.143,19
[6] Sun 19Sep99 03:00:49 - (000005) 200 PORT Command successful.
[2] Sun 19Sep99 03:00:49 - (000005) NLST *.log
[6] Sun 19Sep99 03:00:49 - (000005) 150 Opening ASCII mode data
connection for /bin/ls.
[6] Sun 19Sep99 03:00:49 - (000005) 226 Transfer complete.
[2] Sun 19Sep99 03:00:55 - (000005) PORT 149.225.52.143,4,20
[6] Sun 19Sep99 03:00:55 - (000005) 200 PORT Command successful.
[2] Sun 19Sep99 03:00:55 - (000005) RETR ftp.log
[6] Sun 19Sep99 03:00:55 - (000005) 150 Opening ASCII mode data
connection for ftp.log (4354 bytes).
[3] Sun 19Sep99 03:00:55 - (000005) Sending file c:\ftp.log
Ungefähr so würde ne Log Datei ausehen, um es besser zu erklären habe ich meinen Eintrag (User Anonymous), grau gefärbt. Jedenfalls habe ich jetzt die Log Datei, wo ich sehen kann das der User Max root rechte hat (weil er die Datei sercet2 geuppt hat), außerdem gefällt es mir das User Max nur ein Vierstelliges Passwort hat. Da der Admin gerade nicht da ist, (weil er gerade besoffen unterm Tisch pennt:-), starte ich eine direckte Brute Force Attacke* auf den Max-Account.
Wie man sieht habe ich das Passwort (idee) von Max herausbekommen. Nun sehe ich auch das die eine Datei secret.txt auf dem Server haben, das interessiert mich irgentwie. Also logge ich mit meinen neuen Passwort ein und lade ich mir die secret.txt herunter. Nach getaner Arbeit lösche ich noch meine Eintragungen aus der Log datei (die hier grau markiert sind und die wo man erkennen kann das eine Bruteforce Attacke stattgefunden hat) und kopiere die bearbeitete Logdatei wieder auf den Server.
Sorry, aber so einfach ist hacken nun (meist) wirklich nicht. Es sei denn es wäre ein Virtuelles Netzwerk, und der kloppts hätte die Log Datei für alle schön sichtbar da angelegt und hat somit keine Ahnung von Sicherheit und er währe wirklich zu der Zeit abwesend gewesen (weil er vielleicht wirklich schon früh schlafen gegangen ist, und das Netzwerk jetzt nicht mehr bewacht wird).
Shadow Max
* Brute Force ist eine Password Cracker Methode, die einfach alle Buchstaben (und/oder Zahlen) durchgeht bis sie die richtige Kombination gefunden hat.