Если взломают сервер где стоит jabber...

Discussion in 'Безопасность и Анонимность' started by RRR_RRR, 2 Jan 2018.

  1. RRR_RRR

    RRR_RRR Member

    Joined:
    20 Jun 2012
    Messages:
    396
    Likes Received:
    35
    Reputations:
    0
    Вопрос такой. В каком виде и где хранятся пользовательские данные от jabber ? Нужны ли доп. настройки чтоб при взломе сервера или сама администрация виртуального сервера несмогли получить доступ к пользовательским данным ? Жаба по дефолту сама шифрует данные ?
     
  2. Sun2017

    Sun2017 Member

    Joined:
    5 May 2017
    Messages:
    337
    Likes Received:
    85
    Reputations:
    0
    файерволл на сервере должен быть.
    если это linux сервер, то это iptables на блокировку всего что не разрешено,
    чтобы если загрузили трой на сервер не от рута, чтобы трой не смог установить
    соединениеююи тем самым не мог подняться до root-доступа.
     
  3. pas9x

    pas9x Elder - Старейшина

    Joined:
    13 Oct 2012
    Messages:
    423
    Likes Received:
    585
    Reputations:
    52
    Судя по твоим топикам ты один из тех, кто начал не с того конца. Перед тем как что-то ломать надо сначала получить квалификацию админа/программиста не ниже уровня middle. Пока этого нет ты будешь вечно создавать такие топики.

    Это зависит от конкретного яббер-сервера. У каждого софта свои форматы хранения логинов/паролей. Яббер-серверы бывают разные, например ejabberd, jabberd2, openfire. Все три умеют хранить пароли где угодно: в простых файлах, в БД типа мускуля, можно даже для этого заюзать pam или ldap авторизацию. Кароче на всех серверах по разному.

    Не понимаю суть вопроса. Ты хочешь пошифровать БД юзеров а потом трясти с админов сервера за неё деньги? Сделать это возможно, но сложно. Можно угнать БД юзеров, поднять на vps-ке ldap-сервер и замутить авторизацию через него. При этом, если на яббер-сервере работает регистрация новых юзеров то она сломается. И чтобы она не сломалась тебе ещё надо делать поддержку регистрации новых юзеров.
     
  4. RRR_RRR

    RRR_RRR Member

    Joined:
    20 Jun 2012
    Messages:
    396
    Likes Received:
    35
    Reputations:
    0
    Нет. Объясню на примере
    Допустим есть форум на xenforo. Когда новый пользователь регистрируется там его данные в бд хранятся в шифрованном виде. Т.е если кто то взломает форум и сольет бд данного форума то ему придется брутом подбирать пароли. т.е визуально он не сможет увидеть пароли. Вот и мне интересно как у жабы ? Т.е данные шифруются или они хранятся в открытом виде ? и нужны ли какие то доп. настройки чтоб данные зашифровать чем то чтоб когда злоумышленник получит рут доступ на сервере был только мусор состоящий из бинарного кода
     
  5. pas9x

    pas9x Elder - Старейшина

    Joined:
    13 Oct 2012
    Messages:
    423
    Likes Received:
    585
    Reputations:
    52
    Это зависит не от яббер-сервера а от криворукости админа. Как админ настроит сервер так он и будет работать. Можно хранить в открытом виде, можно в виде хешей.

    Шивровать данные (логины, email, vcard) смысла нет, так как это не мега-секретная информация. Соответственно яббер-серверы этого делать не умеют. И если тебе надо их шифровать то тебе придётся кодить свой собственный модуль авторизации.
    Если твой сервак порутали то хакеру пофиг, что данные в БД зашифрованы. Если твой яббер-сервер может расшифровать зашифрованные в БД данные то и хакер тоже может. Он просто прочитает конфиг яббер-сервера в котором прописан ключ шифрования и расшифрует данные из БД. Можно конечно усложнить жизнь хакеру: при старте демона одноразово вручную вводить ключ шифрования так чтобы он нигде на винте не хранился. Но даже в этом случае хакер может сделать дамп памяти яббер-сервера и откопать в нём ключ шифрования.

    Яббер-серверы умеют только хешировать пароль. И все нормальные админы настраивают их так, чтобы пароли хранились в виде хеша.

    Итого: все данные юзеров кроме паролей хранятся в открытом виде. Пароли хранятся в виде хеша (если админ не идиот).
     
  6. RRR_RRR

    RRR_RRR Member

    Joined:
    20 Jun 2012
    Messages:
    396
    Likes Received:
    35
    Reputations:
    0
    ну я про это и спрашиваю
    при стандартном установке через стандартный мануал пароли хешируются или нужны доп. настройки ?
     
  7. dooble

    dooble Members of Antichat

    Joined:
    30 Dec 2016
    Messages:
    231
    Likes Received:
    601
    Reputations:
    145
    Пароли в чистом виде не хранятся, переписка недоступна, а вот конференции хранятся на сервере (последние сообщения, их объем настраивается) - можно прочитать сообщения участников.
    Пожалуй самое неприятное - roster, список твоих контактов хранится на сервере и тоже достается.

    Это на опыте ejabberd, openfire, prosody.
     
    grimnir and RRR_RRR like this.
  8. RRR_RRR

    RRR_RRR Member

    Joined:
    20 Jun 2012
    Messages:
    396
    Likes Received:
    35
    Reputations:
    0
    тогда долой конференцию ) и только личная переписка
     
  9. artkar

    artkar Well-Known Member

    Joined:
    14 Nov 2016
    Messages:
    350
    Likes Received:
    331
    Reputations:
    6
    Данные естественно шифруются, пароли не хранятся открыто, при взломе сервера, пользователи не пострадают и их информация останется не доступна. Никакие доп настройки не нужны.
     
    RRR_RRR likes this.
  10. texnoline

    texnoline Banned

    Joined:
    28 Aug 2016
    Messages:
    195
    Likes Received:
    52
    Reputations:
    0
    PGP - не слышали??? а также холодная голова во всем, технологии почти все с багами, того или иного уровня, вопрос только когда и кому это будет необходимо в реале!
     
  11. Papazogla

    Papazogla New Member

    Joined:
    3 Apr 2017
    Messages:
    15
    Likes Received:
    0
    Reputations:
    0
    Апну темку. Насколько реально расшифровать хэш/соль ejabberd? Если не реально, то насколько реально проснифать сервер (имея рут доступ к ссш) что бы получить пароли по которым авторизовываются.
     
Loading...
Similar Threads - взломают сервер стоит
  1. xakepok777
    Replies:
    4
    Views:
    4,120