Überprüfen der Ausgabe des Telnet-Angriffs
In diesem Schritt analysieren Sie die Ergebnisse Ihres Hydra-Brute-Force-Angriffs auf den Telnet-Service, um zu verstehen, welche Zugangsdaten kompromittiert wurden. Hydra testet mehrere Benutzername/Passwort-Kombinationen gegen den Service, und die Ausgabedatei enthält alle erfolgreichen Anmeldungen sowie fehlgeschlagene Versuche.
- Navigieren Sie zunächst in Ihr Projektverzeichnis, in dem Hydra seine Ergebnisse gespeichert hat, und zeigen Sie die vollständige Ausgabedatei an:
cd ~/project
cat hydra_results.txt
Beispielausgabe zeigt das Format von erfolgreichen Anmeldungen. Jede Zeile enthält das Protokoll (Telnet), die Ziel-IP-Adresse und die gekrackten Zugangsdaten:
[23][telnet] host: 127.0.0.1 login: user1 password: password
[23][telnet] host: 127.0.0.1 login: user2 password: 123456
- Um nur die erfolgreichen Anmeldeversuche aus möglicherweise großen Ausgabedateien zu filtern, verwenden Sie grep, um Zeilen zu finden, die "login:" enthalten:
grep "login:" hydra_results.txt
- Verifizieren Sie die kompromittierten Konten, indem Sie einen manuellen Telnet-Anmeldeversuch mit den gefundenen Zugangsdaten durchführen. Dies bestätigt die Ergebnisse von Hydra und zeigt, wie ein Angreifer gestohlene Zugangsdaten verwenden würde:
telnet 127.0.0.1
Geben Sie beim Anmeldehinweis Folgendes ein:
user1
password
Eine erfolgreiche Anmeldung zeigt die Willkommensnachricht des Servers und die Befehlseingabeaufforderung an:
Welcome to LabEx Telnet Server
user1@localhost:~$
Geben Sie exit
ein, um die Telnet-Sitzung zu beenden, wenn Sie mit den Tests fertig sind.
- Erstellen Sie einen professionellen Zusammenfassungsbericht über die kompromittierten Konten zur Dokumentation. Dies erstellt eine neue Datei mit formatierten Ergebnissen und einer Anzahl:
echo "Compromised Accounts:" > attack_summary.txt
grep "login:" hydra_results.txt >> attack_summary.txt
echo -e "\nTotal compromised: $(grep -c "login:" hydra_results.txt)" >> attack_summary.txt
cat attack_summary.txt
- Für eine zusätzliche Verifizierung überprüfen Sie die Authentifizierungsprotokolle des Telnet-Servers. Diese Systemprotokolle liefern eine unabhängige Bestätigung der Anmeldeversuche und helfen, Angriffsmuster zu verstehen:
sudo grep telnet /var/log/auth.log
Die Serverprotokolle zeigen detaillierte Authentifizierungsereignisse, einschließlich Zeitstempeln und Erfolg/Misserfolg-Status:
May 1 10:00:00 labex in.telnetd[1234]: connect from 127.0.0.1 (127.0.0.1)
May 1 10:00:01 labex login: pam_unix(telnet:auth): authentication failure; logname= uid=0 euid=0 tty=telnet ruser= rhost=127.0.0.1 user=user3
May 1 10:00:02 labex login: pam_unix(telnet:session): session opened for user user1 by (uid=0)