如何检测您的ISPConfig 3服务器上的弱邮件密码
作者Nedim Hadzimahmutovic <h.nedim@gmail.com>
这是一个简短的教程,了解如何为邮件用户找到弱密码。 这将为您节省很大的头痛,因为垃圾邮件发送者将通过弱密码找到邮件帐户,并发送垃圾邮件作为该用户,这将导致您的邮件服务器被列入黑名单。
将邮件用户从数据库导出到本地文件
使用下面的命令将用户及其密码导出到本地文件。
# mysql -u root -p dbispconfig
运行一次登录mysql。
mysql> SELECT email,password FROM dbispconfig.mail_user INTO OUTFILE '/tmp/sql.txt' FIELDS TERMINATED BY ':' ESCAPED BY '\\' ENCLOSED BY '' LINES TERMINATED BY '\r\n';
包含用户名和密码的文件在/tmp/sql.txt
中创建
使用“John the Ripper”找出弱密码
安装程序
# apt-get install john
从/tmp/sql.txt文件加载导出的邮件用户列表。
# john -single /tmp/sql.txt
约翰会告诉你破解的密码。 稍后在run命令下面查看破解的密码。
# john --show /tmp/sql.txt
要找出简单的数字密码,如123456 ,以增量模式运行john。
# john --incremental=Digits /tmp/sql.txt
要查找简单的字母数字密码,如abc123,请使用wordlist模式,如下所示。
# john --wordlist=/usr/share/john/password.lst /tmp/sql.txt
要查看更多示例运行:
# zless /usr/share/doc/john/EXAMPLES.gz
完成后,别忘了删除sql.txt文件!
# rm /tmp/sql.txt