Druckversion des ausgewählten Themas

Geschrieben von: ElDuderino Aug 24 2007, 14:51

Um 4:24 hat heute ein User gemeldet, er könne sich nicht mehr einloggen. Ich musste allerdings zur Arbeit eilen und konnte mich zu dem Zeitpunkt nicht darum kümmern.
Als ich gegen 13:00 wieder zuhause war, hatte mir auch Hogie eine Mail geschickt (Danke!), dass offenbar jemand das Board gehackt hätte. Soweit so schlecht, er sollte recht behalten.

Stand der Dinge: Dank täglicher Backups ist jetzt der Stand von gestern wieder eingespielt worden.
Naturgemäß gehen dabei einige Postings verloren, was sich aber kaum verhindern lässt.
Ich rate jedem Mitglied sein Passwort zu ändern! Die Passwörter stehen zwar nur verschlüsselt in der Datenbank, wer aber auf "Nummer Sicher" gehen will, sollte ein neues anfordern.

Ein Hacker (vermutlich Asiate), hat sich gegen 3 Uhr früh über einen Proxy aus Vietnam an der Salvia-Community vergangen. Es gibt wohl eine (mir zumindest) unbekannte Lücke in unserer Forensoftware, über die es dem Angreifer gelang, sich eine Shell über das Admin-Panel einzuschleusen und allerhand Unfug zu treiben: Alle Mitglieder (außer sich selbst) gelöscht, mehrere PHP-Shells platziert, SQL-Code eingeschleust und die temporären Logs gelöscht.

Wie ihr seht, ist das Board wieder online, jedoch besteht das geringe Risiko, dass es wieder gehackt wird, falls die von mir getroffenen Maßnahmen zur Absicherung nicht greifen.
Euch betreffen diese Maßnahmen nur insofern, als es ab sofort nicht mehr erlaubt ist, Avatare oder Profilfotos raufzuladen. Sorry.
Der Server selbst scheint nicht kompromittiert worden zu sein, dank vernünftiger Unix-Rechteverwaltung.

Der Hacker hat eine Nachricht hinterlassen ich solle ich für "Details" kontaktieren, was ich aber nicht getan habe. Vermutlich wollte er bloß Bares, denn wenn es ihm darum gegangen wäre Lücken aufzuzeigen, hätte er das auch tun können ohne die Datenbank zu zerstören.

Ich hoffe auf einen reibungslosen Betrieb,
ElDuderino

Geschrieben von: paulsenior Aug 24 2007, 15:02

ich habs doch gesagt,ein guter Admin macht täglich Backups;)
Gute Arbeit

Geschrieben von: karline Aug 24 2007, 15:10

gott sei dank! ich hatte schon befürchtet dass alles restlos verloren ist! War wohl ein Vietnamese nachdem Goggle folgendes ausspuckt:
It has been hack by a Vietnamese Hacker BigBall, his gmail is [email protected]

Top Admin!!!

Grüße,
karline

Geschrieben von: MMX Aug 24 2007, 15:21

Schicken wir dem jetzt nen Trojaner?
Habe schon befürchtet, dass jetzt die große Datendistribution mit Emailadressen und allem erfolgt.

Geschrieben von: WeedStar* Aug 24 2007, 15:53

kenne viele boards, doch du bist einer der wenigen guten admins
weiter so

Geschrieben von: SD1 Aug 24 2007, 16:19

Ich werde einen Monat nicht mehr asiatisch Essen gehen.
DAS habt ihr jetzt davon, ihr Kurzschnidel
Gute Arbeit, Admin

Geschrieben von: nixisweg Aug 24 2007, 16:30

Super, dass es Backups gibt

Mal ein Bericht MEINER letzten Nacht:

Ich wollte um ca. 3:00 ins Bett gehen und habe nochmal ins Board gesehen. Ergebniss: Mein Username is gelöscht und ein Gewisser bigball ist einziger user und Admin. Alle Alarmglocken leuten..

Also ab ins IRC - nur noch N2O da. Er hat das gleiche Problem. Also haben wir ein wenig geredet ect. Um 4:17 kommt das erste mal ein Troja wenn ich auf die Seite gehe:
http://www.file-upload.net/view-380178/troja.jpg.html

4:39: Es taucht das erste mal eine (beguggte) Shellkonsole unter dem Forum aus. Commands nimmt das Ding gott sei dank nicht an:
http://www.file-upload.net/view-380183/troja2.jpg.html

4:49: Das Forum is komplett zu:
http://www.file-upload.net/view-380185/troja3.jpg.html

ca. 5 Uhr (leider kein screenshot, war etwas im Stress): Über dem Forum tauch eine FUNKTIONIERENDE shell konsole auf. Nach ca. 2 Minuten rumspielen war sie leider wieder weg - Forum abschalten hat Zeitlich nicht hingehaun.

Unter der Konsole stand eine URL von seinem server, von dem Das Script ausgeführt wurde. Genialerweise lagen da auch noch die Scripts mit drauf . Ich habe 2 Scripts gezogen (das verbuggte und das zum admin passwort ändern), falls der Admin es zur schließung der Lücken will

Ich habe dann selbst noch etwas versucht bigball mit den Scripts (erfolglos) rauszuschmeißen, also alle "Attacken", die vom server "www.110mb.com" kommen, bitte ignorieren, das kam von mir

Bigball ist laut Google Recherche ein japanischer Hacker der auch schon ein paar andere Forum lahm gelegt hat. Das übliche Scriptkiddie halt...

Kurz nach 6 Uhr hats mich angekotzt dass ich nix dran ändern kann und ich bin schlafen gegangen

Geschrieben von: eschen Aug 24 2007, 16:43

irgendwie mag ich die Community hier ich weiß auch nicht warum *g =)

Geschrieben von: hogie Aug 24 2007, 17:07

Freaky, gute Arbeit.

Vor allem war es auch eine reife Leistung von Dude. Ich hätte nicht geglaubt, daß das Forum so schnell wieder funktioniert.

Geschrieben von: Nuke Aug 24 2007, 17:08

los, wir fahren alle nach vietnam oder japan, wo auch immer der jetzt wirklich herkommt und üben mal unsere fähigkeiten mit nem katana

Geschrieben von: muronivid Aug 24 2007, 17:11

Dude du bist der Beste!

Hoffen wir, dass dieser Sack das nicht noch mal macht...

Geschrieben von: karline Aug 24 2007, 18:09

Bei mir geht der Button "Neue Beiträge" nicht! Gerade eben gings noch, jetz kommt:
Fatal error: Call to undefined function: clean_int_array() in /home/httpd/vhosts/salvia-community.net/httpdocs/forums/sources/search.php on line 84


[EDIT:] Vergessts! Geht wieder!

Geschrieben von: ElDuderino Aug 24 2007, 18:32

Hah, da hast du genau die Sekunden erwischt, in denen ich jetzt an search.php rumgepfuscht habe
Bisschen Löcher kitten wird nicht schaden. Es Könnte kurzzeitig auch bei anderen Dateien zu Fehlermeldungen gekommen sein. Falls die weiter bestehen, bitte in "Support" melden.

@Freakyfish: Thx für die Bilder und den Versuch Schaden abzuwehren.
Am interessantesten wäre es aber zu wissen, wie die Scripts überhaupt auf den Server kamen... Irgendwie übers AdminCP und Emoticon-Upload. Nunja, dieser Weg (und einige andere) ist jedenfalls verschlossen.

Edit: Mittlerweile weiß ich wie. Oje, der Admin ist schuld

Geschrieben von: zorn Aug 24 2007, 18:40

und ich hab mich schon gewundert, wiso meine Beiträge verschwunden waren...

Gut gemacht! Danke an die Leut´, die das so schnell wieder flott bekommen haben!

"bigBalls"... jaja klar... der probiert anscheinend mit internet-terror etwas zu kompensieren...

miniBalls....

Geschrieben von: nixisweg Aug 24 2007, 19:54

Das erste Script wird von einem externen Server mit PHP und cURL Support ausgeführt. Es ändert über eine Sicherheitslücke ohne Probleme das Admin Passwort ohne dies vorher zu kennen.

Die andere Scripts wurden dann anscheinend über das AdminCP vom IPB in das Board integriert. Wie das genau geht weis ich nicht, ich hab mit IPB außer lesen und Beiträge schreiben noch nicht so viel am Hut gehabt...

Geschrieben von: Dingo Aug 24 2007, 20:45

Ja, unser Dude ist schon Gold wert. So wie der sich rein kniet kenn ich kaum ein anderen.

Jo, Passwort ist geändert. THX für die Info, auch wenn ich kaum glaube das es wirklich so dringend nötig war. Leutz die auf solche Wege ganze Foren lahmlegen können brauchen Passwörter einzelner User eigentlich nicht, aber sicher ist sicher.

Neben ein paar Beiträgen von denen höchstens die im Spam zu bedauern wären sind auch die letzten PNs futsch. Auch kein großes Problem, oda?

Geschrieben von: Humito Aug 24 2007, 21:38

Hi auch,

über verschlüsselte Passwörter mache ich mir weniger sorgen. Um verschlüsselte Passwörter eines Un*x Systems zu entschlüsseln gehört ein bisschen mehr dazu als ein bisschen PHP Scriptkenntnisse sowie einen PC und das wissen der einen oder anderen Sicherheitslücke von (My)SQL-PHP basierten Foren.
Viel mehr würde mich interessieren, was mit den gesammelten Email Adressen geschieht und ob wir uns demnächst auf eine neue Welle Gruss Botschaften mit "P*nis Enlargement Pills" einstellen dürfen!

Geschrieben von: hogie Aug 24 2007, 22:36

Mal abwarten. Rückgängig machen können wir das ohnehin nicht mehr. Schlimmer als [email protected] können wir niemals zugespammt werden. Er soll die Pillen erstmal selber nehmen, denn er hat sie besonders nötig.

Geschrieben von: eschen Aug 24 2007, 22:39

nur weil Asiaten statistisch gesehen eher kürzer sind? =P

Geschrieben von: gosvami Aug 25 2007, 13:05

*gosvami jetzt irgendwie paranoia hat*

Geschrieben von: Dingo Aug 25 2007, 22:14

Also ich hab im Spam Ordner noch nix bemerkt.

Geschrieben von: Bricolador Aug 25 2007, 22:49

Da schaust du zwei Tage hier nicht rein und schon ist die Hölle los!

Geschrieben von: AliceD Aug 28 2007, 10:42

Also entweder kommts mir nur so vor oder es ist echt so:

Seit diesem Hack scheint mir die Website hier verdammt langsam geworden zu sein. Sie baut sich bei mir wesentlich langsamer auf als andere Websites, das isn richtiger Spaßkiller

Geschrieben von: paulsenior Aug 28 2007, 10:50

Stimmt,manchmal dauerts ne halbe Minute:(

Geschrieben von: karline Aug 28 2007, 12:16

kann ich auch bestätigen!

Geschrieben von: ElDuderino Aug 28 2007, 16:49

Seltsam. Ist das immer der Fall, oder nur manchmal?
Halbe Minute ist eindeutig zuviel. Max 2 Sekunden bei mir hier.

Sollte das Problem dauerhaft sein, bitte mit allen verfügbaren Details in "Support" posten.

Edit: vorrübergehend werden jetzt Statistiken am Seitenende eingeblendet, da könnt ihr sehen, wie lange der Server gebraucht hat um die Seite zu erstellen.

Geschrieben von: hogie Aug 28 2007, 16:51

Ich habe heute mal 72s für eine Seite gehabt.
Es ist nicht immer. Momentan ist es ok.

Geschrieben von: AliceD Aug 28 2007, 16:52

Jap stimmt, grad gehts wieder. Scheint ein temporäres Problem zu sein. und 30 - 80 Sekunden war heute morgen keine Seltenheit

Geschrieben von: ElDuderino Aug 28 2007, 17:00

Zufällig ein wenig nach 7 Uhr? Oder eher um 5? hmmm

Geschrieben von: Humito Aug 28 2007, 17:09

Tach zusammen,
mir scheint, dass manche Mitglieder auch gehackt wurden und die Daten, wie Username & Passwort, an einen entfernten Datensammler PC oder Server übermittelt werden.

Meine Anmeldung ist innerhalb 2-3 Sekunden abgewickelt - zu jeder Tageszeit!

Geschrieben von: AliceD Aug 28 2007, 17:12

eher so 10:30 heute morgen, ja für mich ist das morgen ^^

Geschrieben von: WeedStar* Aug 28 2007, 17:13

heute noch nix gemerkt, von wegen speed probs und so, aber gestern auf jeden fall.
hat deutlich länger gedauert, seiten zu laden.

Geschrieben von: hogie Aug 28 2007, 17:15

Bei mir war es heute im Lauf des nachmittags. Ein Browser liegt noch von gestern abend herum und ist inzwischen sogar erschienen.
Er zeigt eine Ladezeit von 178s und eine Uhrzeit von 22:42.

Geschrieben von: Glassmoon Aug 28 2007, 19:30

Die langen Ladezeiten die letzten Tage waren mir auch aufgefallen, nun scheint aber alles wieder im grünen Bereich zu sein mit ~0.1s.

Geschrieben von: Dingo Aug 28 2007, 21:02

Gestern und vorhin hatte ich arge Probleme mit dem Speed. Allerdings nur kurz. Im Moment liegt es bei mir auch im 0.1 sec Bereich.

Hey Dude. Die Statistik ist witzig. Von mir aus kann sie bleiben.

Geschrieben von: 1er Aug 30 2007, 15:12

Hi,

super Arbeit!
Dieser verdammten Hacker die einfach nur zerstören müssen, die sollten ihre Fähigkeiten mal positiv einsetzen!



mfg
Lars

Geschrieben von: Glassmoon Aug 30 2007, 19:33

Hacker machen so einen Blödsinn an und für sich nicht. Das sind im Großen und Ganzen irgendwelche kleinen Scriptkiddies, die sich für toll halten, weil sie hier und da irgendwelche Hackertools runterladen und benutzen können.

Glass

Geschrieben von: ElDuderino Aug 30 2007, 19:38

Ich mach hier zu...