Um 4:24 hat heute ein User gemeldet, er könne sich nicht mehr einloggen. Ich musste allerdings zur Arbeit eilen und konnte mich zu dem Zeitpunkt nicht darum kümmern.
Als ich gegen 13:00 wieder zuhause war, hatte mir auch Hogie eine Mail geschickt (Danke!), dass offenbar jemand das Board gehackt hätte. Soweit so schlecht, er sollte recht behalten.
Stand der Dinge: Dank täglicher Backups ist jetzt der Stand von gestern wieder eingespielt worden.
Naturgemäß gehen dabei einige Postings verloren, was sich aber kaum verhindern lässt.
Ich rate jedem Mitglied sein Passwort zu ändern! Die Passwörter stehen zwar nur verschlüsselt in der Datenbank, wer aber auf "Nummer Sicher" gehen will, sollte ein neues anfordern.
Ein Hacker (vermutlich Asiate), hat sich gegen 3 Uhr früh über einen Proxy aus Vietnam an der Salvia-Community vergangen. Es gibt wohl eine (mir zumindest) unbekannte Lücke in unserer Forensoftware, über die es dem Angreifer gelang, sich eine Shell über das Admin-Panel einzuschleusen und allerhand Unfug zu treiben: Alle Mitglieder (außer sich selbst) gelöscht, mehrere PHP-Shells platziert, SQL-Code eingeschleust und die temporären Logs gelöscht.
Wie ihr seht, ist das Board wieder online, jedoch besteht das geringe Risiko, dass es wieder gehackt wird, falls die von mir getroffenen Maßnahmen zur Absicherung nicht greifen.
Euch betreffen diese Maßnahmen nur insofern, als es ab sofort nicht mehr erlaubt ist, Avatare oder Profilfotos raufzuladen. Sorry.
Der Server selbst scheint nicht kompromittiert worden zu sein, dank vernünftiger Unix-Rechteverwaltung.
Der Hacker hat eine Nachricht hinterlassen ich solle ich für "Details" kontaktieren, was ich aber nicht getan habe. Vermutlich wollte er bloß Bares, denn wenn es ihm darum gegangen wäre Lücken aufzuzeigen, hätte er das auch tun können ohne die Datenbank zu zerstören.
Ich hoffe auf einen reibungslosen Betrieb,
ElDuderino
ich habs doch gesagt,ein guter Admin macht täglich Backups;)
Gute Arbeit
gott sei dank! ich hatte schon befürchtet dass alles restlos verloren ist! War wohl ein Vietnamese nachdem Goggle folgendes ausspuckt:
It has been hack by a Vietnamese Hacker BigBall, his gmail is [email protected]
Top Admin!!!
Grüße,
karline
Schicken wir dem jetzt nen Trojaner?
Habe schon befürchtet, dass jetzt die große Datendistribution mit Emailadressen und allem erfolgt.
kenne viele boards, doch du bist einer der wenigen guten admins
weiter so
Ich werde einen Monat nicht mehr asiatisch Essen gehen.
DAS habt ihr jetzt davon, ihr Kurzschnidel
Gute Arbeit, Admin
Super, dass es Backups gibt
Mal ein Bericht MEINER letzten Nacht:
Ich wollte um ca. 3:00 ins Bett gehen und habe nochmal ins Board gesehen. Ergebniss: Mein Username is gelöscht und ein Gewisser bigball ist einziger user und Admin. Alle Alarmglocken leuten..
Also ab ins IRC - nur noch N2O da. Er hat das gleiche Problem. Also haben wir ein wenig geredet ect. Um 4:17 kommt das erste mal ein Troja wenn ich auf die Seite gehe:
http://www.file-upload.net/view-380178/troja.jpg.html
4:39: Es taucht das erste mal eine (beguggte) Shellkonsole unter dem Forum aus. Commands nimmt das Ding gott sei dank nicht an:
http://www.file-upload.net/view-380183/troja2.jpg.html
4:49: Das Forum is komplett zu:
http://www.file-upload.net/view-380185/troja3.jpg.html
ca. 5 Uhr (leider kein screenshot, war etwas im Stress): Über dem Forum tauch eine FUNKTIONIERENDE shell konsole auf. Nach ca. 2 Minuten rumspielen war sie leider wieder weg - Forum abschalten hat Zeitlich nicht hingehaun.
Unter der Konsole stand eine URL von seinem server, von dem Das Script ausgeführt wurde. Genialerweise lagen da auch noch die Scripts mit drauf . Ich habe 2 Scripts gezogen (das verbuggte und das zum admin passwort ändern), falls der Admin es zur schließung der Lücken will
Ich habe dann selbst noch etwas versucht bigball mit den Scripts (erfolglos) rauszuschmeißen, also alle "Attacken", die vom server "www.110mb.com" kommen, bitte ignorieren, das kam von mir
Bigball ist laut Google Recherche ein japanischer Hacker der auch schon ein paar andere Forum lahm gelegt hat. Das übliche Scriptkiddie halt...
Kurz nach 6 Uhr hats mich angekotzt dass ich nix dran ändern kann und ich bin schlafen gegangen
irgendwie mag ich die Community hier ich weiß auch nicht warum *g =)
Freaky, gute Arbeit.
Vor allem war es auch eine reife Leistung von Dude. Ich hätte nicht geglaubt, daß das Forum so schnell wieder funktioniert.
los, wir fahren alle nach vietnam oder japan, wo auch immer der jetzt wirklich herkommt und üben mal unsere fähigkeiten mit nem katana
Dude du bist der Beste!
Hoffen wir, dass dieser Sack das nicht noch mal macht...
Bei mir geht der Button "Neue Beiträge" nicht! Gerade eben gings noch, jetz kommt:
Fatal error: Call to undefined function: clean_int_array() in /home/httpd/vhosts/salvia-community.net/httpdocs/forums/sources/search.php on line 84
[EDIT:] Vergessts! Geht wieder!
Hah, da hast du genau die Sekunden erwischt, in denen ich jetzt an search.php rumgepfuscht habe
Bisschen Löcher kitten wird nicht schaden. Es Könnte kurzzeitig auch bei anderen Dateien zu Fehlermeldungen gekommen sein. Falls die weiter bestehen, bitte in "Support" melden.
@Freakyfish: Thx für die Bilder und den Versuch Schaden abzuwehren.
Am interessantesten wäre es aber zu wissen, wie die Scripts überhaupt auf den Server kamen... Irgendwie übers AdminCP und Emoticon-Upload. Nunja, dieser Weg (und einige andere) ist jedenfalls verschlossen.
Edit: Mittlerweile weiß ich wie. Oje, der Admin ist schuld
und ich hab mich schon gewundert, wiso meine Beiträge verschwunden waren...
Gut gemacht! Danke an die Leut´, die das so schnell wieder flott bekommen haben!
"bigBalls"... jaja klar... der probiert anscheinend mit internet-terror etwas zu kompensieren...
miniBalls....
Das erste Script wird von einem externen Server mit PHP und cURL Support ausgeführt. Es ändert über eine Sicherheitslücke ohne Probleme das Admin Passwort ohne dies vorher zu kennen.
Die andere Scripts wurden dann anscheinend über das AdminCP vom IPB in das Board integriert. Wie das genau geht weis ich nicht, ich hab mit IPB außer lesen und Beiträge schreiben noch nicht so viel am Hut gehabt...
Ja, unser Dude ist schon Gold wert. So wie der sich rein kniet kenn ich kaum ein anderen.
Jo, Passwort ist geändert. THX für die Info, auch wenn ich kaum glaube das es wirklich so dringend nötig war. Leutz die auf solche Wege ganze Foren lahmlegen können brauchen Passwörter einzelner User eigentlich nicht, aber sicher ist sicher.
Neben ein paar Beiträgen von denen höchstens die im Spam zu bedauern wären sind auch die letzten PNs futsch. Auch kein großes Problem, oda?
Hi auch,
nur weil Asiaten statistisch gesehen eher kürzer sind? =P
*gosvami jetzt irgendwie paranoia hat*
Da schaust du zwei Tage hier nicht rein und schon ist die Hölle los!
Also entweder kommts mir nur so vor oder es ist echt so:
Seit diesem Hack scheint mir die Website hier verdammt langsam geworden zu sein. Sie baut sich bei mir wesentlich langsamer auf als andere Websites, das isn richtiger Spaßkiller
Stimmt,manchmal dauerts ne halbe Minute:(
kann ich auch bestätigen!
Seltsam. Ist das immer der Fall, oder nur manchmal?
Halbe Minute ist eindeutig zuviel. Max 2 Sekunden bei mir hier.
Sollte das Problem dauerhaft sein, bitte mit allen verfügbaren Details in "Support" posten.
Edit: vorrübergehend werden jetzt Statistiken am Seitenende eingeblendet, da könnt ihr sehen, wie lange der Server gebraucht hat um die Seite zu erstellen.
Ich habe heute mal 72s für eine Seite gehabt.
Es ist nicht immer. Momentan ist es ok.
Jap stimmt, grad gehts wieder. Scheint ein temporäres Problem zu sein. und 30 - 80 Sekunden war heute morgen keine Seltenheit
Zufällig ein wenig nach 7 Uhr? Oder eher um 5? hmmm
Tach zusammen,
mir scheint, dass manche Mitglieder auch gehackt wurden und die Daten, wie Username & Passwort, an einen entfernten Datensammler PC oder Server übermittelt werden.
Meine Anmeldung ist innerhalb 2-3 Sekunden abgewickelt - zu jeder Tageszeit!
eher so 10:30 heute morgen, ja für mich ist das morgen ^^
heute noch nix gemerkt, von wegen speed probs und so, aber gestern auf jeden fall.
hat deutlich länger gedauert, seiten zu laden.
Bei mir war es heute im Lauf des nachmittags. Ein Browser liegt noch von gestern abend herum und ist inzwischen sogar erschienen.
Er zeigt eine Ladezeit von 178s und eine Uhrzeit von 22:42.
Die langen Ladezeiten die letzten Tage waren mir auch aufgefallen, nun scheint aber alles wieder im grünen Bereich zu sein mit ~0.1s.
Gestern und vorhin hatte ich arge Probleme mit dem Speed. Allerdings nur kurz. Im Moment liegt es bei mir auch im 0.1 sec Bereich.
Hey Dude. Die Statistik ist witzig. Von mir aus kann sie bleiben.
Hi,
super Arbeit!
Dieser verdammten Hacker die einfach nur zerstören müssen, die sollten ihre Fähigkeiten mal positiv einsetzen!
mfg
Lars
Ich mach hier zu...
Powered by Invision Power Board ()
© Invision Power Services ()