Benutzerdaten ausspioniert! [Update!]

[ProfDrDenis]

wie kann man bloß so sorglos mit den zugangsdaten herumprahlen?

kannst Du das mal ein bisserl näher erläutern?

[Spawn]

Hauptsache mal was gesagt, ohne wahrscheinlich den gesamten Text gelesen zu haben. 

Wer prahlt denn hier mit irgendwelchen Zugangsdaten!?

[Landru]

kannst Du das mal ein bisserl näher erläutern?

ein SE-Angriff ist kein Hack, kein Crack - kein Angriff auf den Rechner auf die DB oder ähnliches. Mit einem SE-Angriff erschleicht man sich soweit das Vertrauen einer Person mit entsprechenden Zugangsrechten das man von dieser Person alle Informationen bekommt (freiwillig genannt oder durch Schlampigkeit da es irgendwo rumliegt) das der Angreifer auch diese Informationen zum Zugangsrecht hat und sie entsprechend nutzen kann. Die ganz normale menschliche Schwäche...

Interessant in diesem Zusammenhang (für alle die es noch nit gesehen haben): http://www.picload.org/image/e2821f8295d3560db6184c1582d027e4/h4ckyou.png - da werden vom phpbb, phpbb2 und woltlab (und in diesem Zusammenhang ist ja anscheinend auch smfportal.de geöffnet worden) die Daten schon mal zum Verkauf angeboten...

[kretschi]

Hauptsache mal was gesagt, ohne wahrscheinlich den gesamten Text gelesen zu haben. 

Wer prahlt denn hier mit irgendwelchen Zugangsdaten!?

ok, da sich die admins hier mit "ermittlungstechnischen" gründen schützen (sie sagen nicht was die ursache war, dass die db gedumpt worden ist), kann man nur die anderen forenadmins zitieren:

hier die woltlabmeldung:

Soweit wir das bisher recherchieren konnten, kannte der Hacker das Passwort eines Administrators und konnte sich so Zugang zur Administrationsoberfläche verschaffen. Wir vermuten, dass der Hacker das Passwort des Administrators über den Hack einer anderen Seite, wo das gleiche Passwort verwendet wurde, erfahren hat. Es handelt sich also nicht um einen Fehler in der Forensoftware.

sollte das hier auch zutreffen, dann ist es nicht besonders klug als admin eines portals irgendwo die selben zugangsdaten & passwörter zu verwenden. ist es ein fehler der software oder anderer komponenten nehme ich das ganze zurück.

@landru: thx

[Jorin]

ok, da sich die admins hier mit "ermittlungstechnischen" gründen schützen (sie sagen nicht was die ursache war, dass die db gedumpt worden ist), kann man nur die anderen forenadmins zitieren.

Ich werde mich hier zu keinen Äußerungen hinreißen lassen, die uns vielleicht ins eigene Fleisch schneiden. Ich kann dir jedoch versichern, dass die Woltlab-Erklärung hier nicht zutrifft. Bitte behandelt das Thema sachlich und lasst euch nicht zu wilden Spekulationen hinreißen.

[kretschi]

also, dann ist das schon mal eine auskunft - warum nicht gleich so.
damit nehme ich meine aussage über sorglos verwendete zugangsdaten zurück.

[GeroZ]

Das Thema, das uns sicher allen unter den Nägeln brennt, ist: Sind unsere SMF 1.1.4 Boards immanent unsicher ie. dumpbar oder nicht?

Wenn nein - naja, dann ist ja alles prima, abgesehen von verbrannten "Standard-Forum-Passwörtern".

Wenn doch, was ist zu tun? Die Aussage "ein ungemoddetes SMF ist sicher" klingt schon mal toll, trifft aber nicht die Not derer, die Mods installiert haben, und das dürften nicht allzu wenige sein - weil sie nicht wissen, ob die selbst installierten Mods harmlos sind oder nicht.

Keiner verlangt den Schnitt ins eigene Fleisch. Aber Du musst umgekehrt auch uns verstehen, dass unsere Nerven auch ein Stück weit blank liegen.

[Bogus]

hi

Also beim PHPBB.de war es wohl so, das da irgendwas mit dem Server war. Daher kein Forum Sicherheitslücke, beim wbb bzw. der Seite, da wurde von einem Admin ein pw gestohlen. Daher auch keine Sicherheitslücke.

Nun .. wer so blöd ist und ein 0815 pw nimmt, das macht das einen Hacker es sehr leicht. Daher am besten pw´s nehmen, auf die wirklich kein Mensch kommen würde. Ausserdem, kein Hacker weiss wo ihr noch Accounts habt. Also nicht verrückt machen lassen.

Mich würde aber intressieren, wer und warum so drauf ist und hackt ein Forum wie phbb.de und SMFPortal.de ? Bei WBB könnte man noch Geld vermuten.

[Landru]

GeroZ.. bitte lese es doch nochmal durch... es geht - soweit alles hier geschrieben wurde - um einen SE-Angriff... was des ist hab ich weiter oben schonmal geschrieben.

Aber nochmal ganz langsam: Ein SE-Angriff, so erfolgreich er auch ist, hat nichts, aber auch absolut nichts, mit der verwendeten Software zu tun. Weder auf Forumsbasis, noch Datenbank noch Serversoftware.

[ProfDrDenis]

na Klasse.

Wir haben also ein Problem, dass kennen wir nun so leidlich. Wissen auch das wir wahrscheinlich alle mit unserer SMF Software gefährdet sind, einige kennen gar das Problem oder besser den Angriffspunkt... aber sie hüllen sich in Schweigen.

na Klasse.

Bedeutet in dieser ernsten Stunde? Beten?

[ProfDrDenis]

Also doch ein SE-Angriff?

und hat mein gepostetes Beispiel da was mit zu tun?

[GeroZ]

@Landru: Hab ich gelesen. Und zwar:

Gestern wurde unser Portal Ziel eines Angriffes von außen. Den Tätern gelang es, ein Backup der Datenbank zu ziehen. [...] Wir können euch dies erst jetzt mitteilen, da wir zunächst eventuelle Angriffsmöglichkeiten eroieren und absichern mussten. Bestimmte Funktionen können derzeit nicht in gewohntem Umfang freigegeben werden, wir bitten um Nachsicht.

Und:

Ich kann dir jedoch versichern, dass die Woltlab-Erklärung hier nicht zutrifft. Bitte behandelt das Thema sachlich und lasst euch nicht zu wilden Spekulationen hinreißen.

Also - Woltlab / phpbb: SE-Angriff. Sekretärin. Yadda-Yadda. Hab' ich begriffen.

Aber smfportal: Angriff von außen. Angriffsmöglichkeiten absichern. Bestimmte Funktionen nicht anbieten. Klingt für mich nicht nach SE, sondern nach Exploits im Core oder in (bestimmten) Mods. Daher wiederhole ich meine Frage: Wo ist das Problem, was können wir alle dagegen tun?

@ProfDrDenis: Danke.

[Ferrika]

Sacht mal... warum könnt ihr nicht einfach mal Ruhe bewahren und im Moment das Nötige tun?

Denkt ihr wirklich, daß EURE Foren so interessant sind, daß sich da jetzt der nächste Hacker draufstürzt?

Ist eich nicht aufgefallen, daß im Moment Support-Foren betroffen sind? Was denkt ihr wohl, warum? Weil man damit GELD MACHEN KANN. Wer von euch betreibt ein Forum, dessen Daten sich zu Geld machen ließen? Hand hoch....

Da muß schon ein Name hinter stehen, damit es sich lohnt. Also haltet doch jetzt einfach mal die Luft an, macht ne Datensicherung und ein Backup, sichert die Passwörter ab und dann haltet mal die Füsse still, bis geklärt ist, wie das passieren konnte...

man man man

[ProfDrDenis]

Sacht mal... warum könnt ihr nicht einfach mal Ruhe bewahren und im Moment das Nötige tun?

Denkt ihr wirklich, daß EURE Foren so interessant sind, daß sich da jetzt der nächste Hacker draufstürzt?

sorry, ich bin kein Hacker. Habe also keine Ahnung wie die denken... Ansonsten sind wir doch ruhig, beten sogar!

[kretschi]

@ferrika

wer macht hier panik? es ist nur komisch, dass die anderen support foren die ursachen offen gelegt haben, hier aber geht es nicht. warum auch immer. vielleicht sollte einer schreiben: wir wissen es leider nicht warum - dann wären wir vielleicht nicht sicherer, aber keiner hätte 3 mal nachgefragt... man man man

und noch eins - scheiß egal ob mein forum wichtig ist oder nicht - hier wurden meine daten gestohlen, ob sie entziffert werden können oder nicht.  man man man

[Landru]

GeroZ: zur eigenen Sicherheit einfach mal alle PWs abändern, kontrollieren etc.. Sicher ist immer Sicherer. Und auf nichts anderes wurde hingewiesen.

Und was bringt es Dir wenn jetzt jemand schreibt: "xy war bei phpbb angemeldet und hatte das gleiche Passwort wie hier und deswegen konnten sie auch hier" und wenn alles absolut überprüft ist und es war doch etwas andres... dann bist Du bestimmt keiner der Leute die sagen "ok, kein problem, wars halt doch die software, hätte auch gedacht das es mit so einem pw-umgang zu tun hat".

Lasst die Jungs und Mädels doch einfach erstmal in aller Ruhe alles ganz genau nachschauen, kontrollieren und ausschließen. Und wenn dann nur noch eins am Ende übrig bleibt... dann werden sie es wohl auch noch posten.

Und was das Optimalste wäre: es fallen Sicherheitslücken auf die vorher noch nicht aufgefallen sind und werden dann auch gleich noch gestopft...

Alles was wir hier sagen sind Vermutungen. Und wenn Du auf ganz sicher gehen willst: in einem Forum anmelden, Frage stellen, Account löschen... Antwort abwarten... in dem Forum wieder anmelden, danke sagen... Account löschen... und hoffen das du mit den 5 Minuten in denen du online bist genau die Zeit erwischt wo nix passiert... wobei damit das "ganz" vor sicher auch schon wieder gestrichen ist...

[Ferrika]

@ferrika

wer macht hier panik? es ist nur komisch, dass die anderen support foren die ursachen offen gelegt haben, hier aber geht es nicht. warum auch immer.

Vielleicht solltest Du mal die Meldungen richtig lesen, ich geb Dir gern ein paar Links. Ich habe auch die offizielle Mail von Woltlab gelesen, da stand nichts als blabla drin, keine Erklärung, nur Vermutungen.

Ich dachte, in der Mitteilung vom Portal gelesen zu haben, daß man im Moment noch nicht mehr sagen könne? Und zwar, weil man es noch nicht sicher weiß! Und ausserdem, weil Anzeige erstattet wurde und man deswegen gewisses Schweigen bewahren muss....

Was Deine Daten hier angeht... ich wünsche Dir von ganzem Herzen, daß Dir sowas nicht mal passiert... und ausserdem zwingt Dich niemand, weiterhin hier angemeldet zu bleiben. Du stellst das Ganze so dar, als ob die Mannschaft hier etwas zu vertuschen suche... finde ich schon sehr frech, allein den Gedanken.

Die Leute, die hier schon längere Zeit angemeldet sind, Hilfe bekommen haben und sich beteiligen, wissen, daß dies ganz sicher nicht im Sinne der Mannschaft hier wäre. Wenn Du so etwas unterstellen möchtest, solltest Du Dich vielleicht bei Deinen Supportfragen auf die offizielle Seite beschränken

(schulligung, Jorin, so langsam werd ich grantig ... ich weiß: ruuuuhig brauner *g*)

[GeroZ]

Es sei mal dahingestellt, ob sich mit meinem Forum mit eineinhalbtausend Usern direkt, indirekt oder gar kein Geld machen lässt. Aber ich bilde mir ein, ich habe gewisse moralische Verpflichtungen eben dieser Userschar gegenüber.

Denn wenn die Passworthashes meiner User durch ein dusseliges Mod in Gefahr sind, und das nur, weil ich ein potenziell gefährliches Mod nicht deinstalliert habe, weil mir bislang keine Exploits dazu bekannt waren, aber irgendwer (aus im Prinzip verständlichem Grund) auf seinen Händen sitzt und sagt:

Ein ungemoddetes SMF dürfte weiterhin sicher sein.

... Mann, Mann, Mann.

[kretschi]

und ausserdem zwingt Dich niemand, weiterhin hier angemeldet zu bleiben. Du stellst das Ganze so dar, als ob die Mannschaft hier etwas zu vertuschen suche... finde ich schon sehr frech, allein den Gedanken.

nun, ich glaube du hast den sinn eines dumps nicht begriffen - klar ich lösche meinen account - und... was bringt es? hacken oder erschleichen diese penner den zugang nochmals und aktualisieren den dump, nachdem ich meinen account gelöscht habe?
ich weiß, jetzt werden wir richtig offtopic, aber sorry mann, du hast angefangen.

*LOL*

und zu meinen gedanken: solange ich nicht weiß was der grund für diesen dump war, habe ich viele vermutungen. wenn du meine posts gelesen hättest, hättest du gelesen, dass ich meine aussage bzgl. sorglosem behandeln der zugangsdaten zurückgenommen habe. ich habe das gefühl, dass du gerne in meine(n) post(s) etwas hineininterpretierst. ich habe niemandem etwas vorgeworfen, vor allem nicht, dass hier jemand etwas zu vertuschen versucht.

Die Leute, die hier schon längere Zeit angemeldet sind, Hilfe bekommen haben und sich beteiligen, wissen, daß dies ganz sicher nicht im Sinne der Mannschaft hier wäre. Wenn Du so etwas unterstellen möchtest, solltest Du Dich vielleicht bei Deinen Supportfragen auf die offizielle Seite beschränken

du übertriffst dich... laut deinem profi, bin ich hier länger angemeldet als du ...

[Spawn]

Man ihr habt vielleicht Gedanken.

Wir wissen genauso wenig wie auch die von phpBB und WoltLab, woran es letztendlich wirklich gelegen hat, aus dem einfachen Grund weil der Hacker etwas durcheinander veranstaltet hat auf den gesamten Servern.

Ob es nun von einem SE Hack ausging oder auch nicht sei mal dahin gestellt.

Aber von einem Mod war es bestimmt nicht. Mehr kann und darf ich dazu nicht sagen.

@GeroZ:

meinste wirklich das dein Forum mit 1.5k Usern sooo interessant ist für die?

Ich selbst habe mehrere SMF mit mehr als 15k Usern und weit über 500k Beiträgen, aber ich bin trotzdem nicht interessant für die.

Und wenn euch das ganze zu unsicher ist, dann schaltet es eben solange in den Wartungsmodus bis wir mehr wissen.

Wenn wir es genau wüssten was die Ursache war, würden wir die euch bestimmt nicht vorenthalten.

Also gedulded euch noch etwas, denn wir sind auch keine Zauberer und können keine Server Logs in einer Stunde lesen.