Unbeantwortete Themen | Aktive Themen Aktuelle Zeit: Samstag 20. Oktober 2018, 05:04



Auf das Thema antworten  [ 5 Beiträge ] 
 Hacker am Werk 
Autor Nachricht
Die Seite geschnuert.de wurde von irgendeinem Hacker bearbeitet:

.::.HACKED BY iSKORPiTX(TURKISH HACKER).::.

Nur zur Info

Gruss
Ralf S.


Montag 21. April 2008, 12:30
Korsett Experte

Registriert: Montag 7. Juni 2004, 17:51
Beiträge: 262
Wohnort: Rostock
Ralf S. hat geschrieben:
Die Seite geschnuert.de wurde von irgendeinem Hacker bearbeitet:
.::.HACKED BY iSKORPiTX(TURKISH HACKER).::.


Scheint wohl "bloss" ein Defacement zu sein....

_________________
Ingo


Montag 21. April 2008, 19:30
Profil
Newbe

Registriert: Donnerstag 22. November 2007, 22:19
Beiträge: 3
Moin,

ich bin ein bisschen entsetzt - "bloß" ein Defacement?!

Vielleicht muss ich an dieser Stelle erklären, was mich zu diesem Entsetzen treibt, sicher ist nicht jede und jeder hier technisch ausreichend fit, um die Konsequenzen zu kennen und zu verstehen. Was ist also passiert?

geschnuert.de verwendet ein Joomla! als Content-Management-System, um seine Inhalte zu verwalten. Nun ist es leider so, dass die Codebasis von Joomla! alles andere als fehlerfrei ist, genau genommen gibt es da draußen in der Wildnis eine Menge automatisierter Angriffe gegen das Programm. Vermutlich wurde ein solcher verwendet - und das impliziert wohl auch, dass es das eine oder andere Update gab, das nicht eingespielt wurde. (Mal von den ganzen Lücken, die durch Zusatzmodule hinzukommen und von den bislang als sogenannte ZeroDays, also bis dato nicht veröffentlichten Lücken, abgesehen.)

Was ist nun an einem Angriff so schlimm? Erstmal natürlich immer die Tatsache, dass ein erfolgreicher Angriff auf eine Webseite auch immer bedeutet, dass alle, aber auch auch wirklich alle Daten, die dort abgelegt wurden, kompromittiert wurden, das bedeutet, dem Angreifer zugänglich wurden. "Naja, da liegen ja nur Texte rum," mag man jetzt einwenden, doch weit gefehlt. Dort liegen auch die Newsletterdaten (die doch laut eigener Deklaration höchst vertraulich gehandhabt werden sollen), da liegen Passwörter, da liegen Login-Kennungen. Und natürlich auch Daten, um mit der hinter dem Joomla! liegenden Datenbank zu kommunizieren.

Datenbank? Oh, ja, das bedeutet im nächsten Schritt, dass es eine gewisse Chance gibt, dass jemand auf die vollständigen Daten der Datenbank zugegriffen haben könnte und sie jetzt in seinem Besitz hat. Und analysieren kann, wenn er will. Und darüber wiederum andere Accounts kompromittieren - mal ehrlich, wer verwendet schon immer eine andere User/Passwortkombination?

Weiterdenkend müssen wir natürlich auch fragen, welche Domains sonst noch auf dem betroffenen Webspace gehostet werden - eventuell das Korsettforum? Dann würden all diese Bedenken auch hier gelten.

So, und um das alles auf den Punkt zu bringen: normalerweise macht man nach einem erfolgreichen Angriff einen Abzug der gesamten Serverdaten, analysiert seinen Code, fixt die Fehler und geht dann wieder online. Nicht zu vergesesn, man informiert alle, die potentiell betroffen sein können, damit sie sich zum Beispiel andere Passwörter ausgucken. Denn: Hat erstmal jemand Zugriff auf den Server gehabt (und ncihts anderse bedeutet Defacement ja in letzter Konsequenz) weiß man einfach nicht, was da an unangenehmer Software installiert wurde. Und man weiß nicht, wie schnell der Angriff wiederholt wird - ob dann beim nächsten Mal der Angreifer noch so "nett" ist, seine Anwesenheit mittels Defacement zu verraten, ist fraglich.

Nun also die große Frage: Wie ist die Lage?

*wink*
lesabendio


Donnerstag 24. April 2008, 19:03
Profil
Korsett Experte

Registriert: Montag 7. Juni 2004, 17:51
Beiträge: 262
Wohnort: Rostock
lesabendio hat geschrieben:
Moin,
ich bin ein bisschen entsetzt - "bloß" ein Defacement?!
(ausfuehrliche Erklaerung gekuerzt)
Nun also die große Frage: Wie ist die Lage?


Das '"bloss" ein Defacement' bezog sich darauf, dass es auch schlimmer haette kommen koennen: naemlich einen nicht so offensichtlichen Hack, der ueber Monate unbemerkt geblieben waere.
Der Urheber dieses Hacks/Defacements scheint kein unbeschriebenes Blatt zu sein, sondern massenweise Sites mit seinem "Koennen" zu begluecken.
Von daher gehe ich eher davon aus, dass es demjenigen vornehmlich darum ging, die Seite mit seiner Botschaft zu verunstalten als echten Schaden anrichten zu wollen. Genaueres weiss man natuerlich erst, wenn man den Vorfall analysiert hat. Dass Tacitus grad Urlaub hat, ist natuerlich aeusserst unpassend, aber nunmal derzeit nicht zu aendern.

_________________
Ingo


Donnerstag 24. April 2008, 20:40
Profil
Korsett Experte
Benutzeravatar

Registriert: Samstag 25. Mai 2002, 17:28
Beiträge: 709
Wohnort: Erfurt
Hallo...be back aus dem Urlaub!

...So ein Horror ereilt einen natürlich immer genau dann wenn man grad am anderen Ende der Welt einen netten Urlaub verbringen will.
Erst einmal ein herzlichen Dank an Alle, dies diesen Hack bemerkt haben (und mich per Handy benachrichtigten)...es freut mich sehr, dass Euch offensichtlich geschnuert.de nicht ganz egal zu sein scheint 8)

Aber mal im Ernst... und um Klarheit zu schaffen:

1) Noch am gleichen Tag wurde das Problem durch mich und meinen (zum Glück sehr versierten Provider!) analysiert. Durch eine bestimmte Einstellung der PHP.ini war es überhaupt technisch möglich dass es so weit kommen konnte.
2) Diese Einstellung betrifft/ betraf nicht das Korsettforum und auch nicht die Korsettbildergalerie: hier gibt es strikt getrennte Domains, Verzeichnisse und Datenbanken!
3) Die verwendete Joomla! Version ist (wie übrigens auch die Forumsoftware) das aktuellste Release...was Joomla! (also die Hauptseite von geschnuert.de) angeht betrifft das allerdings die Version 1.4. Die neue (1.5.2) Version läuft bereits auf unserem Testsystem. Es muss allerdings noch die äußere Erscheinung (Template) angepasst werden bevor das System "scharf" geschaltet werden kann.
4) Logindaten existieren derzeit auf der geschnuert.de Seite nicht für Nutzer, es erfolgte bei diesem Angriff auch kein Zugriff auf die DB.

...unterm Strich:
Natürlich habe ich mich sehr über die Vorfall geärgert und jetzt wo ich wieder da bin geht es daran diesen Vorfall ganz genau zu analysieren, damit so etwas nicht wieder vorkommt. Zum Glück ist es aber -so wie es nach dem ersten "Feuerlöschen" ausschaut zu keinem größeren Schaden gekommen! Insbesondere personenbezogene Daten wurden nicht angegriffen!

Tacitus

_________________
--
Leben ist das was einem zustößt,
während man auf die Erfüllung seiner Träume und Hoffnungen wartet...
http://www.geschnuert.de -Korsetts @ geschnuert.de


Dienstag 29. April 2008, 12:37
Profil ICQ YIM Website besuchen
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Auf das Thema antworten   [ 5 Beiträge ] 

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 4 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.
Du darfst keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
Powered by phpBB® Forum Software © phpBB Group
Designed by ST Software
Deutsche Übersetzung durch phpBB.de