Beitrag zur Merkliste hinzufügen
Hier kann eine Notiz zum Merk-Eintrag hinzugefügt werden (optional)
| [ 1 | 2 ] | [ Anmelden zum schreiben ] |
| Nach dem Angriff | |||
|---|---|---|---|
| ---Doc--- Mitglied 
Posts: 204 |
Hallo ilch-Team!
Schön erst einmal, daß ihr recht schnell alles wiederherstellen konntet. In der News sagt ihr ja, daß keine Sicherheitslücke ausfindig gemacht werden konnte. Habt ihr denn schon eine Idee wie der Einbruch geschah? z.B. BruteForce Attacke auf ein Admin Paßwort etc? |
||
| Lord|Schirmer Administrator 
Posts: 4606  |
Die ersten Änderungen fanden durch meinen Account statt. Da ich eigentlich ein sicheres Passwort verwendet hatte (9stelligen Buchstaben-/Zahlenmix) ist eher ungewöhnlich diesen Pass zu erraten.
Die Vermutung liegt nahe, dass ich wohl ausversehen bei einer anderen Ilch-User-Seite mein Ilch.de-Pass angegeben habe und somit dieser MD5-Hash verwendet wurde. Da ich schon auf sovielen Seiten der Ilchuser geholfen habe, ist für mich aktuell ein Nachvollzug nicht mehr möglich. Vielleicht gab es auch eine andere Möglichkeit des Zugriffes aber die Indizien und der Verlauf der Aktion spricht leider dafür! Sofern noch jemand auf seiner Seite einen Account von mir hat, bitte ich diesen "vorsichtshalber" zu entfernen! Man weiss ja nie! Zuletzt modifiziert von Lord|Schirmer am 17.12.2011 - 11:34:54 "In mir schlummert ein Genie, leider wacht es nicht auf!" my portfolio | my community | important link |
||
| ---Doc--- Mitglied
Posts: 204 |
Danke für die Aufklärung.
Da bin ich ja schon mal beruhigt. Bis Montag soll nämlich unsere ilch basierte Seite online gehen, was jetzt erst einmal pausiert war. |
||
| Revolution Mitglied
Posts: 641  |
Entweder eine neue unbekannte Lücke im System :-)
oder so wie von LoadSchirmer beschrieben. Wobei grade die letzte methode recht problematisch ist! Ich weiß nicht wie der Ilch Backend aktuell aussieht aber vor einiger Zeit war es kinderleicht eine Liste aller Passwörter zubekommen. Mit dem Hash Werten der Passwörter anderer User kann man schon eine menge anfangen, besonders bei denen die ihr Passwort überall verwenden. 2010 hab ich mich oft mit XSS und SQLInjection beschäftigt und mich auch bei ilch umgesehen. Ilch.de selbst weißte keine krassen lücken auf aber einige Seiten der Moderatoren und dank der Tatsache das viele immernoch die selben Passwörter benutzen ist es keine Kunst mehr schlimmeres damit anzufangen. Mein Ergebnis aus dieser Zeit User DB ilch - auszug - (ca. 1 Jahr alt) Zur Sicherheit wurden alle Daten unkenntlich gemacht, der Fehler wurde auch gemeldet und sollte behoben worden sein! Wenn tatsächlich eine kopie der Userdaten hier von ilch.de kopiert wurde, dann solltet ihr nun folgendes machen: - Eigenes Passwort ändern, auch auf seiner privaten, Clan Seite - Seine Mods und CoAdmins auch dazu Auffordern dies zutun, falls diese beil Ilch angemeldet sind. Zuletzt modifiziert von Revolution am 17.12.2011 - 20:44:33 SideMAX (w)CMS 404cms 404studios.com |
||
| holz Mitglied
Posts: 801  |
Erst der ANFANG! Just the BEGINNING! ilch.de/ lost-squad.de/ andrewm.an.funpic.de/ lanverein-agonie.at/ |
||
| Lord|Schirmer Administrator
Posts: 4606 |
Da scheinbar der Account von holz noch in Benutzung ist, habe ich ihm ein neues Passwort generiert und per Email zugesendet und die ganzen neuen Nachrichten des "Cyber_TR"? außer diese entfernt!
"In mir schlummert ein Genie, leider wacht es nicht auf!" my portfolio | my community | important link |
||
| Speedzero Mitglied
Posts: 12  |
unsere Seite wurde vor einen Monat auch "gehackt"...
Genauso über das selbe verfahren wie bei euch! Ich denke mal das es eine Lücke geben muss. :/ Da meine PWs überall anders sind! lg speed |
||
| MaddinXx Mitglied 
Posts: 746  |
AND NEXT : dragondesigns.de/
Rackster Internet Services |
||
| Revolution Mitglied
Posts: 641 |
Zitat geschrieben von Speedzero
unsere Seite wurde vor einen Monat auch "gehackt"... Genauso über das selbe verfahren wie bei euch! Ich denke mal das es eine Lücke geben muss. :/ Da meine PWs überall anders sind! lg speed Wenn es eine Lücke gibt und es tatsächlich klappt die DB auszulesen, sei es mit sqlinjection oder sonst wie, muss der md5 hash entschlüsselt bzw. mit einer Liste verglichen werden und wenn das gelingt (es geht) ist dein Passwort einfach zu simple. Worte wie "Feuerwehr" sind einfach zu easy. Grade ein Admin einer Seite sollte ein sicheres PW benutzen! "4oRÜäa(?Os" Es mögen sich doch mal die melden die hier und für ihre eigene Webseite das selbe Passwort benutzen. :-) Zuletzt modifiziert von Revolution am 17.12.2011 - 20:54:25 SideMAX (w)CMS 404cms 404studios.com |
||
| MaddinXx Mitglied
Posts: 746 |
... UPDATE xic_user WHERE id=... SET pass=...
;P Rackster Internet Services |
||
| Speedzero Mitglied
Posts: 12 |
mein pw ist 12 Buchstaben und zahlen lang... Naja
 die Fälle häufen sich ja anscheind^^ |
||
| Lord|Schirmer Administrator
Posts: 4606 |
Grundsätzlich ist eine Lücke im Standard-Script 1.1O nicht bekannt, was aber nicht heißen muss, so wie es Mairu schon erwähnt hat, dass es keine gibt.
Gefahren stellen sich in Form von unsicheren Passwörtern, häufige Verwendung der gleichen Passwörter, unsichere und ungeprüfte Module und Bereitstellung von Zugangsdaten FTP & SQL usw... Empfehlenswert ist auf jedemfall, in angemessenen Zeiträumen, die Datenbank & die FTP-Daten zu sichern! @MaddinXx Die Passwörter wurden nicht in der Datenbank verändert! Ein Zugriff auf FTP + SQL erfolgte nicht! Alle Veränderungen fanden nur mit den Rechten des betroffenen Accounts auf der WebSite statt! Zuletzt modifiziert von Lord|Schirmer am 17.12.2011 - 21:01:14 "In mir schlummert ein Genie, leider wacht es nicht auf!" my portfolio | my community | important link |
||
| Boy83Ol Mitglied
Posts: 273  |
Ich Frage mich nur warum ihr nicht ein Paar Tools benutzt um zu sehen von wem es kommt so wie es aussieht scheint hier eine Strafttat nach §202c StGB vor und das ist schon lang kein kavaliersdelikt mehr evtl jemand eine ip ?
Gestern noch zu blöd, den Computer einzuschalten, heute schon die eigene Homepage |
||
| MaddinXx Mitglied
Posts: 746 |
Also ich finde das
andrewm.an.funpic.de/ lanverein-agonie.at/ aber schon nach FTP Zugriff aussehen.  Rackster Internet Services |
||
| Revolution Mitglied
Posts: 641 |
Zitat geschrieben von Boy83Ol
Ich Frage mich nur warum ihr nicht ein Paar Tools benutzt um zu sehen von wem es kommt so wie es aussieht scheint hier eine Strafttat nach §202c StGB vor und das ist schon lang kein kavaliersdelikt mehr evtl jemand eine ip ? Viel mehr als die IP wirst du womöglich nicht bekommen, falls diese hier gespeichert wird und mit der bekommt der normale Mensch nicht mehr als die Herkunft heraus. Und bei einer Anzeige bzgl Straftat wirst du bei einem guten Angriff nicht weitkommen, ein oder zwei Proxys dazwischen und aus die maus! Zuletzt modifiziert von Revolution am 17.12.2011 - 21:13:24 SideMAX (w)CMS 404cms 404studios.com |
||
| Boy83Ol Mitglied
Posts: 273 |
evtl mal bei imageshack.us die ip des pics anfordern ;-)
Gestern noch zu blöd, den Computer einzuschalten, heute schon die eigene Homepage |
||
| Lord|Schirmer Administrator
Posts: 4606 |
@MaddinXx
Das ist richtig! Ich sprach jetzt nur vom Fall Ilch.de. @Boy83Ol Wir analysieren! Ich bin mir auch nicht zu Schade sofern wir eine eindeutige IP den Vorgängen zuweisen können rechtliche Maßnahmen einzuleiten. "In mir schlummert ein Genie, leider wacht es nicht auf!" my portfolio | my community | important link |
||
| Boy83Ol Mitglied
Posts: 273 |
Richtig der Normale Mensch aber bei Straftatsbestand sind die Internetnabieter sehr Hilfsbereit ;-) zurückverfolgung auch wenn VPN benutzt wurde ist kein Ding habe das Thema schon einmal durch^^
Gestern noch zu blöd, den Computer einzuschalten, heute schon die eigene Homepage |
||
| Revolution Mitglied
Posts: 641 |
evt. ist es echt eine lücke an die alte getIP() lücke hat schließlich auch keiner gedacht und sonderlich schwer anzuwenden war diese nicht! wenn man daruf gekommen ist und wusste wie!
Aber so ist es halt, der eine finder ist nett und meldet sie und er andere nutzt sie aus um sich in irgendeiner weise zu profilieren. Zuletzt modifiziert von Revolution am 17.12.2011 - 21:18:40 SideMAX (w)CMS 404cms 404studios.com |
||
| Boy83Ol Mitglied
Posts: 273 |
Denoch hat der jenige nicht das recht dieses auszunutzen eher den Betreiber in kentnisssetzen somit ist es eine Straftat.
Gestern noch zu blöd, den Computer einzuschalten, heute schon die eigene Homepage |
||
| Mairu Coder 
Posts: 12770  |
Bei den Seiten, wo auch FTP Zugriffe etc. statt fanden, war vielleicht das Adminpasswort gleich dem FTP Passwort oder so, liegt zumindest nahe, zumindest im Falle von ilch.de sind das aber alles einzelne generierte Passwörter, die somit recht sicher sein sollten, das kann ich natürlich auch nur jedem empfehlen.
Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite |
||
| DaStIaC Mitglied 
Posts: 2178  |
www.cyber-warrior.org/Cyber_TR
Das wird der wohl sein, denn das Thema der Seite stimmt überein. Leider ist das Forum komplett geschützt, da muss man sich erst Bewerben und alles. :< Zuletzt modifiziert von DaStIaC am 18.12.2011 - 04:41:18 » www.lucror-gaming.com » www.planetpod.de » www.dodszene.net |
||
| Chapter Moderator 
Posts: 5677  |
Kann es sein, das vermehrt türkische Hacker am Werk sind ?
Eine meiner kundenseiten wurde auch von türkischen Hackern zerstört. Diese basierte allerdings auf wordpress Spamming, sinnlose Beiträge, Pushing, Doppelposting und Werbung sind verboten |
||
| Ahrtas Mitglied
Posts: 1093  |
Zitat geschrieben von Chapter
Kann es sein, das vermehrt türkische Hacker am Werk sind ? Eine meiner kundenseiten wurde auch von türkischen Hackern zerstört. Diese basierte allerdings auf wordpress Hast du was gegen Türken? Können genauso gut Deutsche sein die eine türkische Identität nutzen um die Türken in der Gesellschaft (wieder einmal) schlecht zu machen... Gutes Design ist so wenig Design wie möglich. WoW Rekrutierung für ilch | Skin-Maker |
||
| Chapter Moderator
Posts: 5677 |
Zitat geschrieben von Ahrtas
Hast du was gegen Türken? Wie kommst du darauf? Mir ist lediglich aufgefallen das vermehrt türkische Hacker am Werk sind und mehr nicht! Zieh mal keine voreiligen Schlüsse ! Spamming, sinnlose Beiträge, Pushing, Doppelposting und Werbung sind verboten |
||
| kdl Mitglied
Posts: 318  |
Sowas ist mir auch schon aufgefallen. Bei Leuten mit tr oder turk im Namen muss man immer aufpassen, egal ob das jetzt Türken sind oder nicht.
Ich hoffe doch, dass die Passwörter hier auf ilch anständig gehasht sind. Ansonsten wird das sicher noch Auswirkung auf viele andere Seiten haben, da die wenigsten ein sicheres Passwort haben und sowieso überall das gleiche nutzen. |
||
| Swamp Mitglied
Posts: 1986  |
Zitat
Virus: Trojan.IFrame.YX (Engine A) Virus beim Laden von Web-Inhalten gefunden. Adresse: andrewm.an.funpic.de Status: Der Zugriff wurde verweigert. Hm... ^^ und ihr klickt alle drauf :o Wer zuletzt lacht, hat den schlechtesten Ping. |
||
| Chapter Moderator
Posts: 5677 |
Zitat geschrieben von Swamp
Zitat Virus: Trojan.IFrame.YX (Engine A) Virus beim Laden von Web-Inhalten gefunden. Adresse: andrewm.an.funpic.de Status: Der Zugriff wurde verweigert. Hm... ^^ und ihr klickt alle drauf :o Jo warum nicht? Den Mac und das iPad stört das nicht :-) Spamming, sinnlose Beiträge, Pushing, Doppelposting und Werbung sind verboten |
||
| Sunshine Live Mitglied
Posts: 913  |
Hab ma ne frage an euch habt ihr den fehler auch wenn ihr nen post absenden wollt das die meldung kommt das ihr angeblich die Seite verlassen wollt??
hier zusehn 
Und wenn ich auf "Auf Seite bleiben" klicke passiert nix. UNd wenn ich dann auf "Verlassen" klicke sendet er den post ab.. Das is aber erst seid den angriff so ... Meine Page Profilansicht 1.2b Profilansicht 1.2 |
||
| Angelina Mitglied
Posts: 87  |
Ja habe ich auch..
www,angelina.de Ein Kavalier ist ein Mann, der sich den Geburtstag einer Frau merkt und ihr alter vergisst. |
||
| [ 1 | 2 ] | [ Anmelden zum schreiben ] |