ilch Forum » Ilch Clan 1.1 » Fehlersuche und Probleme » Ich wurde gehackt...das ist traurig.

Geschlossen
  1. Mi. 24.06.2009 02:58 Uhr #1
    User Pic
    Christian Mitglied
    Registriert seit
    29.07.2006
    Beiträge
    201
    Beitragswertungen
    0 Beitragspunkte
    Moinsen Mädels!

    Was nervt jeden Webmaster? Richtig, der Moment, wo er das erste mal gehackt wird. Seid heute steht folgendes bei uns im den News: 

    Oooppps, you must be truly lost!

Dear 'Philosoffen',

your root got hacked... but not fully, cuz i like u!

So what has been done?
1. Drop newstable to record count 599 (cuz i like u)
2. Some other stuff removed.
3. Got all of u´r crazy psw...

What u should do now?
1. Fire u´r admin!
2. Don´t leave a unsecured root on the web, never know who visit u´r site.
3. Code u´r own CMS.... u´r one sucks definitly!
4. Create new psw for all u´r acc, so i have a new challange (but not a hard one ^^)
5. UPDATE u´r root!!!!!!!
6. Hopefull u´ve a good backup, beside u´ve a problem ^^
7. Create a great news about my action on u´r site, which honors me and is readable for u´r guest.
7.1 If u don´t do it, u´r root will be shut down soon.
8. Delete the dp.Piranha user account. It has an real poor psw.
9. PREPARE FOR WAR!!!

"I was born with the wrong sign
In the wrong house
With the wrong ascendancy
I took the wrong road
That led to the wrong tendencies
I was in the wrong place at the wrong time
For the wrong reason and the wrong rhyme
On the wrong day of the wrong week
I used the wrong method with the wrong technique "

Wanne start a flamewar? mail to diephilsoffen@mail.ru
/>
P.S.: I used one of your members pc for this infection. So don´t try to resolve my ip adress, u just hurt yourself ;-)


    Sodala....was ich mir nun von ganzem Herzen von euch, liebe Community, wünschen würde, ist folgendes:

    Kennt ihr den Text? Ist es ein bekannter Exploit? Was kann ich dagegen tun? Hat das Muttersöhnchen, dass das veranstaltet hat, einen kleinen Penis? Hilfe willkommen...

    Ein langjähriger Ilch Fan.


    verwendete ilchClan Version: 1.1

    betroffene Homepage: externer Link


    Zuletzt modifiziert von Christian am 24.06.2009 - 02:59:19
    Ich weiss, dass ich nichts weiss...
    externer Link
    0 Mitglieder finden den Beitrag gut.
  2. Mi. 24.06.2009 06:41 Uhr #2
    User Pic
    Tyrargo Mitglied
    Registriert seit
    30.01.2006
    Beiträge
    5.541
    Beitragswertungen
    7 Beitragspunkte
    1. liegt euer webspace auf einem root von euch, oder habt ihr ganz normalen webspace?

    2. fehlt was auf der seite?

    bis jetzt ist ja nur ne news eingetragen.

    vermute einfach mal, daß das passwort von piranha zu unsicher war und man es schnell rausbekommen hat.

    und je nach rechten, welche er hat, kann man halt paar dinge anstellen oder verändern.

    aber wenn ihr die aktuelle version von ilch habt, da sind eigentlich keine sicherheitslücken bekannt. außer eben unsichere passwörter.
    Clanseite | Beste Seite wo gibt ^^
    Mairus Ilch-Mods
    0 Mitglieder finden den Beitrag gut.
  3. Mi. 24.06.2009 08:19 Uhr #3
    User Pic
    annemarie gelöschter User
    offensichtlich wurden psw's wie

    abc123 / abc / 123 / sex

    usw ausprobiert, resette erstmal piranha sein psw und weise alle an sich ein neues min 8 zeichen starkes psw zu generieren.

    die faulheit solch einfache kurzpasswörter zu verwenden ist unglaublich.

    er scheint, so wie ich das sehe, nur den einen account geknackt zu haben.

    keine sorge, er sollte die psw's aus der datenbank nicht knacken können da sie md5 gehashed sind.

    hrm, die letzte zeile macht mir sorgen

    "P.S.: I used one of your members pc for this infection. So don´t try to resolve my ip adress, u just hurt yourself ;-) ";

    der soll dich mal die hände & den rechner waschen und nicht mehr mit IE rumsurfen, dem offenen sicherheitsleck zwinker

    MfG annemarie


    Zuletzt modifiziert von annemarie am 24.06.2009 - 08:23:40
    0 Mitglieder finden den Beitrag gut.
  4. Mi. 24.06.2009 09:23 Uhr #4
    User Pic
    DjGeCk0 Hall Of Fame
    Registriert seit
    01.05.2009
    Beiträge
    2.989
    Beitragswertungen
    96 Beitragspunkte
    er schrieb
    "your root got hacked"

    kann gut sein das es nicht mit ilch-script zu tun hat

    schau dir die logfiles vom rootserver / vpsadmin ect an wer eingeloggt war

    ändere sofort die passwörter der user

    ebenso ändere das Passwort der mySQL DB

    md5 passwörter sind zu knacken
    md5 ist zwar "one way-verschlüsselung"

    jedoch gibt es diverse Datenbanken in der solche MD5 vordefiniert sind und somit auch rückwärtz entschlüsselt werden können
    Alle Module von mir sind nun unter php-gecko.de erreichbar
    0 Mitglieder finden den Beitrag gut.
  5. Mi. 24.06.2009 09:40 Uhr #5
    User Pic
    annemarie gelöschter User
    ja, rainbowtables mit passworthashes gibt es überall, allerdings bräuchte er dazu MySQL zugang um die hashes zu sehen, außerdem gab er den tip das er über den rechner des members gekommen sei.

    was ablenkung was wahrheit ist kann ich so jetzt nicht sagen trotzdem ist ein ändern der passwörter sinnvoll!
    0 Mitglieder finden den Beitrag gut.
  6. Mi. 24.06.2009 10:06 Uhr #6
    User Pic
    Devil Mitglied
    Registriert seit
    02.02.2006
    Beiträge
    2.094
    Beitragswertungen
    21 Beitragspunkte
    Wenns nen Keylogger gibt kann es dem Typ egal sein wie die Passwörter geschützt sind lachen

    Aber sowas ist sowieso dumm...aber am Ilchscript kann man eigentlich nicht großartiges verlieren.

    1 Klick = Backup und fertig.
    Wenn nun die Seite weg ist, Ilch drauf - Backup drauf fertig.
    Allerdings würde ich alle Pws vom Server evtl. auch auf einem anderen PC ändern.


    Zuletzt modifiziert von Devil am 24.06.2009 - 10:07:10
    Wer zuletzt lacht, hat den schlechtesten Ping.
    0 Mitglieder finden den Beitrag gut.
  7. Mi. 24.06.2009 11:16 Uhr #7
    User Pic
    aLcaTr4z Mitglied
    Registriert seit
    16.12.2008
    Beiträge
    13
    Beitragswertungen
    0 Beitragspunkte
    Morsche. Es hat DEFINITV etwas mit Ilch zu tuhen. Da wir:

    SSH RSA keys nutzen, Phpmyadmin wie alle anderen sicherheitsrelevanten dinge via SSH getunnelt sind. Dazu verweise ich nochmal auf diese News Was zu 99% der ursprung sein wird, da sonst keinerlei dinge geändert wurden. Ausser ein Paar News gelöscht, die Gallery geleert.
    0 Mitglieder finden den Beitrag gut.
  8. Mi. 24.06.2009 11:25 Uhr #8
    User Pic
    Tyrargo Mitglied
    Registriert seit
    30.01.2006
    Beiträge
    5.541
    Beitragswertungen
    7 Beitragspunkte
    wenn nur das gemacht wurde würd ich echt sagen, daß jemand nur sein passwort rausbekommen hat!

    und wenn ihr nicht das update m drauf habt: macht es!
    und dann alle kenwörter ändern!
    Clanseite | Beste Seite wo gibt ^^
    Mairus Ilch-Mods
    0 Mitglieder finden den Beitrag gut.
  9. Mi. 24.06.2009 11:47 Uhr #9
    User Pic
    aLcaTr4z Mitglied
    Registriert seit
    16.12.2008
    Beiträge
    13
    Beitragswertungen
    0 Beitragspunkte
    Habs direkt installiert, und ein teil hat die Pws schon geändert.
    0 Mitglieder finden den Beitrag gut.
  10. Mi. 24.06.2009 13:00 Uhr #10
    User Pic
    Devil Mitglied
    Registriert seit
    02.02.2006
    Beiträge
    2.094
    Beitragswertungen
    21 Beitragspunkte
    Also...
    wenn ihr das installierte Script nicht aktuell hält seit ihr selber schuld frech

    Einfaches Passwort...einer hats vergeben.
    Wirst du nie rausfinden xD
    Wer zuletzt lacht, hat den schlechtesten Ping.
    0 Mitglieder finden den Beitrag gut.
  11. Mi. 24.06.2009 14:11 Uhr #11
    User Pic
    aLcaTr4z Mitglied
    Registriert seit
    16.12.2008
    Beiträge
    13
    Beitragswertungen
    0 Beitragspunkte
    Klar wurde der Grund schon entdeckt. Die Pw larifari geschichte ist nur dazu da, ums zu vertuschen. Sonst hätte er schlecht die News mit MEINEM Account schreiben können, wenn er nicht an die Passwörter gelangt wär.
    0 Mitglieder finden den Beitrag gut.
  12. Mi. 24.06.2009 14:14 Uhr #12
    User Pic
    annemarie gelöschter User
    ZitatZitat
    wenn er nicht an die Passwörter gelangt wär.


    Passworthashes zwinker

    und das heißt das dein passwort "common" also geläufig war.

    kannst ja mal dein aktuelles psw hash hier reinwerfen und schauen obs gefunden wird zwinker

    milw0rm.com/cracker/list.php


    Zuletzt modifiziert von annemarie am 24.06.2009 - 14:17:57
    0 Mitglieder finden den Beitrag gut.
  13. Mi. 24.06.2009 14:43 Uhr #13
    User Pic
    Flomavali gelöschter User
    Ich habe eine größere datenbank gefunden, als annemarie. Weiß aber nicht mehr, wie die Seite hieß.
    0 Mitglieder finden den Beitrag gut.
  14. Do. 25.06.2009 13:26 Uhr #14
    User Pic
    Mordred Mitglied
    Registriert seit
    30.06.2007
    Beiträge
    18
    Beitragswertungen
    0 Beitragspunkte
    Hm, ich habe gerade nach nach ner Möglichkeit gesucht, Eure News zu abonnieren. Gibbet da ne Möglichkeit? RSS, Email, whatever?
    Habe bis jetzt nix gefunden :'(
    www.die-philosoffen.com
    0 Mitglieder finden den Beitrag gut.
  15. Do. 25.06.2009 14:18 Uhr #15
    User Pic
    dastiii Mitglied
    Registriert seit
    27.12.2005
    Beiträge
    2.354
    Beitragswertungen
    84 Beitragspunkte
    externer Link
    externer Link
    0 Mitglieder finden den Beitrag gut.
  16. Di. 30.06.2009 11:12 Uhr #16
    User Pic
    Mordred Mitglied
    Registriert seit
    30.06.2007
    Beiträge
    18
    Beitragswertungen
    0 Beitragspunkte
    ZitatZitat geschrieben von DaStIaC

    externer Link

    ah, thx lächeln
    www.die-philosoffen.com
    0 Mitglieder finden den Beitrag gut.
Geschlossen

Zurück zu Fehlersuche und Probleme

Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten