ilch Forum » Allgemein » Plauder Ecke » Nach dem Angriff

Geschlossen
  1. #1
    User Pic
    ---Doc--- Mitglied
    Registriert seit
    05.08.2011
    Beiträge
    218
    Beitragswertungen
    4 Beitragspunkte
    Hallo ilch-Team!

    Schön erst einmal, daß ihr recht schnell alles wiederherstellen konntet.
    In der News sagt ihr ja, daß keine Sicherheitslücke ausfindig gemacht werden konnte. Habt ihr denn schon eine Idee wie der Einbruch geschah? z.B. BruteForce Attacke auf ein Admin Paßwort etc?
    0 Mitglieder finden den Beitrag gut.
  2. #2
    User Pic
    Lord|Schirmer Administrator
    Registriert seit
    21.03.2007
    Beiträge
    7.675
    Beitragswertungen
    1212 Beitragspunkte
    Die ersten Änderungen fanden durch meinen Account statt. Da ich eigentlich ein sicheres Passwort verwendet hatte (9stelligen Buchstaben-/Zahlenmix) ist eher ungewöhnlich diesen Pass zu erraten.

    Die Vermutung liegt nahe, dass ich wohl ausversehen bei einer anderen Ilch-User-Seite mein Ilch.de-Pass angegeben habe und somit dieser MD5-Hash verwendet wurde. Da ich schon auf sovielen Seiten der Ilchuser geholfen habe, ist für mich aktuell ein Nachvollzug nicht mehr möglich.

    Vielleicht gab es auch eine andere Möglichkeit des Zugriffes aber die Indizien und der Verlauf der Aktion spricht leider dafür!

    Sofern noch jemand auf seiner Seite einen Account von mir hat,
    bitte ich diesen "vorsichtshalber" zu entfernen!


    Man weiss ja nie!


    Zuletzt modifiziert von Lord|Schirmer am 17.12.2011 - 11:34:54
    rules :: doku :: faq :: linkus
    0 Mitglieder finden den Beitrag gut.
  3. #3
    User Pic
    ---Doc--- Mitglied
    Registriert seit
    05.08.2011
    Beiträge
    218
    Beitragswertungen
    4 Beitragspunkte
    Danke für die Aufklärung.
    Da bin ich ja schon mal beruhigt. Bis Montag soll nämlich unsere ilch basierte Seite online gehen, was jetzt erst einmal pausiert war.
    0 Mitglieder finden den Beitrag gut.
  4. #4
    User Pic
    Revolution Hall Of Fame
    Registriert seit
    14.08.2006
    Beiträge
    1.688
    Beitragswertungen
    109 Beitragspunkte
    Entweder eine neue unbekannte Lücke im System :-)
    oder so wie von LoadSchirmer beschrieben.

    Wobei grade die letzte methode recht problematisch ist!

    Ich weiß nicht wie der Ilch Backend aktuell aussieht aber vor einiger Zeit war es kinderleicht eine Liste aller Passwörter zubekommen.
    Mit dem Hash Werten der Passwörter anderer User kann man schon eine menge anfangen, besonders bei denen die ihr Passwort überall verwenden.

    2010 hab ich mich oft mit XSS und SQLInjection beschäftigt und mich auch bei ilch umgesehen. Ilch.de selbst weißte keine krassen lücken auf aber einige Seiten der Moderatoren und dank der Tatsache das viele immernoch die selben Passwörter benutzen ist es keine Kunst mehr schlimmeres damit anzufangen.

    Mein Ergebnis aus dieser Zeit User DB ilch - auszug - (ca. 1 Jahr alt)

    Zur Sicherheit wurden alle Daten unkenntlich gemacht, der Fehler wurde auch gemeldet und sollte behoben worden sein!


    Wenn tatsächlich eine kopie der Userdaten hier von ilch.de kopiert wurde, dann solltet ihr nun folgendes machen:
    - Eigenes Passwort ändern, auch auf seiner privaten, Clan Seite
    - Seine Mods und CoAdmins auch dazu Auffordern dies zutun, falls diese beil Ilch angemeldet sind.


    Zuletzt modifiziert von Revolution am 17.12.2011 - 20:44:33
    Kreativ, modern, Conversion und Usability optimiert
    individuelles Webdesign für ein optimales Erscheinungsbild
    404studios
    0 Mitglieder finden den Beitrag gut.
  5. #5
    User Pic
    holz Hall Of Fame
    Registriert seit
    17.11.2005
    Beiträge
    4.606
    Beitragswertungen
    117 Beitragspunkte
    gesperrtes Bild
    Erst der ANFANG!
    Just the BEGINNING!

    ilch.de/
    lost-squad.de/
    andrewm.an.funpic.de/
    lanverein-agonie.at/
    0 Mitglieder finden den Beitrag gut.
  6. #6
    User Pic
    Lord|Schirmer Administrator
    Registriert seit
    21.03.2007
    Beiträge
    7.675
    Beitragswertungen
    1212 Beitragspunkte
    Da scheinbar der Account von holz noch in Benutzung ist, habe ich ihm ein neues Passwort generiert und per Email zugesendet und die ganzen neuen Nachrichten des "Cyber_TR"? außer diese entfernt!
    rules :: doku :: faq :: linkus
    0 Mitglieder finden den Beitrag gut.
  7. #7
    User Pic
    Speedzero Mitglied
    Registriert seit
    16.01.2011
    Beiträge
    12
    Beitragswertungen
    0 Beitragspunkte
    unsere Seite wurde vor einen Monat auch "gehackt"...
    Genauso über das selbe verfahren wie bei euch! Ich denke mal das es eine Lücke geben muss. :/
    Da meine PWs überall anders sind!


    lg speed
    0 Mitglieder finden den Beitrag gut.
  8. #8
    User Pic
    MaddinXx Mitglied
    Registriert seit
    15.02.2007
    Beiträge
    787
    Beitragswertungen
    40 Beitragspunkte
    AND NEXT : dragondesigns.de/
    0 Mitglieder finden den Beitrag gut.
  9. #9
    User Pic
    Revolution Hall Of Fame
    Registriert seit
    14.08.2006
    Beiträge
    1.688
    Beitragswertungen
    109 Beitragspunkte
    ZitatZitat geschrieben von Speedzero

    unsere Seite wurde vor einen Monat auch "gehackt"...
    Genauso über das selbe verfahren wie bei euch! Ich denke mal das es eine Lücke geben muss. :/
    Da meine PWs überall anders sind!
    lg speed


    Wenn es eine Lücke gibt und es tatsächlich klappt die DB auszulesen, sei es mit sqlinjection oder sonst wie,
    muss der md5 hash entschlüsselt bzw. mit einer Liste verglichen werden und wenn das gelingt (es geht) ist dein Passwort einfach zu simple.
    Worte wie "Feuerwehr" sind einfach zu easy.

    Grade ein Admin einer Seite sollte ein sicheres PW benutzen!
    "4oRÜäa(?Os"

    Es mögen sich doch mal die melden die hier und für ihre eigene Webseite das selbe Passwort benutzen. :-)


    Zuletzt modifiziert von Revolution am 17.12.2011 - 20:54:25
    Kreativ, modern, Conversion und Usability optimiert
    individuelles Webdesign für ein optimales Erscheinungsbild
    404studios
    0 Mitglieder finden den Beitrag gut.
  10. #10
    User Pic
    MaddinXx Mitglied
    Registriert seit
    15.02.2007
    Beiträge
    787
    Beitragswertungen
    40 Beitragspunkte
    ... UPDATE xic_user WHERE id=... SET pass=...

    verrückt
    0 Mitglieder finden den Beitrag gut.
  11. #11
    User Pic
    Speedzero Mitglied
    Registriert seit
    16.01.2011
    Beiträge
    12
    Beitragswertungen
    0 Beitragspunkte
    mein pw ist 12 Buchstaben und zahlen lang... Naja lachen die Fälle häufen sich ja anscheind^^
    0 Mitglieder finden den Beitrag gut.
  12. #12
    User Pic
    Lord|Schirmer Administrator
    Registriert seit
    21.03.2007
    Beiträge
    7.675
    Beitragswertungen
    1212 Beitragspunkte
    Grundsätzlich ist eine Lücke im Standard-Script 1.1O nicht bekannt, was aber nicht heißen muss, so wie es Mairu schon erwähnt hat, dass es keine gibt.

    Gefahren stellen sich in Form von unsicheren Passwörtern, häufige Verwendung der gleichen Passwörter, unsichere und ungeprüfte Module und Bereitstellung von Zugangsdaten FTP & SQL usw...

    Empfehlenswert ist auf jedemfall, in angemessenen Zeiträumen, die Datenbank & die FTP-Daten zu sichern!

    @MaddinXx
    Die Passwörter wurden nicht in der Datenbank verändert! Ein Zugriff auf FTP + SQL erfolgte nicht! Alle Veränderungen fanden nur mit den Rechten des betroffenen Accounts auf der WebSite statt!


    Zuletzt modifiziert von Lord|Schirmer am 17.12.2011 - 21:01:14
    rules :: doku :: faq :: linkus
    1 Mitglieder finden den Beitrag gut.
  13. #13
    User Pic
    Boy83Ol Mitglied
    Registriert seit
    23.01.2008
    Beiträge
    395
    Beitragswertungen
    12 Beitragspunkte
    Ich Frage mich nur warum ihr nicht ein Paar Tools benutzt um zu sehen von wem es kommt so wie es aussieht scheint hier eine Strafttat nach §202c StGB vor und das ist schon lang kein kavaliersdelikt mehr evtl jemand eine ip ?
    Gestern noch zu blöd, den Computer einzuschalten,
    heute schon die eigene Homepage
    0 Mitglieder finden den Beitrag gut.
  14. #14
    User Pic
    MaddinXx Mitglied
    Registriert seit
    15.02.2007
    Beiträge
    787
    Beitragswertungen
    40 Beitragspunkte
    Also ich finde das
    andrewm.an.funpic.de/
    lanverein-agonie.at/
    aber schon nach FTP Zugriff aussehen. zwinker
    0 Mitglieder finden den Beitrag gut.
  15. #15
    User Pic
    Revolution Hall Of Fame
    Registriert seit
    14.08.2006
    Beiträge
    1.688
    Beitragswertungen
    109 Beitragspunkte
    ZitatZitat geschrieben von Boy83Ol

    Ich Frage mich nur warum ihr nicht ein Paar Tools benutzt um zu sehen von wem es kommt so wie es aussieht scheint hier eine Strafttat nach §202c StGB vor und das ist schon lang kein kavaliersdelikt mehr evtl jemand eine ip ?


    Viel mehr als die IP wirst du womöglich nicht bekommen, falls diese hier gespeichert wird und mit der bekommt der normale Mensch nicht mehr als die Herkunft heraus.

    Und bei einer Anzeige bzgl Straftat wirst du bei einem guten Angriff nicht weitkommen, ein oder zwei Proxys dazwischen und aus die maus!


    Zuletzt modifiziert von Revolution am 17.12.2011 - 21:13:24
    Kreativ, modern, Conversion und Usability optimiert
    individuelles Webdesign für ein optimales Erscheinungsbild
    404studios
    0 Mitglieder finden den Beitrag gut.
  16. #16
    User Pic
    Boy83Ol Mitglied
    Registriert seit
    23.01.2008
    Beiträge
    395
    Beitragswertungen
    12 Beitragspunkte
    evtl mal bei imageshack.us die ip des pics anfordern ;-)
    Gestern noch zu blöd, den Computer einzuschalten,
    heute schon die eigene Homepage
    0 Mitglieder finden den Beitrag gut.
  17. #17
    User Pic
    Lord|Schirmer Administrator
    Registriert seit
    21.03.2007
    Beiträge
    7.675
    Beitragswertungen
    1212 Beitragspunkte
    @MaddinXx
    Das ist richtig! Ich sprach jetzt nur vom Fall Ilch.de.

    @Boy83Ol
    Wir analysieren! Ich bin mir auch nicht zu Schade sofern wir eine eindeutige IP den Vorgängen zuweisen können rechtliche Maßnahmen einzuleiten.
    rules :: doku :: faq :: linkus
    0 Mitglieder finden den Beitrag gut.
  18. #18
    User Pic
    Boy83Ol Mitglied
    Registriert seit
    23.01.2008
    Beiträge
    395
    Beitragswertungen
    12 Beitragspunkte
    Richtig der Normale Mensch aber bei Straftatsbestand sind die Internetnabieter sehr Hilfsbereit ;-) zurückverfolgung auch wenn VPN benutzt wurde ist kein Ding habe das Thema schon einmal durch^^
    Gestern noch zu blöd, den Computer einzuschalten,
    heute schon die eigene Homepage
    0 Mitglieder finden den Beitrag gut.
  19. #19
    User Pic
    Revolution Hall Of Fame
    Registriert seit
    14.08.2006
    Beiträge
    1.688
    Beitragswertungen
    109 Beitragspunkte
    evt. ist es echt eine lücke an die alte getIP() lücke hat schließlich auch keiner gedacht und sonderlich schwer anzuwenden war diese nicht! wenn man daruf gekommen ist und wusste wie!

    Aber so ist es halt, der eine finder ist nett und meldet sie und er andere nutzt sie aus um sich in irgendeiner weise zu profilieren.


    Zuletzt modifiziert von Revolution am 17.12.2011 - 21:18:40
    Kreativ, modern, Conversion und Usability optimiert
    individuelles Webdesign für ein optimales Erscheinungsbild
    404studios
    0 Mitglieder finden den Beitrag gut.
  20. #20
    User Pic
    Boy83Ol Mitglied
    Registriert seit
    23.01.2008
    Beiträge
    395
    Beitragswertungen
    12 Beitragspunkte
    Denoch hat der jenige nicht das recht dieses auszunutzen eher den Betreiber in kentnisssetzen somit ist es eine Straftat.
    Gestern noch zu blöd, den Computer einzuschalten,
    heute schon die eigene Homepage
    0 Mitglieder finden den Beitrag gut.
  21. #21
    User Pic
    Mairu Coder
    Registriert seit
    16.06.2006
    Beiträge
    15.334
    Beitragswertungen
    386 Beitragspunkte
    Bei den Seiten, wo auch FTP Zugriffe etc. statt fanden, war vielleicht das Adminpasswort gleich dem FTP Passwort oder so, liegt zumindest nahe, zumindest im Falle von ilch.de sind das aber alles einzelne generierte Passwörter, die somit recht sicher sein sollten, das kann ich natürlich auch nur jedem empfehlen.
    Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite
    0 Mitglieder finden den Beitrag gut.
  22. #22
    User Pic
    dastiii Mitglied
    Registriert seit
    27.12.2005
    Beiträge
    2.354
    Beitragswertungen
    84 Beitragspunkte
    externer Link

    Das wird der wohl sein, denn das Thema der Seite stimmt überein. Leider ist das Forum komplett geschützt, da muss man sich erst Bewerben und alles. :<


    Zuletzt modifiziert von DaStIaC am 18.12.2011 - 04:41:18
    0 Mitglieder finden den Beitrag gut.
  23. #23
    User Pic
    Chapter Hall Of Fame
    Registriert seit
    21.10.2007
    Beiträge
    5.951
    Beitragswertungen
    229 Beitragspunkte
    Kann es sein, das vermehrt türkische Hacker am Werk sind ?

    Eine meiner kundenseiten wurde auch von türkischen Hackern zerstört. Diese basierte allerdings auf wordpress
    Spamming, sinnlose Beiträge, Pushing, Doppelposting und Werbung sind verboten
    externer Link
    0 Mitglieder finden den Beitrag gut.
  24. #24
    User Pic
    Ahrtas Moderator
    Registriert seit
    17.12.2007
    Beiträge
    2.368
    Beitragswertungen
    210 Beitragspunkte
    ZitatZitat geschrieben von Chapter

    Kann es sein, das vermehrt türkische Hacker am Werk sind ?

    Eine meiner kundenseiten wurde auch von türkischen Hackern zerstört. Diese basierte allerdings auf wordpress
    Hast du was gegen Türken?
    Können genauso gut Deutsche sein die eine türkische Identität nutzen um die Türken in der Gesellschaft (wieder einmal) schlecht zu machen...
    0 Mitglieder finden den Beitrag gut.
  25. #25
    User Pic
    Chapter Hall Of Fame
    Registriert seit
    21.10.2007
    Beiträge
    5.951
    Beitragswertungen
    229 Beitragspunkte
    ZitatZitat geschrieben von Ahrtas

    Hast du was gegen Türken?


    Wie kommst du darauf?
    Mir ist lediglich aufgefallen das vermehrt türkische Hacker am Werk sind und mehr nicht!
    Zieh mal keine voreiligen Schlüsse !
    Spamming, sinnlose Beiträge, Pushing, Doppelposting und Werbung sind verboten
    externer Link
    0 Mitglieder finden den Beitrag gut.
  26. #26
    User Pic
    kdl Mitglied
    Registriert seit
    21.08.2010
    Beiträge
    333
    Beitragswertungen
    62 Beitragspunkte
    Sowas ist mir auch schon aufgefallen. Bei Leuten mit tr oder turk im Namen muss man immer aufpassen, egal ob das jetzt Türken sind oder nicht.

    Ich hoffe doch, dass die Passwörter hier auf ilch anständig gehasht sind. Ansonsten wird das sicher noch Auswirkung auf viele andere Seiten haben, da die wenigsten ein sicheres Passwort haben und sowieso überall das gleiche nutzen.
    .
    0 Mitglieder finden den Beitrag gut.
  27. #27
    User Pic
    Swamp Mitglied
    Registriert seit
    02.02.2006
    Beiträge
    2.094
    Beitragswertungen
    21 Beitragspunkte
    ZitatZitat

    Virus: Trojan.IFrame.YX (Engine A)

    Virus beim Laden von Web-Inhalten gefunden.

    Adresse: andrewm.an.funpic.de
    Status: Der Zugriff wurde verweigert.

    Hm... ^^ und ihr klickt alle drauf :o
    Wer zuletzt lacht, hat den schlechtesten Ping.
    0 Mitglieder finden den Beitrag gut.
  28. #28
    User Pic
    Chapter Hall Of Fame
    Registriert seit
    21.10.2007
    Beiträge
    5.951
    Beitragswertungen
    229 Beitragspunkte
    ZitatZitat geschrieben von Swamp

    ZitatZitat

    Virus: Trojan.IFrame.YX (Engine A)

    Virus beim Laden von Web-Inhalten gefunden.

    Adresse: andrewm.an.funpic.de
    Status: Der Zugriff wurde verweigert.

    Hm... ^^ und ihr klickt alle drauf :o


    Jo warum nicht? Den Mac und das iPad stört das nicht :-)
    Spamming, sinnlose Beiträge, Pushing, Doppelposting und Werbung sind verboten
    externer Link
    0 Mitglieder finden den Beitrag gut.
  29. #29
    User Pic
    Sunshine Live Mitglied
    Registriert seit
    03.06.2009
    Beiträge
    1.029
    Beitragswertungen
    109 Beitragspunkte
    Hab ma ne frage an euch habt ihr den fehler auch wenn ihr nen post absenden wollt das die meldung kommt das ihr angeblich die Seite verlassen wollt??
    hier zusehn
    gesperrtes Bild
    Und wenn ich auf "Auf Seite bleiben" klicke passiert nix.
    UNd wenn ich dann auf "Verlassen" klicke sendet er den post ab..
    Das is aber erst seid den angriff so ...
    1 Mitglieder finden den Beitrag gut.
  30. #30
    User Pic
    Angelina Mitglied
    Registriert seit
    06.11.2011
    Beiträge
    127
    Beitragswertungen
    20 Beitragspunkte
    Ja habe ich auch..
    www,angelina.de
    Ein Kavalier ist ein Mann, der sich den Geburtstag einer Frau merkt und ihr alter vergisst.
    0 Mitglieder finden den Beitrag gut.
Geschlossen

Zurück zu Plauder Ecke

Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten