Hallo ilch-Team!
Schön erst einmal, daß ihr recht schnell alles wiederherstellen konntet.
In der News sagt ihr ja, daß keine Sicherheitslücke ausfindig gemacht werden konnte. Habt ihr denn schon eine Idee wie der Einbruch geschah? z.B. BruteForce Attacke auf ein Admin Paßwort etc?
Beitrag zur Merkliste hinzufügen
Hier kann eine Notiz zum Merk-Eintrag hinzugefügt werden (optional)
ilch Forum » Allgemein » Plauder Ecke » Nach dem Angriff
| Geschlossen | ||
-
Sa. 17.12.2011
11:15 Uhr
#1
- Registriert seit
- 05.08.2011
- Beiträge
- 218
- Beitragswertungen
-
Sa. 17.12.2011
11:30 Uhr
#2
- Registriert seit
- 21.03.2007
- Beiträge
- 7.675
- Beitragswertungen
Die ersten Änderungen fanden durch meinen Account statt. Da ich eigentlich ein sicheres Passwort verwendet hatte (9stelligen Buchstaben-/Zahlenmix) ist eher ungewöhnlich diesen Pass zu erraten.
Die Vermutung liegt nahe, dass ich wohl ausversehen bei einer anderen Ilch-User-Seite mein Ilch.de-Pass angegeben habe und somit dieser MD5-Hash verwendet wurde. Da ich schon auf sovielen Seiten der Ilchuser geholfen habe, ist für mich aktuell ein Nachvollzug nicht mehr möglich.
Vielleicht gab es auch eine andere Möglichkeit des Zugriffes aber die Indizien und der Verlauf der Aktion spricht leider dafür!
Sofern noch jemand auf seiner Seite einen Account von mir hat,
bitte ich diesen "vorsichtshalber" zu entfernen!
Man weiss ja nie!
Zuletzt modifiziert von Lord|Schirmer am 17.12.2011 - 11:34:54 -
Sa. 17.12.2011
12:49 Uhr
#3
- Registriert seit
- 05.08.2011
- Beiträge
- 218
- Beitragswertungen
Danke für die Aufklärung.
Da bin ich ja schon mal beruhigt. Bis Montag soll nämlich unsere ilch basierte Seite online gehen, was jetzt erst einmal pausiert war. -
Sa. 17.12.2011
20:23 Uhr
#4
- Registriert seit
- 14.08.2006
- Beiträge
- 1.688
- Beitragswertungen
Entweder eine neue unbekannte Lücke im System :-)
oder so wie von LoadSchirmer beschrieben.
Wobei grade die letzte methode recht problematisch ist!
Ich weiß nicht wie der Ilch Backend aktuell aussieht aber vor einiger Zeit war es kinderleicht eine Liste aller Passwörter zubekommen.
Mit dem Hash Werten der Passwörter anderer User kann man schon eine menge anfangen, besonders bei denen die ihr Passwort überall verwenden.
2010 hab ich mich oft mit XSS und SQLInjection beschäftigt und mich auch bei ilch umgesehen. Ilch.de selbst weißte keine krassen lücken auf aber einige Seiten der Moderatoren und dank der Tatsache das viele immernoch die selben Passwörter benutzen ist es keine Kunst mehr schlimmeres damit anzufangen.
Mein Ergebnis aus dieser Zeit User DB ilch - auszug - (ca. 1 Jahr alt)
Zur Sicherheit wurden alle Daten unkenntlich gemacht, der Fehler wurde auch gemeldet und sollte behoben worden sein!
Wenn tatsächlich eine kopie der Userdaten hier von ilch.de kopiert wurde, dann solltet ihr nun folgendes machen:
- Eigenes Passwort ändern, auch auf seiner privaten, Clan Seite
- Seine Mods und CoAdmins auch dazu Auffordern dies zutun, falls diese beil Ilch angemeldet sind.
Zuletzt modifiziert von Revolution am 17.12.2011 - 20:44:33Kreativ, modern, Conversion und Usability optimiert
individuelles Webdesign für ein optimales Erscheinungsbild
404studios
-
Sa. 17.12.2011
20:23 Uhr
#5
- Registriert seit
- 17.11.2005
- Beiträge
- 4.606
- Beitragswertungen
Erst der ANFANG!
Just the BEGINNING!
ilch.de/
lost-squad.de/
andrewm.an.funpic.de/
lanverein-agonie.at/ -
Sa. 17.12.2011
20:45 Uhr
#6
- Registriert seit
- 21.03.2007
- Beiträge
- 7.675
- Beitragswertungen
-
Sa. 17.12.2011
20:46 Uhr
#7
- Registriert seit
- 16.01.2011
- Beiträge
- 12
- Beitragswertungen
unsere Seite wurde vor einen Monat auch "gehackt"...
Genauso über das selbe verfahren wie bei euch! Ich denke mal das es eine Lücke geben muss. :/
Da meine PWs überall anders sind!
lg speed -
Sa. 17.12.2011
20:51 Uhr
#8
- Registriert seit
- 15.02.2007
- Beiträge
- 787
- Beitragswertungen
AND NEXT : dragondesigns.de/ -
Sa. 17.12.2011
20:53 Uhr
#9
- Registriert seit
- 14.08.2006
- Beiträge
- 1.688
- Beitragswertungen
Zitat geschrieben von Speedzero
Wenn es eine Lücke gibt und es tatsächlich klappt die DB auszulesen, sei es mit sqlinjection oder sonst wie,
muss der md5 hash entschlüsselt bzw. mit einer Liste verglichen werden und wenn das gelingt (es geht) ist dein Passwort einfach zu simple.
Worte wie "Feuerwehr" sind einfach zu easy.
Grade ein Admin einer Seite sollte ein sicheres PW benutzen!
"4oRÜäa(?Os"
Es mögen sich doch mal die melden die hier und für ihre eigene Webseite das selbe Passwort benutzen. :-)
Zuletzt modifiziert von Revolution am 17.12.2011 - 20:54:25Kreativ, modern, Conversion und Usability optimiert
individuelles Webdesign für ein optimales Erscheinungsbild
404studios
-
Sa. 17.12.2011
20:55 Uhr
#10
- Registriert seit
- 15.02.2007
- Beiträge
- 787
- Beitragswertungen
... UPDATE xic_user WHERE id=... SET pass=...
-
Sa. 17.12.2011
20:55 Uhr
#11
- Registriert seit
- 16.01.2011
- Beiträge
- 12
- Beitragswertungen
mein pw ist 12 Buchstaben und zahlen lang... Naja
die Fälle häufen sich ja anscheind^^
-
Sa. 17.12.2011
20:58 Uhr
#12
- Registriert seit
- 21.03.2007
- Beiträge
- 7.675
- Beitragswertungen
Grundsätzlich ist eine Lücke im Standard-Script 1.1O nicht bekannt, was aber nicht heißen muss, so wie es Mairu schon erwähnt hat, dass es keine gibt.
Gefahren stellen sich in Form von unsicheren Passwörtern, häufige Verwendung der gleichen Passwörter, unsichere und ungeprüfte Module und Bereitstellung von Zugangsdaten FTP & SQL usw...
Empfehlenswert ist auf jedemfall, in angemessenen Zeiträumen, die Datenbank & die FTP-Daten zu sichern!
@MaddinXx
Die Passwörter wurden nicht in der Datenbank verändert! Ein Zugriff auf FTP + SQL erfolgte nicht! Alle Veränderungen fanden nur mit den Rechten des betroffenen Accounts auf der WebSite statt!
Zuletzt modifiziert von Lord|Schirmer am 17.12.2011 - 21:01:14 -
Sa. 17.12.2011
21:05 Uhr
#13
- Registriert seit
- 23.01.2008
- Beiträge
- 395
- Beitragswertungen
Ich Frage mich nur warum ihr nicht ein Paar Tools benutzt um zu sehen von wem es kommt so wie es aussieht scheint hier eine Strafttat nach §202c StGB vor und das ist schon lang kein kavaliersdelikt mehr evtl jemand eine ip ?Gestern noch zu blöd, den Computer einzuschalten,
heute schon die eigene Homepage -
Sa. 17.12.2011
21:06 Uhr
#14
- Registriert seit
- 15.02.2007
- Beiträge
- 787
- Beitragswertungen
Also ich finde das
andrewm.an.funpic.de/
lanverein-agonie.at/
aber schon nach FTP Zugriff aussehen.
-
Sa. 17.12.2011
21:10 Uhr
#15
- Registriert seit
- 14.08.2006
- Beiträge
- 1.688
- Beitragswertungen
Zitat geschrieben von Boy83Ol
Viel mehr als die IP wirst du womöglich nicht bekommen, falls diese hier gespeichert wird und mit der bekommt der normale Mensch nicht mehr als die Herkunft heraus.
Und bei einer Anzeige bzgl Straftat wirst du bei einem guten Angriff nicht weitkommen, ein oder zwei Proxys dazwischen und aus die maus!
Zuletzt modifiziert von Revolution am 17.12.2011 - 21:13:24Kreativ, modern, Conversion und Usability optimiert
individuelles Webdesign für ein optimales Erscheinungsbild
404studios
-
Sa. 17.12.2011
21:13 Uhr
#16
- Registriert seit
- 23.01.2008
- Beiträge
- 395
- Beitragswertungen
evtl mal bei imageshack.us die ip des pics anfordern ;-)Gestern noch zu blöd, den Computer einzuschalten,
heute schon die eigene Homepage -
Sa. 17.12.2011
21:13 Uhr
#17
- Registriert seit
- 21.03.2007
- Beiträge
- 7.675
- Beitragswertungen
@MaddinXx
Das ist richtig! Ich sprach jetzt nur vom Fall Ilch.de.
@Boy83Ol
Wir analysieren! Ich bin mir auch nicht zu Schade sofern wir eine eindeutige IP den Vorgängen zuweisen können rechtliche Maßnahmen einzuleiten. -
Sa. 17.12.2011
21:15 Uhr
#18
- Registriert seit
- 23.01.2008
- Beiträge
- 395
- Beitragswertungen
Richtig der Normale Mensch aber bei Straftatsbestand sind die Internetnabieter sehr Hilfsbereit ;-) zurückverfolgung auch wenn VPN benutzt wurde ist kein Ding habe das Thema schon einmal durch^^Gestern noch zu blöd, den Computer einzuschalten,
heute schon die eigene Homepage -
Sa. 17.12.2011
21:17 Uhr
#19
- Registriert seit
- 14.08.2006
- Beiträge
- 1.688
- Beitragswertungen
evt. ist es echt eine lücke an die alte getIP() lücke hat schließlich auch keiner gedacht und sonderlich schwer anzuwenden war diese nicht! wenn man daruf gekommen ist und wusste wie!
Aber so ist es halt, der eine finder ist nett und meldet sie und er andere nutzt sie aus um sich in irgendeiner weise zu profilieren.
Zuletzt modifiziert von Revolution am 17.12.2011 - 21:18:40Kreativ, modern, Conversion und Usability optimiert
individuelles Webdesign für ein optimales Erscheinungsbild
404studios
-
Sa. 17.12.2011
21:22 Uhr
#20
- Registriert seit
- 23.01.2008
- Beiträge
- 395
- Beitragswertungen
Denoch hat der jenige nicht das recht dieses auszunutzen eher den Betreiber in kentnisssetzen somit ist es eine Straftat.Gestern noch zu blöd, den Computer einzuschalten,
heute schon die eigene Homepage -
Sa. 17.12.2011
22:41 Uhr
#21
- Registriert seit
- 16.06.2006
- Beiträge
- 15.334
- Beitragswertungen
Bei den Seiten, wo auch FTP Zugriffe etc. statt fanden, war vielleicht das Adminpasswort gleich dem FTP Passwort oder so, liegt zumindest nahe, zumindest im Falle von ilch.de sind das aber alles einzelne generierte Passwörter, die somit recht sicher sein sollten, das kann ich natürlich auch nur jedem empfehlen.Und auch immer mal ein Blick auf die FAQ werfen. | Mairus Ilchseite -
So. 18.12.2011
04:37 Uhr
#22
- Registriert seit
- 27.12.2005
- Beiträge
- 2.354
- Beitragswertungen
externer Link
Das wird der wohl sein, denn das Thema der Seite stimmt überein. Leider ist das Forum komplett geschützt, da muss man sich erst Bewerben und alles. :<
Zuletzt modifiziert von DaStIaC am 18.12.2011 - 04:41:18 -
So. 18.12.2011
11:16 Uhr
#23
- Registriert seit
- 21.10.2007
- Beiträge
- 5.951
- Beitragswertungen
Kann es sein, das vermehrt türkische Hacker am Werk sind ?
Eine meiner kundenseiten wurde auch von türkischen Hackern zerstört. Diese basierte allerdings auf wordpressSpamming, sinnlose Beiträge, Pushing, Doppelposting und Werbung sind verboten
externer Link -
So. 18.12.2011
12:16 Uhr
#24
- Registriert seit
- 17.12.2007
- Beiträge
- 2.368
- Beitragswertungen
Hast du was gegen Türken?Zitat geschrieben von Chapter
Können genauso gut Deutsche sein die eine türkische Identität nutzen um die Türken in der Gesellschaft (wieder einmal) schlecht zu machen... -
So. 18.12.2011
12:29 Uhr
#25
- Registriert seit
- 21.10.2007
- Beiträge
- 5.951
- Beitragswertungen
Zitat geschrieben von Ahrtas
Wie kommst du darauf?
Mir ist lediglich aufgefallen das vermehrt türkische Hacker am Werk sind und mehr nicht!
Zieh mal keine voreiligen Schlüsse !Spamming, sinnlose Beiträge, Pushing, Doppelposting und Werbung sind verboten
externer Link -
Sowas ist mir auch schon aufgefallen. Bei Leuten mit tr oder turk im Namen muss man immer aufpassen, egal ob das jetzt Türken sind oder nicht.
Ich hoffe doch, dass die Passwörter hier auf ilch anständig gehasht sind. Ansonsten wird das sicher noch Auswirkung auf viele andere Seiten haben, da die wenigsten ein sicheres Passwort haben und sowieso überall das gleiche nutzen.. -
So. 18.12.2011
13:04 Uhr
#27
- Registriert seit
- 02.02.2006
- Beiträge
- 2.094
- Beitragswertungen
Zitat
Hm... ^^ und ihr klickt alle drauf :oWer zuletzt lacht, hat den schlechtesten Ping. -
So. 18.12.2011
13:12 Uhr
#28
- Registriert seit
- 21.10.2007
- Beiträge
- 5.951
- Beitragswertungen
Zitat geschrieben von SwampZitat
Hm... ^^ und ihr klickt alle drauf :o
Jo warum nicht? Den Mac und das iPad stört das nicht :-)Spamming, sinnlose Beiträge, Pushing, Doppelposting und Werbung sind verboten
externer Link -
So. 18.12.2011
14:07 Uhr
#29
- Registriert seit
- 03.06.2009
- Beiträge
- 1.029
- Beitragswertungen
Hab ma ne frage an euch habt ihr den fehler auch wenn ihr nen post absenden wollt das die meldung kommt das ihr angeblich die Seite verlassen wollt??
hier zusehn
Und wenn ich auf "Auf Seite bleiben" klicke passiert nix.
UNd wenn ich dann auf "Verlassen" klicke sendet er den post ab..
Das is aber erst seid den angriff so ... -
So. 18.12.2011
14:22 Uhr
#30
- Registriert seit
- 06.11.2011
- Beiträge
- 127
- Beitragswertungen
Ja habe ich auch..www,angelina.de
Ein Kavalier ist ein Mann, der sich den Geburtstag einer Frau merkt und ihr alter vergisst.
| Geschlossen | ||
 |
Zurück zu Plauder Ecke | |
Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten