Wasn mit FA los?

[kra]

Danke für die ausführlichen Infos.

[Daemon]

Yep. Danke.

Bin auch über Infos über den weiteren Fortgang dankbar.

Grüße

[mK]

Wieder einmal eine Bestätigung für mich warum ich überall ein anderes Passwort habe.

Walta

Dito. KeePass sei dank. Sonst hätte ich ein Problem mit dem merken.

[walta]

Merkhilfe brauche ich nicht. Das passwort besteht immer aus zwei Teilen, einem masterpasswort welches aus einem Kunstwort besteht und einem bestimmten teil aus dem Namen dessen was ich verschlüsseln will (homepage, kontonummer,...). Das ganze noch ineinandergeschoben ergibt ein weiteres Kunstwort.

Walta

[ullrson]

Ein Einbrecher, der in meine Wohnung einbricht und sich nur umschaut und dann wieder verschwindet ist kein Krimineller? Mmh, komische Ansicht. [/OT]

Grüße, Marc

Wenn die Tür unverschlossen war, ist er kein Krimineller,
war sie verschlossen, dann schon.

Wie bei Computersystemen: Manche sind offen wie ein Scheunentor! Auch ohne Absicht oder Kenntnis der Admins.

Hast Du noch nie versucht, wie weit Du gehen darfst, bis dir einer die gelbe Karte zeigt?

Grüße ullrson

[rspicken]

Natürlich ist es Hausfriedensbruch auch wenn die Tür offen ist. Und nein, manche Sachen sollte man nicht versuchen.

[Netzwanze]

Puh, wenn man glaubt, man hat alles, findet man doch noch was neues.

Fiese Programme und Hintertürchen habe ich wohl jetzt alle abgeschaltet. Einige liegen sicherlich noch schlummernd im Dateisystem. Solange sie aber niemand startet, passiert damit auch nichts. Im Moment komme auch nur ich an den Rechner dran.

Als nächstes werde ich alle kritischen Programme neu installieren (überbügeln), damit alle veränderten Programme verschwinden.
Das dauert seine Zeit, da der Rechner im Moment nur mit einem einzigen anderen Server sprechen darf. Ich muss da aktuell alles manuell durchreichen.
Nun weiß ich aber auch, dass wir eine externe Firewall haben. Die wird jetzt sehr restriktiv dicht gemacht, so dass ein potenzieller Nachahmer schlechte Karten hat (er kann zwar noch einbrechen, aber keine Werkzeuge nachladen).
(Tip an alle Serverbesitzer: Eine lokale Firewall bringt nichts, wenn ein Rootkit diese durchbohrt oder abschaltet)

Ich habe jetzt auch die Bestätigung, dass das Forum selber nicht angetastet wurde. Alle Programmcodes sind unverändert.
Es wurde nichts gelöscht. Trotzdem kann es sein, dass sich jemand die Passworteinträge (vom Forum) gesichert hat.
Ist zwar alles verschlüsselt - mit entsprechender Rechenleistung aber trotzdem leicht zu knacken.

Es sieht so aus, dass hier niemand manuell die Hand angelegt (toller Satz), sondern alles irgendwelchen Skripten überlassen hat. Skriptkiddy ist möglich, glaube ich aber trotzdem nicht (die machen meist Sachen kaputt und verstecken sich nicht).
Ich tippe eher auf eine ferngesteuerte Drohne.

Also:
Sobald das Forum wieder da ist, alle Passwörter ändern. Wir arbeiten an einer Änderungspflicht. Zur Sicherheit werdet ihr dann per Mail (falls die Adresse noch stimmt) auf eine Passwortänderung hingewiesen. Solltet ihr die Änderung nicht selber durchgeführt haben und trotzdem eine entsprechende Mail bekommen, benachrichtigt mich bitte. Entweder hier per IM oder per Mail an meinen Nichname, wohnhaft in web pünktchen de (ich hoffe, ihr könnt die email-adresse rauslesen).

Solltet ihr hier im FC dasselbe Passwort verwenden, bitte sofort ändern.

Sollte jemand hier einen Server haben dessen IP mit 213 beginnt und einen phpMyAdmin installiert hat, rate ich dringend zu einer Systemuntersuchung. Sollte die IP nicht passen, trotzdem prüfen. Bei uns lief ein Wurm, der sich mit ziemlicher Sicherheit auf einige andere Rechner verbreiten konnte (IP 213.... und von dort aus weiter).
Die 213 muss nicht der einzige Netzbereich gewesen sein. Ich habe den Wurm nur bei dieser Adresse erwischt.
In vielen phpMyAdmin-Codes steckt eine sogenannte Code-Injection-Lücke, die es erlaubt, fremden Code durch eine einfache Webseitenanfrage einzuschleusen und im Kontext des Webservers auszuführen. Wer mehr wissen will, sucht mal nach "ZmEu".

Ich kenne nun auch den genauen Einbruchshergang bei fA (habe ich nachstellen können - geht wirklich kinderleicht; ist auch ohne Linuxkenntnisse nach Rezept durchzuführen) - die Lücke ist jetzt jedenfalls zu, der Exploit funktioniert nicht mehr.

Sorry, ist länger geworden als ich dachte.
Vielleicht interessiert es ja jemanden.

[elBohu]

Durchaus, vielen Dank, auch für die Arbeit an fA!
Gruß
Ivo

[walta]

Nette Adresse die du da hast :-)
Ich hab zwar nicht alles verstanden, trozdem danke für deine Erklärung das hilft mir auf alle Fälle beim nächsten Streitgespräch mit unserer IT wenn die mir wieder einmal erklären wollen was denn alles nicht geht ;-)

walta
änderungspflicht - böses wort :-/

[ullrson]

Natürlich ist es Hausfriedensbruch auch wenn die Tür offen ist. Und nein, manche Sachen sollte man nicht versuchen.

Wer in die Wohnung, in die Geschäftsräume oder in das befriedete Besitztum eines anderen oder in abgeschlossene Räume, welche zum öffentlichen Dienst oder Verkehr bestimmt sind, widerrechtlich eindringt, oder wer, wenn er ohne Befugnis darin verweilt, auf die Aufforderung des Berechtigten sich nicht entfernt, ....

Voraussetzung: Wohnung muß abgeschlossen sein oder ein Verweis ignoriert werden.

Oftmals ist es sehr leicht in Netze einzudringen. Dazu brauchts keine besondere Software, Windows Bordmittel reichen völlig aus, wenn das Netz ohne entsprechenden Sachverstand eingerichtet wurde. Wlan machts möglich.

Grüße ullrson

Puh, wenn man glaubt, man hat alles, findet man doch noch was neues. ...

Nun weiß ich aber auch, dass wir eine externe Firewall haben. Die wird jetzt sehr restriktiv dicht gemacht, so dass ein potenzieller Nachahmer schlechte Karten hat (er kann zwar noch einbrechen, aber keine Werkzeuge nachladen).
(Tip an alle Serverbesitzer: Eine lokale Firewall bringt nichts, wenn ein Rootkit diese durchbohrt oder abschaltet)...

Sorry, ist länger geworden als ich dachte.
Vielleicht interessiert es ja jemanden.

Danke für den Bericht. Ich finde ihn sehr aufschlußreich

Ergänzung für Nebenberufsadmins:
Wenns Wlan offen oder unsicher ist, hilft eine Firewall nur gegen Angriffe auf der DSL-Leitung. Der "Einbruch" über Wlan erfolgt hinter der Firewall.

[corto]

Eh, wer sich an einer Diskussion beteiligt, ob ein virtueller Raum durch reale Gesetze bezüglich Eigentum geregelt wird - oder diese Gesetze dort überhaupt greifen -
hat keine ahnung - sry

und lasst mal bitte den "haxx0r" raus, das hat mit hacken nichts zu tun. das sind normale rootkits die man fertig kaufen kann wenn man weis wo, "fertig" bedeutet nicht draufdrücken und los.

Hacker sind nicht gut oder schlecht - um es mit den worten der reaktionären Internet-ausdrucker zu sagen:

hört auf gute mit schlechten Absichten in einen Topf zu werfen - es ist der gleiche Vorgang aber eine Völlig andere Intention.

2 leute kommen mit dem gewehr und tier aus dem wald. ein jäger und ein wilderer. ihr nennt hier dauernd den jäger einen "wilderer".

gruß jo

[EddieDean]

Dabke für die Infos Christian

Gruß
Stephan

[stoeckchenschubser]

Voraussetzung: Wohnung muß abgeschlossen sein oder ein Verweis ignoriert werden.

Mit Verlaub, abgeschlossen bezieht sich hier auf vier Wände und ein Dach, eindringen in verschlossene Räume ist bereits ein Einbruch und kein einfacher Hausfriedensbruch mehr.
Ein Beispiel: Eine simple Paketschnur ums Grundstück gezogen hat rechtlich die gleiche Wertigkeit wie ein 2 Meter Maschendraht mit S-Draht Krone.
Das unerwünschte Eindringen in private oder gruppeninterne Lebensbereiche ist somit schlichtweg nicht legal.


@Corto

hört auf gute mit schlechten Absichten in einen Topf zu werfen - es ist der gleiche Vorgang aber eine Völlig andere Intention.

Sorry, aber ein Bankraub ist und bleibt ein Bankraub, egal ob der Täter das Geld verjubeln oden Blümchen für den Frieden dafür kaufen möchte.

Das Eindringen in geschlossene Netzwerke ist verboten.
Das Anwenden dafür geeigneter Software ist verboten.
Der Versuch ist strafbar.
Da gibt es nichts schönzureden.

Die Personen die dies im positiven Sinne machen nennt man IT-Sicherheit und/oder Unternehmer, nicht Hacker.

Aber enentuell kann dieser aktuelle Fall ja helfen selbiges bei anderen Foren zu unterbinden, so hätte es wenigstens etwas Positives.
Und danke für die regelmäßigen Info.

[Firestormmd]

[...]hört auf gute mit schlechten Absichten in einen Topf zu werfen - es ist der gleiche Vorgang aber eine Völlig andere Intention.

2 leute kommen mit dem gewehr und tier aus dem wald. ein jäger und ein wilderer. ihr nennt hier dauernd den jäger einen "wilderer".

gruß jo

Hier wurde ein Forum gehackt und sensible Daten gestohlen. Das ist Wilderei! Hier geht es nicht um die "guten Hacker", die Sicherheitslecks aufspüren und das melden.

Grüße, Marc

[corto]

ok - unabhängig von FA:

es ist undifferenziert und polemisch (aka stammtischniveau).
ich weis ihr nennt alle die den computer für mehr als word nutzen "hacker" - das ist aber falsch und beleidigend für diese Gruppe.

also entweder nimmt man sich jetzt die Zeit und denke drüber nach oder plappert weiter über die "pösen" computerzauberer.

krimineller fand ich ganz passend, nur mal so nebenbei.

Hier geht es nicht um die "guten Hacker", die Sicherheitslecks aufspüren und das melden.

doch, genau darum geht es weil ihr sie dauernd namentlich erwähnt. wenn ihr sie nicht meint - dann schreibt nicht über "hacker".

es waren einfache computerkriminelle, nix weiter.

@netzwanze:
phpmyadmin ist der indirekte weg, aber es bleibt ein sqlinject oder hab ich da was übersehen?
sqlinject heist ja nicht das in der db was gemacht wird, nur das der zugriff aufs filesystem über die datenbank läuft.
util.file wäre da z.b. das modul wenn man oracle benutzt.. damit schreibt man script auf die platte und fertig.

sowas ist eigentlich nur durch konsequente backups auszuhalten, nur die downtime und die arbeit sind ätzend.