Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5

Mehrere Foren wurden gehackt
#1

Mehrere Foren gehackt (VBulletin)!!
Leute es wurden mehrere Foren gehackt unter anderem das DigitalEliteBoard

wer also dort registriert ist und evtl. das Passwort auch woanders nutzt sollte dieses möglichst schnell an anderer Stelle ändern !!

Soweit bekannt wurden alle Daten des DEB geklaut also auch die komplette DB

Weiterhin betroffen Youfreetv.net

mehr Foren sind mir nicht bekannt aber es soll über eine Schwachstelle des Arcarde Plugins funktioniert haben !!

Falls ihr weitere Forenbetreiber kennt bitte entsprechend informieren !!

nur zur Info----- denke das es in dem Thread am besten passt...sonst verschieben , Thanx Popcorn
Zitieren
#2

Ich bin mir nicht ganz sicher aber in der DB von VBulletin werden die PWs verschlüsselt gespeichert. Auch ein Admin hat keinen Zugriff auf die PWs. Somit wäre es für die Diebe nutzlos. Kann mich aber auch täuschen. Klärt mich ggf. auf.
Zitieren
#3

In der Regel werden nur die Hashes gespeichert. Alles andere ist EDV-Steinzeit. Und die Hashes nützen kaum etwas.
Zitieren
#4

naja, einer der Hacker @Anonpress stellt sich der Meute im DEB Board....lt.seinen Aussagen hat er auch ein ca. 4,3gb Backup gezogen....

hier ein kurzer Auszug eines Statements von ihm:


Wie die Admins rumlügen.
Wirklich dreist.

Ihr wolltet ein Statement?
Hier habt ihr es:

Hallo.

Ihr habt um ein Statement von uns gebeten und ihr sollt es bekommen.

Als wir gesehen haben wie unfähig die Adminstration ist, haben wir 2 Optionen offen gehabt:
Option 1) Eine PN schreiben um euch auf die vielen Lücken im VBulletin hinzuweisen.
Option 2) Chaos stiften

Option 1 viel weg, da es bestimmt lange gedauert hätte die Administration
a) davon zu überzeugen, dass das Forum vuln ist
b) den Admins zu erklären, wie sie die ganzen Addons fixxen.
c) EIN ILLEGALES FORUM WELCHES IP ADRESSEN SPEICHERT GEHÖRT BESTRAFT !!!!
d) siehe 5 Zeilen weiter unten
Tipp dazu: VSa Modstats würde ich ebenso deinstallieren benutzt lieber die "Log Funktion" direkt im "debadmin"
Wir hätten erneuten Zugriff.

Aber erstmal ein paar andere Dinge.
Die Admins sind alles andere Vertrauenswürdig. Nicht nur das sie jede IP von den Usern loggen, nein,
sie können sich mit einem einfach Plugin in eure Accounts einloggen und eure Privaten Nachrichten lesen
hier der Beweis:
http://picbox.im/image/5046e4157f-2a.png
Addonlink: Admin Log In As User - vBulletin.org Forum
Sowas geht GARNICHT!!! Und wenn ihr durch dieses Vertrauensmissbrauch Stammuser verliert geschieht euch das ganz recht.
Schon mies was eure Admins mit euch anstellen.

Wir stellen 2 Bedingung:
1. DEAKTIVIERT DEN IP LOG!!!!
2. DEINSTALLIERT "ADMIN LOGIN AS USER" !!!! (ratet mal wieso es "Private Nachrichten" heißt...das ihr das auch direkt über die Datenbank könntet ist uns bewusst jedoch nicht so einfach)
Wir sind sogar so nett und erklären euch weiter unten wie es geht.


das geht noch weiter , will hier aber nicht alles zuspamen, ausser es interessiert jemanden....
Zitieren
#5

Hashes? Habe ich irgendwo schon mal gehört, hab's aber nicht parat.
Und was bedeutet das für die User dieses Forums?
Wer merkt und wie, wenn ein Forum "gehackt" ist?
Wäre nett, wenn jemand kompetentes dazu beruhigendes sagen würde! Unsure
Gruß, Kai
Zitieren
#6

Kommt drauf an, wie die Hashes gespeichert wurden. Könnte schon interessant sein, aber mit Salt bringt ihnen das in der Tat nicht viel.
Zitieren
#7

Zitat:Mehrere Foren gehackt (VBulletin)

Wir verwenden MyBB (andere Forensoftware). Sein Passwort sollte man in regelmäßigen Abständen erneuern. Unabhängig ob gehackt worden oder nicht.
Zitieren
#8

Bei 0-Day Exploits kann man halt nichts machen. Kann iSzene auch passieren. Die Welt dreht sich weiter. Smiley
Zitieren
#9

War da Justin am Werk? rofl2
Zitieren
#10

(30.01.2013, 23:22)gado schrieb:  Bei 0-Day Exploits kann man halt nichts machen. Kann iSzene auch passieren. Die Welt dreht sich weiter. Smiley

Wirklich sehr beruhigend! Rolleyes
Die Welt dreht sich auch weiter, wenn ich mit dem Kopf unterm Arm rumlaufe!irre
Zitieren
#11

Sollen wir die User jetzt anlügen? Ich bin für Transparenz. Und 0-Day Exploits gibts nun mal. Jede Software hat Fehler. Deswegen musst du mir keinen Vogel zeigen. Wie gesagt, die Passwörter werden in Hashes + Salt gespeichert. Mehr als Mail, Username bekommen die ehe nicht. Wenn das für dich so tragisch ist, dass die Welt sich nicht mehr weiter dreht, solltest du dein Internet abbestellen. Könnte sogar sein, dass dein Router eine Schwachstelle hat. Und die ganzen Updates, die von Microsoft kommen sind nur Feature Updates, nie und nimmer hat Windows Schwachstellen.

Also manchmal ...
Zitieren
#12

@Kaimarg Sag mal gehts noch?
Zitieren
#13

(30.01.2013, 23:58)Kaimarg schrieb:  Die Welt dreht sich auch weiter, wenn ich mit dem Kopf unterm Arm rumlaufe!

Zombie?
Zitieren
#14

@gado
Jetzt mal Klartext:
1. Vogel zeigen ist nicht meine Art und ein Missverständnis, ich habe bisher immer gedacht, der kleine Kerl kratzt sich fragend am Kopf!
2. Wenn in einem Forum so eine Meldung publiziert wird, erwarte ich von einem Supporter auch Support!
Immerhin wird der User in der Benutzer CP freundlich aufgefordert, seinen Klarnamen und Wohnort einzutragen, um Zitat" seine Glaubwürdigkeit zu erhöhen".
Ich weiß, das muß ich nicht tun, da ich grundsätzlich aber positiv denke, tat ich's und habe es jetzt geändert.
Und den Ratschlag eines Supporters, wie ich ihn verstehe, das Passwort zu ändern habe ich auch befolgt.
Ich wünsche weiterhin ein lockeres "supporten",
Gruß, Kai
Zitieren
#15

(30.01.2013, 23:04)Jesusphone schrieb:  In der Regel werden nur die Hashes gespeichert. Alles andere ist EDV-Steinzeit. Und die Hashes nützen kaum etwas.

(30.01.2013, 23:01)xmrr3dx schrieb:  Ich bin mir nicht ganz sicher aber in der DB von VBulletin werden die PWs verschlüsselt gespeichert. Auch ein Admin hat keinen Zugriff auf die PWs. Somit wäre es für die Diebe nutzlos. Kann mich aber auch täuschen. Klärt mich ggf. auf.

(30.01.2013, 23:21)Olli schrieb:  Wir verwenden MyBB (andere Forensoftware). Sein Passwort sollte man in regelmäßigen Abständen erneuern. Unabhängig ob gehackt worden oder nicht.


Hast Du diesen nicht bekommen??
Zitieren
#16

Was möchtest du denn für einen Support? Wir haben dir mehrmals gesagt, dass dein Passwort bei uns sicher ist und man soll Passwörter öfters mal wechseln und am besten noch sowas wie 1Password nutzen. Und was du z.B unter Location einträgst kann sowieso jeder lesen. Verstehe da dein Problem nicht.

Selbst Facebook hat Fehler. Da war es möglich, Bilder von Personen abzurufen, obwohl man auf die gar kein Zugriff hätte haben dürfen. Bei Dropbox war es mal für 4 Stunden möglich sich auf jeden x-beliebigen Account einzuloggen und sich die Daten anzugucken, da man bei Passwort irgendwas eingeben konnte und alles akzeptiert wurde.

Diese beiden Firmen haben sehr gute Leute an Bord und bei denen ist das Thema Sicherheit ganz wichtig und selbst denen passiert sowas. Da ist es wohl die geringste Sorge, wenn jemand meinen Ort hat, der ehe für die Öffentlichkeit war. Username hat auch jeder. Und Software hat Fehler, da ist diese Forensoftware auch nicht gegen gewappnet. Die Forensoftware hat gegenüber vBulletin vielleicht noch den Aspekt "Security through obscurity", auch wenn das nicht viel mehr beruhigt. vBulletin ist halt die bekannteste Forensoftware.

Das mit dem Smiley habe ich dann missverstanden, soll einen Vogel sein, heißt ja auch Irre.gif.
Zitieren
#17

@Gado
Nix für Ungut und Danke, das war nun ja auch etwas ausführlicherBiggrin
Das mit dem smiley irre wundert mich dann ja doch etwas, hier wird zugelassen, daß einer dem anderen einen Vogel zeigt, wo doch jeder kleiner "Anranzer" eine freundliche Ermahnung zur Folge hat?
Gruß, Kai Biggrin
Zitieren
#18

Jede Software die es gibt, hat Fehler. Es gibt keine, welche Fehlerfrei ist. Es ist halt immer eine Frage, wie leicht die Fehler zu finden sind bzw. für was man sie benutzen kann.

Ich selbst beschäftige mich auch mit der PHP, Java und JavaScript Programmierung und hab auch schon teilweise ein eigenes CMS geschrieben. Dieses habe ich auch anderen Programmierern zwecks überprüfung geschickt und die sagten auch, dass die damals "sicher" sei. Letztendlich hat aber doch jemand ne Lücke gefunden.
Die meisten speichern PW's via MD5 und eventuell einen Salt. Wenn jemand jetzt die ganze DB ausließt, dann hat er auch den Hash des jeweiligen Users und kann so das PW knacken. Das Wissen kann sich jeder schnell aneignen. Ich wüsste auch wie es geht und hab es auch schon mit einer Privaten Testdatenbank gemacht. Will jetzt aber hier nicht ins Detail gehen, nicht das es noch als Anleitung gewertet wird Zwinkern

Wie schon gesagt wurde, ist vBulletin die am meisten verwendete Software, daher werden dort am meisten nach Lücken gesucht. Oft sind aber die verwendeten Plugins das Problem, da die unsauber geschrieben sind und somit angreifbar sind.
Zitieren
#19

Ein Hash+Salt wo der Salt gesichert wird, kannst du nicht mit Bruteforce knacken (mehrere hundert/tausend Jahre). Wenn aber Salt und Hash in der DB steht ist es natürlich wieder etwas anderes, da ist dann nur ein gutes Passwort sicher. Also wenn jemand den Datenbank Dump hat, dann hat er oft Hash und Salt, man kann das System jetzt extra härten, indem man den Salt, der für jeden einzigartig erstellt wird, auslagert, was nicht unüblich ist, wenn man Software sicher machen will. Ansonsten einfach ein Passwort, was länger als 10 Zeichen/Buchstaben ist, dann ist man schon gut dabei.

Wenn hier jemand jetzt 1234 als Passwort hat, ist das nicht gut, wäre es aber überall nicht. Smiley

Also wenn hier Leute z.B 1Passwort nehmen und sich das Passwort generieren lassen mit 25 Zeichen, dann wird auch in absehbarer Zeit keiner an das Passwort kommen.
Zitieren
#20

Dass vBulletin vulnerable ist, ist nichts neues. Dennoch gilt die Forensoftware noch eine von den sicheren. Und so ein Forum knacken ist heutzutage keine Kunst mehr. Sofern man das nötige Kleingeld hat. Hauptsache man verwendet verschiedene Passwörter.
Zitieren


Möglicherweise verwandte Themen…
Thema / Verfasser Antworten Ansichten Letzter Beitrag
Letzter Beitrag von Jesusphone
05.09.2008, 18:44



Benutzer, die gerade dieses Thema anschauen: 4 Gast/Gäste