3. Information zur Downtime am 26./27.03.2010

Information zur Downtime am 26./27.03.2010

  • B

    Marc++us schrieb:

    wie hoffentlich schmerzlich bemerkt wurde, war der Server ab dem 26.03. ca. 19:30 bis jetzt 27.03. 23:15 down.

    *g* in der Tat schmerzlich, erst wenn die Seite mal down ist faellt einem auf, wie oft man sie besucht 😃
    Also thx an die Administration 👍

    Was die Ersatz-SW angeht: wenn sich genug Leute hier finden, die aus Langeweile ein OS schreiben, duerfte es doch auch welche geben, die ein Forum aus dem Boden stampfen, oder? 😉 😉 😉

    0
  • R

    Da der Einbruch offenbar recht erfolgreich war, zwei Fragen an die Administration:

    - Gab es Zugriffe auf die interne Userdatenbank?
    - Speichert ihr Passwörter der User irgendwo im Klartext?

    0
  • S

    Registrierter Troll schrieb:

    Da der Einbruch offenbar recht erfolgreich war, zwei Fragen an die Administration:

    - Gab es Zugriffe auf die interne Userdatenbank?
    - Speichert ihr Passwörter der User irgendwo im Klartext?

    phpBB speichert keine Passwörter im Klartext. Wie Sie genau gespeichert werden siehst du im phpBB2-Source 🙂

    MfG SideWinder

    0
  • R

    SideWinder schrieb:

    phpBB speichert keine Passwörter im Klartext. Wie Sie genau gespeichert werden siehst du im phpBB2-Source 🙂

    Das gilt für Vanilla-phpBB. Die Software wurde aber umgebaut - wo, was und wie kompetent, das weiß ich nicht und kann ich mangels Sourcecode auch nicht nachprüfen.

    Deshalb frage ich lieber mal nach.

    0
  • S

    Registrierter Troll schrieb:

    ...
    Deshalb frage ich lieber mal nach.

    Schon klar, war nicht böse gemeint.

    MfG SideWinder

    0
  • N

    Hi,

    Registrierter Troll schrieb:

    Da der Einbruch offenbar recht erfolgreich war, zwei Fragen an die Administration:

    - Gab es Zugriffe auf die interne Userdatenbank?

    Soweit ich das nachvollziehen kann, nicht. Es gab zwei Zugriffe auf die Reverse-Shell, beide Male nicht groß genug für derartiges. Einer der Zugriffe hat die IFrames hinzugefügt, der andere war die Kontrolle, ob die IFrames hinzugefügt wurden, sonst wurde nichts gemacht. Das Ziel der Attacke war nicht die Datenbank.

    - Speichert ihr Passwörter der User irgendwo im Klartext?

    Nein, selbstverständlich nicht.

    Sorry für die Unannehmlichkeiten, uns machen solche Vorfälle auch keinen Spaß, schon alleine aufgrund des dadurch entstehenden Arbeitsaufwands.

    0
  • M

    Registrierter Troll schrieb:

    SideWinder schrieb:

    phpBB speichert keine Passwörter im Klartext. Wie Sie genau gespeichert werden siehst du im phpBB2-Source 🙂

    Das gilt für Vanilla-phpBB. Die Software wurde aber umgebaut - wo, was und wie kompetent, das weiß ich nicht und kann ich mangels Sourcecode auch nicht nachprüfen.

    Deshalb frage ich lieber mal nach.

    Der Teil der Nutzerverwaltung wurde nicht modifiziert und ist Original-phpBB.

    Passwörter werden nicht im Klartext abgespeichert, sondern nur der Hash.

    Der Angreifer konnte sich nach unserem Kenntnisstand keinen Zugriff auf die Datenbank selbst verschaffen, die Aktion blieb im Vorfeld der Scripte liegen.

    Der Angreifer hatte wohl die Plazierung seines Schadscripts als wichtiger angesehen, es ging ihm nicht um einen Datenbankabzug.

    0
  • R

    Danke für die Info!

    0
  • N

    Ad aCTa schrieb:

    Naja, wer von Forum benutzt, das mit PHP kreiert wurde, ist selber schuld. 😃

    Tja. Danke für den tollen Hinweis. Wirf mal Deine Zeitmaschine an und schick dem c++.de von 2002 gute Forensoftware die nicht in PHP geschrieben ist.

    Da PHP von Haus aus viel Mist zulässt, ist die meiste PHP-Software pure Frickelei, von Wiederverwendbarkeit ganz zu schweigen. Nur die wenigsten können mit PHP gute Software bauen, und PHPBB ist definitiv keine.

    Ich mag generell kein PHP und bin auch kein Anhänger der "für PHP muss man richtig gut sein"-These. Aber das geht völlig am Thema vorbei, danke trotzdem für die Wortmeldung.

    0
  • E

    Hallo,

    Marc++us schrieb:

    wie hoffentlich schmerzlich bemerkt wurde, war der Server ab dem 26.03. ca. 19:30 bis jetzt 27.03. 23:15 down.

    Wieso eigentlich "hoffentlich"?
    Ja, ich habe dieses Forum "schmerzlich" vermisst. Dieser Schmerz ist für Euch (die Betreiber) natürlich eine Bestätigung der Wichtigkeit und Qualität Eurer Arbeit (dieses Forum am laufen zu halten). Weniger wichtige Seiten vermisst man sicher weniger schmerzlich. Ich hoffe aber trotzdem das es auch andere Dinge hier gibt die Euch als Bestätigung dienen. 😉

    Auch von mir ein herzliches Danke an alle die diese Seite am Leben halten. Ja, die Wichtigkeit merkt man oft erst wenn man etwas "schmerzlich" vermisst.

    Marc++us schrieb:

    Wir schauen mal wie unsere gegenwärtige Gefechtslage aussieht, es ist durchaus möglich, daß in der nächsten Woche noch weitere Downs auftreten.

    Es wäre schön wenn es rechtzeitig einen Hinweis gäbe.

    Blue-Tiger schrieb:

    wenn sich genug Leute hier finden, die aus Langeweile ein OS schreiben, duerfte es doch auch welche geben, die ein Forum aus dem Boden stampfen, oder?

    Du versuchst da Äpfel mit Birnen zu vergleichen. Die OS-Coder sind schon glücklich wenn nicht jeder Startversuch mit Einfrieren des PC endet. 😃
    Im Ernst: natürlich sind bei einem OS ganz andere Herausforderungen zu meistern als bei einer Forum-SW. Die meisten der Hobby-OSe würden einem ernst gemeinten Angriff eines geübten Hackers kaum stand halten, in Linux und Co. stecken sicher tausende Man-Jahre nur um ein ordentliches Maß an Sicherheit und Stabilität zu erreichen. Das kann man von einer Hand voll Hobby-OS-Coder einfach nicht erwarten.
    Um sichere Software zu programmieren, die wirklich unter allen möglichen und unmöglichen Umständen relaxt bleibt, braucht man sehr viel Erfahrung im Bereich der IT-Sicherheit. Um ein OS entwickeln zu können muss man sich sehr gut mit der PC-Hardware auskennen. Erst wenn man beides zusammen packt kommt auch ein sicheres OS bei raus.

    Grüße
    Erik

    0
  • M

    erik.vikinger schrieb:

    Marc++us schrieb:

    Wir schauen mal wie unsere gegenwärtige Gefechtslage aussieht, es ist durchaus möglich, daß in der nächsten Woche noch weitere Downs auftreten.

    Es wäre schön wenn es rechtzeitig einen Hinweis gäbe.

    Wie man heute sehen konnte, ist das unmöglich. Es gab noch einen weiteren versteckten Zugang, der zuvor nicht gefunden wurde, und durch diesen wurden Seiten verändert. In dieser Situation mußte der Server sofort vom Netz.

    0
  • M

    Welche Folgen kann es haben, wenn man die IFrame-verseuchte Startseite geöffnet hat?

    Edit: Hab den anderen Thread vergessen.

    0
  • E

    Es gab noch einen weiteren versteckten Zugang, der zuvor nicht gefunden wurde, und durch diesen wurden Seiten verändert.

    Auf diese Art findet ihr alle Schwachstellen und macht das Forum stärker. Sehr gut! 👍

    0
  • Administrator

    nman schrieb:

    Ist leider nicht so, dass wir einfach eine frische phpBB-Version ziehen, Daten rüberschaufeln und online gehen könnten.

    Das ist schon klar, wäre ja viel zu schön. Allerdings frage ich mich, ob ihr nicht sowieso irgendwann einmal wechseln müsst? Oder wollt ihr für immer und ewig bei dieser Version bleiben und dann zum Beispiel selber mal die Suchfunktion reparieren? Und ich würde mal meinen, dass es besser ist möglich früh zu wechseln, bevor ihr noch weitere eigene Dinge einpflanzt, welche dann wieder alles noch schwerer macht, um das Forum zu portieren.

    Naja, aber da anscheinend das PhpBB Forum nichts mit dem Angriff zu tun hatte, lasse ich nun das Thema liegen. Würde zu Off-Topic werden und ich kann mir die Antworten schon fast denken.

    nman schrieb:

    Sorry für die Unannehmlichkeiten, uns machen solche Vorfälle auch keinen Spaß, schon alleine aufgrund des dadurch entstehenden Arbeitsaufwands.

    Also die Entschuldigung empfinde ich jetzt als ein wenig verwirrend. Wozu die Entschuldigung? Es wird ja wohl kaum jemand denken, dass ihr dies extra macht oder Spass dran habt 😉

    Grüssli

    0
  • N

    Dravere schrieb:

    Und ich würde mal meinen, dass es besser ist möglich früh zu wechseln, bevor ihr noch weitere eigene Dinge einpflanzt, welche dann wieder alles noch schwerer macht, um das Forum zu portieren.

    Da hast Du schon recht. Allerdings ist der Aufwand fürs wechseln ziemlich gewaltig, ich erhebe den von Zeit zu Zeit wieder neu und merke, dass es ohne riesigen Arbeitsaufwand unmöglich ist, alles zu übernehmen. Aber vielleicht wird es auch einfach wirklich Zeit, bestimmte alte Sachen bewusst nicht weiterzuführen, sondern einfach read-only öffentlich zu archivieren oä. Ich sitze momentan eh an einem kleinen internen Strategiepapier, wo ich auch ein paar andere Überlegungen mit reinnehme, ich werde mich bemühen, da möglichst offen zu bleiben, versprochen.

    Naja, aber da anscheinend das PhpBB Forum nichts mit dem Angriff zu tun hatte, lasse ich nun das Thema liegen.

    Ja, das PhpBB war nur betroffen, weil wir hier (noch) nicht die Ressourcen haben, sämtliche hier laufenden Anwendungen hinreichend gut voneinander abzuschotten. Das heißt nicht, dass wir nicht auch viel Zeit mit Code-Audits vom PhpBB verbracht haben in den letzten Tagen.

    Also die Entschuldigung empfinde ich jetzt als ein wenig verwirrend. Wozu die Entschuldigung? Es wird ja wohl kaum jemand denken, dass ihr dies extra macht oder Spass dran habt 😉

    Nein, natürlich nicht. Aber das ändert nichts daran, dass es für die User hier ebenfalls extrem unerfreulich ist.

    0
Anmelden zum Antworten