Downtime



  • Ich verwende Opera (12.16 Win32). Und das Problem scheinen tatsächlich "Sonderzeichen" zu sein. Wobei ein "ä" schon reicht.



  • Marc++us schrieb:

    allerdings war die Verseuchung des Servers schon einige Tage alt

    Das würde erklären warum die automatische E-mail Benachrichtigung für neue Beiträge die letzten Tage über keine E-mails versendet hat, zumindest nicht an mich. 😞



  • Ich möchte mich bei dieser Gelegenheit mal beim ganzen C++.de Team bedanken, ich finde das Forum hier echt gut:

    Danke! 🙂

    Natürlich sind dieser Ausfall und seine Folgen eher nervig als angenehm, aber da merkt man erstmal wie sehr einem das Forum fehlt wenn es auch nur 2-3 Tage offline ist 🙂



  • Test, test, 1, 2, 3...

    Vielen Dank an Marcus und die anderen fuers fixen! 🙂 Ich schliesse mich hustbaer an.



  • Antoras schrieb:

    Marc++us schrieb:

    allerdings war die Verseuchung des Servers schon einige Tage alt

    Das würde erklären warum die automatische E-mail Benachrichtigung für neue Beiträge die letzten Tage über keine E-mails versendet hat, zumindest nicht an mich. 😞

    Jein, indirekt. Der Server ist auf vielen Spamlisten gelandet, und die Emails wurden dann geblockt und nicht ausgeliefert.



  • hustbaer schrieb:

    Ich möchte mich bei dieser Gelegenheit mal beim ganzen C++.de Team bedanken, ich finde das Forum hier echt gut:

    Danke! 🙂

    Natürlich sind dieser Ausfall und seine Folgen eher nervig als angenehm, aber da merkt man erstmal wie sehr einem das Forum fehlt wenn es auch nur 2-3 Tage offline ist 🙂

    Dem schliesse ich mich an! Echt Kompetente Leute hier, die auch was auf dem Kasten haben.

    Obwohl das PHP hole doch eher schmerzlich ist für mein Verstand...



  • hustbaer schrieb:

    Ich möchte mich bei dieser Gelegenheit mal beim ganzen C++.de Team bedanken, ich finde das Forum hier echt gut:

    Danke! 🙂

    Natürlich sind dieser Ausfall und seine Folgen eher nervig als angenehm, aber da merkt man erstmal wie sehr einem das Forum fehlt wenn es auch nur 2-3 Tage offline ist 🙂

    👍
    Ja. Ich hätts nicht erwartet, aber sogar mir hat das Forum gefehlt.



  • Wurde denn Schadware verteilt, oder war der Angriff nur passiv?

    Marc++us schrieb:

    Bitte ändert Eure Passwörter zur Sicherheit im Profil. Es ist zwar nur der Hash gespeichert, aber man weiß ja nie.

    Passwort mit oder ohne Salt?



  • Und bitte nutzt nie dasselbe Passwort auf mehr als einer Seite. Ich bin bei ca 100 Seiten angemeldet und habe nie dasselbe Passwort, geschweige denn kann ich mir ein davon merken, da sie immer generiert werden. Somit macht es mir auch nix aus Passwörter zu ändern, da ich das alte Kennwort eh nie kannte.

    Ach ja, bei mir gehen die Artikel/Magazin nicht mehr. Gibt es irgendwo ein Bugthread?



  • -lowbyte- schrieb:

    Obwohl das PHP hole doch eher schmerzlich ist für mein Verstand...

    Klar. Aber wirklich ueberraschend sind Exploits bei der Code-Qualitaet nicht. Ueberraschend ist fuer mich eher, dass sie so selten sind.

    Rhombicosidodecahedron schrieb:

    Wurde denn Schadware verteilt, oder war der Angriff nur passiv?

    Was du hier mit "passiv" meinst ist mir nicht vollkommen klar, aber soweit wir nachvollziehen koennen, wurde der Forencode nicht geaendert. Wir haben trotzdem alles auf den Stand eines garantiert sauberen Backups zurueckgesetzt.



  • B0b schrieb:

    Und bitte nutzt nie dasselbe Passwort auf mehr als einer Seite. Ich bin bei ca 100 Seiten angemeldet und habe nie dasselbe Passwort, geschweige denn kann ich mir ein davon merken, da sie immer generiert werden. Somit macht es mir auch nix aus Passwörter zu ändern, da ich das alte Kennwort eh nie kannte.

    👍



  • nman schrieb:

    -lowbyte- schrieb:

    Obwohl das PHP hole doch eher schmerzlich ist für mein Verstand...

    Überraschend ist für mich eher, dass sie so selten sind.

    Meinst du vielleicht. Die meisten Exploits werden in freier Wildbahn gar nicht gesichtet. Werden für gezielte Angriffe gebraucht... Und davon gibts etliche aber nicht nur für PHP. Da sind leider alle Hersteller betroffen... Aber was erwartet man schon bei x Millionen lines code.



  • nman schrieb:

    Rhombicosidodecahedron schrieb:

    Wurde denn Schadware verteilt, oder war der Angriff nur passiv?

    Was du hier mit "passiv" meinst ist mir nicht vollkommen klar.

    Es wurde nur der Rechner gekapert ohne, dass was von der Seite geändert wurde.

    Im nachhinein war der Begiff passiv eh dumm gewählt. Wenn jemand den Server kapern konnte ohne dass er danach was aktiv gemacht hätte, wäre es wohl nicht so leicht aufgefallen ...



  • -lowbyte- schrieb:

    nman schrieb:

    Überraschend ist für mich eher, dass sie so selten sind.

    Die meisten Exploits werden in freier Wildbahn gar nicht gesichtet.

    Ich meinte ja genau "in freier Wildbahn so vergleichsweise selten".



  • Marc++us schrieb:

    Hallo zusammen,

    Nachdem das bemerkt wurde machte es natürlich Sinn die VM gleich komplett neu aufzusetzen. Datenbackups sind immer vorhanden, allerdings war die Verseuchung des Servers schon einige Tage alt, so daß ein Rollback auf einen relativ alten Backup-Stand notwendig wurde. D.h. es ging immer Backup für Backup zurück, bis ein unverseuchtes gefunden war. Das hat natürlich ein wenig gedauert, und erklärt auch warum wir nun Beiträge seit dem 1.11. verloren haben.

    Woran hast du eigentlich die "Verseuchung" erkannt bzw. woran hast du gemerkt, dass ein bestimmter Backupstand nicht mehr verseucht war? Hast du es an den Sourcecodes oder Datensätzen bemerkt? Irgendwie möchte ich jetzt auch meine Webanwendungen auf solche Verseuchungen überprüfen. Aber eigentlich weis ich gar nicht wonach ich ausschau soll ... 😞



  • Chris++ schrieb:

    Hast du es an den Sourcecodes oder Datensätzen bemerkt

    An der Reverse-Shell, die der Angreifer installiert hatte. Daraufhin die Logs nach dem entsprechenden Angriffsmuster durchforstet und gesucht, bis der Angriff rekonstruiert war.

    Irgendwie möchte ich jetzt auch meine Webanwendungen auf solche Verseuchungen überprüfen. Aber eigentlich weis ich gar nicht wonach ich ausschau soll ... 😞

    Optimal waere, wenn du einen garantiert unkompromittierten Stand haettest und schnell und einfach den ganzen Verzeichnisbaum diffen koenntest.



  • Solange diff nicht kompromittiert wurde^^



  • CppNeuland schrieb:

    Solange diff nicht kompromittiert wurde^^

    Wenn das diff(1) auf der Maschine, wo man den ursprünglichen Stand archiviert hat, kompromittiert ist, hat man auch andere Probleme.

    Abgesehen davon: Typische 0815-PHP-Angriffe zielen auf den Webserver ab, der läuft ja hoffentlich heutzutage nirgends mehr so, dass er den Rest des Systems mit in den Abgrund reißen kann.



  • War das nun eine Lücke in phpBB oder in PHP selbst?
    Könnt ihr mehr Details über die Lücke preisgeben? Nun haben sicher einige Leute, die ebenfalls Seiten betreiben, ein bisschen Panik gekriegt. Wäre super, wenn ihr uns sagen könntet, wie man sich vor solchen Angriffen schützt.



  • Lücken hast du doch eh in jeder Version von Software. Sobald was online ist, kommt man auch rein, denn 0-Day-Exploits gibt es für so ziemlich jede Software in ausreichender Stückzahl. Da ist vom Router, über das OS bis zum Webserver wirklich alles dabei.

    Wer genug Geld investiert, ist in deinem System, außer du nutzt was eigenes. Das müsste dann explizit geknackt werden.

    Das einzige was du mit Updates und allen möglichen Sicherheitstipps abhältst, sind die ScriptKiddies, was ja schon mal was ist. Aber ein System, was am öffentlichen Internet hängt und welches ein gängiges Betriebssystem hat, mit den gängigen Diensten nach außen, ist immer ein offenes System.

    Ich möchte nicht wissen, wie viele professionelle Angriffe nie erkannt werden und wie viele Lücken jahrelang in Systemen schlummern. Wie das Ding, mit der Win16 DLL oder wie die hieß, die von Win3.11 bis Windows7 immer schön die Türe offen gehalten hat.


Anmelden zum Antworten