3. Information zur Downtime am 26./27.03.2010

Information zur Downtime am 26./27.03.2010

  • N

    Dravere: Hier läuft durchaus nicht nur PhpBB.

    abc.w schrieb:

    Das Admin-Passwort war wahrscheinlich "test" oder "passwort" oder "1234" 😉

    Nein, "god" natürlich. Habe es jetzt aber auf "god123" geändert, nächstes Mal wenn wir Schwierigkeiten haben, tu ich vielleicht sogar ein Sonderzeichen dazu.

    Borschtsch: Ich verstehe nicht so recht, was das ändern sollte. In den Access-Logs stehen 404s ja genauso drin, wie irgendwas anderes. Und wenn wir nicht schon vor geraumer Zeit vorbeugend eine ganze Menge leicht umsetzbarer Maßnahmen ergriffen hätten, dann hätten wir hier ständig viel gröbere Probleme.

    Dravere schrieb:

    Ein Grund mehr endlich die Forensoftware zu ersetzen, vor allem auch im Hinblick darauf, dass hoffentlich jemand anderes dann die Löcher stopft und nicht ihr diese Arbeit übernehmen müsst.

    Glaub mir, wenn das zwei Wochenenden Zeitaufwand wären, dann hätten wir schon was anderes. Und auch wenn ich das selten hier groß ausbreite, analysiere ich jeden Down und überlege, was man besser machen hätte können, was Konsequenzen sein könnten und was mittel- bis langfristig an Arbeit nötig sein wird, um die Seite am Leben erhalten zu können.

    Und Upgrades der Forensoftware in Auftrag geben… Wenn wir vom üblichen Tagsatz für freie Entwickler ausgehen, wird das sehr, sehr, sehr teuer. Spendenaktionen sind rechtlich problematisch und auch nur sinnvoll, wenn man ein bisschen Geld für frische Hardware oder einen Providerwechsel oä. braucht. Der Zeitaufwand wäre allerdings so hoch, dass wir aktuell unsere ständigen Wartungsarbeiten für weniger aufwändig halten. Das sagt schon ein bisschen etwas, da käme man mit einer Auftragsvergabe finanziell mit Spenden nicht sehr weit.

    0
  • N

    Dravere schrieb:

    Mr X schrieb:

    Vorher sollte man natürlich klären, ob Phpbb3 diese Sicherheitsmängel, die hier relevant sind, auch geflickt hat und ob vlt. auch die Forumssuche von phpbb3 besser ist.

    Oder auch gleich ganz von PhpBB weg? Gibt ja noch genügend andere Forensoftware

    Ich habe mir mittlerweile eine Menge Sachen angesehen und bis dato nichts gefunden, wo wir nicht noch einiges selbst dazuschreiben müssten um die gleiche Funktionalität wie momentan zu haben.

    Ist leider nicht so, dass wir einfach eine frische phpBB-Version ziehen, Daten rüberschaufeln und online gehen könnten.

    0
  • B

    nman schrieb:

    Ich verstehe nicht so recht, was das ändern sollte. In den Access-Logs stehen 404s ja genauso drin, wie irgendwas anderes.

    Ja gut, eine 404er würde aber wo möglich eher zum Aufgeben anregen und auch grundsätzlich das Risiko senken. Ferner könnte man in diesem speziellen Fall bestimmt eine Regel für den Apachen einrichten, die aufs Logging verzichtet.

    nman schrieb:

    Und wenn wir nicht schon vor geraumer Zeit vorbeugend eine ganze Menge leicht umsetzbarer Maßnahmen ergriffen hätten, dann hätten wir hier ständig viel gröbere Probleme.

    An der Kompetenz zweifle ich keineswegs! 😉

    Zum Thema Ersatzsoftware fehlt mir ein: Veröffentlicht eine Liste mit allen Forderungen; die interessierten User könnten gemeinsam sehr wahrscheinlich etwas organisieren. 🙂

    0
  • S

    @Borschtsch: Ich glaube nicht, dass die Auswahl an Forensoftware in diesem Bereich so groß ist, als dass man hier nman nicht zutrauen könnte schon jede zu kennen 🙂

    MfG SideWinder

    0
  • N

    Borschtsch schrieb:

    Ja gut, eine 404er würde aber wo möglich eher zum Aufgeben anregen und auch grundsätzlich das Risiko senken. Ferner könnte man in diesem speziellen Fall bestimmt eine Regel für den Apachen einrichten, die aufs Logging verzichtet.

    404er servieren wir doch ohnehin am laufenden Band. Aber dass die mitgeloggt werden, ist schon gut und richtig so, sonst fehlt zur Diagnose einfach ziemlich viel.

    Und zu "zum Aufgeben anregen": Wie Rüdiger bereits sagte: Das probiert niemand händisch aus, das sind alles Bots, die automatisiert testen.

    An der Kompetenz zweifle ich keineswegs! 😉

    So wars nicht gemeint. Aber mit Ordner verschieben ist es hier einfach nicht getan.

    Zum Thema Ersatzsoftware fehlt mir ein: Veröffentlicht eine Liste mit allen Forderungen; die interessierten User könnten gemeinsam sehr wahrscheinlich etwas organisieren. 🙂

    Hm, ich glaube ehrlich gesagt, dass Du Dir das etwas zu einfach vorstellst. Ja, wir haben hier ein Forum voller Programmierer. Und nein, die allermeisten haben nicht die Zeit und/oder Fachkenntnisse bzw. Lust, hier unentgeltlich sicherheitskritische Software zu schreiben.

    Und wenn wir einfach nur ein aktuelles Forum zu Tode modden, dann haben wir damit ja auch nichts gewonnen. Da können wir ja dann genausowenig einfach automatisiert Updates einspielen wie jetzt, mit dem Unterschied, dass uns dann sämtliche neuen Sicherheitslücken richtig wehtun, wohingegen wir die meisten uns bekannten Lücken hier schon zugedreht haben in jahrelanger Kleinarbeit.

    0
  • B

    SideWinder schrieb:

    Ich glaube nicht, dass die Auswahl an Forensoftware in diesem Bereich so groß ist, als dass man hier nman nicht zutrauen könnte schon jede zu kennen 🙂

    Ich dachte da schon an eine Anpassung, die nman nach all der Arbeit auf diesem alten phpBB-Lastesel vermeiden möchte. Heutige PHP-CMS scheinen mir deswegen verlockend zu sein, weil man die benötigten Module unabhängig von dem System entwickeln und das System selbst leichter updaten kann. (Zumindest wäre es in diesem Fall meine Hoffnung. :)) Aber das Problem sehe ich schon:

    nman schrieb:

    Hm, ich glaube ehrlich gesagt, dass Du Dir das etwas zu einfach vorstellst. Ja, wir haben hier ein Forum voller Programmierer. Und nein, die allermeisten haben nicht die Zeit und/oder Fachkenntnisse bzw. Lust, hier unentgeltlich sicherheitskritische Software zu schreiben.

    Das vernichtet offiziell meine Traumwelt. Schade. Denn wäre es anders, ließe sich die viele Arbeit am neuen System auf Dauer bezahlt machen, oder?

    Edit: Quote-Fehler beseitigt.

    0
  • A

    Naja, wer von Forum benutzt, das mit PHP kreiert wurde, ist selber schuld. 😃
    Da PHP von Haus aus viel Mist zulässt, ist die meiste PHP-Software pure Frickelei, von Wiederverwendbarkeit ganz zu schweigen. Nur die wenigsten können mit PHP gute Software bauen, und PHPBB ist definitiv keine.

    0

  • Ad aCTa schrieb:

    Naja, wer von Forum benutzt, das mit PHP kreiert wurde, ist selber schuld. 😃
    Da PHP von Haus aus viel Mist zulässt, ist die meiste PHP-Software pure Frickelei, von Wiederverwendbarkeit ganz zu schweigen. Nur die wenigsten können mit PHP gute Software bauen, und PHPBB ist definitiv keine.

    solche aussagen nützen niemandem.
    altlasten sind nicht mit allgemeinplätzen zu verändern.

    0
  • R

    ich denke, wenn marc++us schon sagt "wieso glaubt Ihr eigentlich alle, daß die Lücke im phpBB war?" sollte das ein hint sein, dass es an etwas anderem lag, vielleicht eine apache luecke, oder ftp server exploit, oder ...

    PHPBB jetzt blind die schuld zu geben wird irgendwie die situation nicht bessern.
    vertrauen wir einfach der security through obscurity 🙂

    @nman, 200MB logs pro tag durchzusuchen klingt echt nach nem scheiss job. danke an jeden der uebers WE das forum wiederbelebt hat! 🙂

    0
  • B

    Marc++us schrieb:

    wie hoffentlich schmerzlich bemerkt wurde, war der Server ab dem 26.03. ca. 19:30 bis jetzt 27.03. 23:15 down.

    *g* in der Tat schmerzlich, erst wenn die Seite mal down ist faellt einem auf, wie oft man sie besucht 😃
    Also thx an die Administration 👍

    Was die Ersatz-SW angeht: wenn sich genug Leute hier finden, die aus Langeweile ein OS schreiben, duerfte es doch auch welche geben, die ein Forum aus dem Boden stampfen, oder? 😉 😉 😉

    0
  • R

    Da der Einbruch offenbar recht erfolgreich war, zwei Fragen an die Administration:

    - Gab es Zugriffe auf die interne Userdatenbank?
    - Speichert ihr Passwörter der User irgendwo im Klartext?

    0
  • S

    Registrierter Troll schrieb:

    Da der Einbruch offenbar recht erfolgreich war, zwei Fragen an die Administration:

    - Gab es Zugriffe auf die interne Userdatenbank?
    - Speichert ihr Passwörter der User irgendwo im Klartext?

    phpBB speichert keine Passwörter im Klartext. Wie Sie genau gespeichert werden siehst du im phpBB2-Source 🙂

    MfG SideWinder

    0
  • R

    SideWinder schrieb:

    phpBB speichert keine Passwörter im Klartext. Wie Sie genau gespeichert werden siehst du im phpBB2-Source 🙂

    Das gilt für Vanilla-phpBB. Die Software wurde aber umgebaut - wo, was und wie kompetent, das weiß ich nicht und kann ich mangels Sourcecode auch nicht nachprüfen.

    Deshalb frage ich lieber mal nach.

    0
  • S

    Registrierter Troll schrieb:

    ...
    Deshalb frage ich lieber mal nach.

    Schon klar, war nicht böse gemeint.

    MfG SideWinder

    0
  • N

    Hi,

    Registrierter Troll schrieb:

    Da der Einbruch offenbar recht erfolgreich war, zwei Fragen an die Administration:

    - Gab es Zugriffe auf die interne Userdatenbank?

    Soweit ich das nachvollziehen kann, nicht. Es gab zwei Zugriffe auf die Reverse-Shell, beide Male nicht groß genug für derartiges. Einer der Zugriffe hat die IFrames hinzugefügt, der andere war die Kontrolle, ob die IFrames hinzugefügt wurden, sonst wurde nichts gemacht. Das Ziel der Attacke war nicht die Datenbank.

    - Speichert ihr Passwörter der User irgendwo im Klartext?

    Nein, selbstverständlich nicht.

    Sorry für die Unannehmlichkeiten, uns machen solche Vorfälle auch keinen Spaß, schon alleine aufgrund des dadurch entstehenden Arbeitsaufwands.

    0
  • M

    Registrierter Troll schrieb:

    SideWinder schrieb:

    phpBB speichert keine Passwörter im Klartext. Wie Sie genau gespeichert werden siehst du im phpBB2-Source 🙂

    Das gilt für Vanilla-phpBB. Die Software wurde aber umgebaut - wo, was und wie kompetent, das weiß ich nicht und kann ich mangels Sourcecode auch nicht nachprüfen.

    Deshalb frage ich lieber mal nach.

    Der Teil der Nutzerverwaltung wurde nicht modifiziert und ist Original-phpBB.

    Passwörter werden nicht im Klartext abgespeichert, sondern nur der Hash.

    Der Angreifer konnte sich nach unserem Kenntnisstand keinen Zugriff auf die Datenbank selbst verschaffen, die Aktion blieb im Vorfeld der Scripte liegen.

    Der Angreifer hatte wohl die Plazierung seines Schadscripts als wichtiger angesehen, es ging ihm nicht um einen Datenbankabzug.

    0
  • R

    Danke für die Info!

    0
  • N

    Ad aCTa schrieb:

    Naja, wer von Forum benutzt, das mit PHP kreiert wurde, ist selber schuld. 😃

    Tja. Danke für den tollen Hinweis. Wirf mal Deine Zeitmaschine an und schick dem c++.de von 2002 gute Forensoftware die nicht in PHP geschrieben ist.

    Da PHP von Haus aus viel Mist zulässt, ist die meiste PHP-Software pure Frickelei, von Wiederverwendbarkeit ganz zu schweigen. Nur die wenigsten können mit PHP gute Software bauen, und PHPBB ist definitiv keine.

    Ich mag generell kein PHP und bin auch kein Anhänger der "für PHP muss man richtig gut sein"-These. Aber das geht völlig am Thema vorbei, danke trotzdem für die Wortmeldung.

    0
  • E

    Hallo,

    Marc++us schrieb:

    wie hoffentlich schmerzlich bemerkt wurde, war der Server ab dem 26.03. ca. 19:30 bis jetzt 27.03. 23:15 down.

    Wieso eigentlich "hoffentlich"?
    Ja, ich habe dieses Forum "schmerzlich" vermisst. Dieser Schmerz ist für Euch (die Betreiber) natürlich eine Bestätigung der Wichtigkeit und Qualität Eurer Arbeit (dieses Forum am laufen zu halten). Weniger wichtige Seiten vermisst man sicher weniger schmerzlich. Ich hoffe aber trotzdem das es auch andere Dinge hier gibt die Euch als Bestätigung dienen. 😉

    Auch von mir ein herzliches Danke an alle die diese Seite am Leben halten. Ja, die Wichtigkeit merkt man oft erst wenn man etwas "schmerzlich" vermisst.

    Marc++us schrieb:

    Wir schauen mal wie unsere gegenwärtige Gefechtslage aussieht, es ist durchaus möglich, daß in der nächsten Woche noch weitere Downs auftreten.

    Es wäre schön wenn es rechtzeitig einen Hinweis gäbe.

    Blue-Tiger schrieb:

    wenn sich genug Leute hier finden, die aus Langeweile ein OS schreiben, duerfte es doch auch welche geben, die ein Forum aus dem Boden stampfen, oder?

    Du versuchst da Äpfel mit Birnen zu vergleichen. Die OS-Coder sind schon glücklich wenn nicht jeder Startversuch mit Einfrieren des PC endet. 😃
    Im Ernst: natürlich sind bei einem OS ganz andere Herausforderungen zu meistern als bei einer Forum-SW. Die meisten der Hobby-OSe würden einem ernst gemeinten Angriff eines geübten Hackers kaum stand halten, in Linux und Co. stecken sicher tausende Man-Jahre nur um ein ordentliches Maß an Sicherheit und Stabilität zu erreichen. Das kann man von einer Hand voll Hobby-OS-Coder einfach nicht erwarten.
    Um sichere Software zu programmieren, die wirklich unter allen möglichen und unmöglichen Umständen relaxt bleibt, braucht man sehr viel Erfahrung im Bereich der IT-Sicherheit. Um ein OS entwickeln zu können muss man sich sehr gut mit der PC-Hardware auskennen. Erst wenn man beides zusammen packt kommt auch ein sicheres OS bei raus.

    Grüße
    Erik

    0
  • M

    erik.vikinger schrieb:

    Marc++us schrieb:

    Wir schauen mal wie unsere gegenwärtige Gefechtslage aussieht, es ist durchaus möglich, daß in der nächsten Woche noch weitere Downs auftreten.

    Es wäre schön wenn es rechtzeitig einen Hinweis gäbe.

    Wie man heute sehen konnte, ist das unmöglich. Es gab noch einen weiteren versteckten Zugang, der zuvor nicht gefunden wurde, und durch diesen wurden Seiten verändert. In dieser Situation mußte der Server sofort vom Netz.

    0
Anmelden zum Antworten