Board gehackt

[Kreuvf]

Wie gestern ja auf der Seite zu lesen war, wurde das Board gehackt. Es handelte sich dabei um einen Fehler in der von Warzone2100.de verwendeten Boardsoftware. Der Angreifer erstellte sich einen Account und lud ein präpariertes Bild hoch, über welches er PHP-Code ausführen konnte. Dies erlaubte dann Zugriff auf sämtliche auf board.warzone2100.de gespeicherten Inhalte. Der Angreifer hat offensichtlich nicht sauber gearbeitet, da er die falschen Dateien mit seinem Code infizierte, weshalb dies auch erst relativ spät auffiel.

Der direkt entstandene Schaden ist erhöhter Traffic und verseuchte Skripte. Da es aber wie gesagt ausschließlich die falschen Dateien getroffen hat, dürfte die Gefahr gebannt sein. Simplemachines.org ist derzeit nicht erreichbar, wahrscheinlich wenden sich überaus viele besorgte Webmaster an die Herstellerseite, um Support zu erhalten.

Da die Boardsoftware mangels Update nicht verändert wurde, besteht die Sicherheitslücke weiterhin. Um eine Ausnutzung dieser auszuschließen, sind vorübergehend folgende Dinge im Board geändert:

• Dateiupload nicht mehr möglich
• Avatarupload/Verlinkung auf externes Bild nicht mehr möglich

Da der Angreifer auf alle Dateien Zugriff haben konnte, hat er auch die Verbindungsdaten für die Datenbank einsehen können. In der Datenbank sind neben den Beiträgen auch Nutzerinformationen gespeichert. Das Passwort ist nicht im Klartext gespeichert, sondern als Hash-Wert, weshalb das Passwort nicht per se sofort "geknackt" ist. Da man aber zufällig Passwörter generieren kann, ist es als wahrscheinlich anzusehen, dass in entsprechenden Tabellen bereits entsprechende Hash-Passwort-Kombinationen gespeichert sind.

Warzone2100.de empfiehlt es daher allen Nutzern ausdrücklich das Passwort zu ändern. Diese Information wird auch heute noch via Mail an alle Nutzer rausgehen. Vielleicht mache ich mir dann aus Spaß mal in einer Woche die Mühe und erhebe wie viele Nutzer denn tatsächlich einen neuen Hash in der Datenbank haben im Vergleich zu jetzt

Da so ein Hack der Super-GAU schlechthin ist, möchte ich mich bei allen Nutzern für die Unannehmlichkeiten entschuldigen.

[Black NEXUS]

Du kannst ja nix dafür, ist aber auch nicht das erste Mal gewesen

Fakt ist, wie haben diese Lücke schon mit der Version 1.1.6 erkannt und dies umgehend bei Simple Machines gemeldet, ich dachte eig., dass man jetzt keine Shell PHP Dateien (c99) mehr ausführen kann. Wir hatten das damals eher zufällig endeckt, als wir am herumexperimentieren waren, konnten das aber auch gleich fixen.

Fakt ist, viele Websiten sind gefährdet, man kann diese Dateien ohne Probleme hochladen, aber zum Ausführen brauch man spezielle Rechte.

Also Kreuvf, es ist wirklich Mist, was hier abgelaufen ist, hoffentlich hast du irgendwelche Spuren, die zu verwenden kannst!

[Kreuvf]

Du kannst ja nix dafür, ist aber auch nicht das erste Mal gewesen

Doch, mit SMF ist es das erste Mal. Und es muss das letzte Mal bleiben.

Fakt ist, wie haben diese Lücke schon mit der Version 1.1.6 erkannt und dies umgehend bei Simple Machines gemeldet, ich dachte eig., dass man jetzt keine Shell PHP Dateien (c99) mehr ausführen kann. Wir hatten das damals eher zufällig endeckt, als wir am herumexperimentieren waren, konnten das aber auch gleich fixen.

Wir? Gibt's da Quellen zu, würde dann gerne was drüber schreiben. Und was meinst du mit "keine Shell PHP Dateien (c99)"? Und wenn ihr es fixen konntet, warum habt ihr den Patch dann nicht an befreundete Webmaster als Mod verteilt?

Fakt ist, viele Websiten sind gefährdet, man kann diese Dateien ohne Probleme hochladen, aber zum Ausführen brauch man spezielle Rechte.

Was für spezielle Rechte?

Also Kreuvf, es ist wirklich Mist, was hier abgelaufen ist, hoffentlich hast du irgendwelche Spuren, die zu verwenden kannst!

IP kommt aus "LATVIA" (Lettland), habe auch keine Lust das zu verfolgen. Der Grund ist ganz simpel: Technisch betrachtet hat der "Hacker" (war vielleicht Script-Kiddy?) nichts Unrechtes getan, die Software hat das gestattet. Eine Rechtssprechung, die solche Leute verurteilt, spricht IMHO kein Recht. Das ist auch der fundamentale Unterschied zu einem Wohnungseinbruch: Dort ist eindeutig vorher geklärt, dass der Einbrecher nicht rein darf, weil es entsprechende Schutzmaßnahmen gibt, hier jedoch ist alles nur so weit erlaubt wie es die Software zulässt. Und die hat eben zugelassen, dass ein Bild hochgeladen wird und dieses PHP-Code enthält und dieser ausgeführt wird. Das ist so wie die Dungeons in Zelda: Es ist immer so gemacht, dass irgendwo noch ein kleiner Schlüssel versteckt ist, sodass man garantiert durch das Dungeon kommt. Nur, dass die Software halt nicht immer noch irgendwo einen kleinen Schlüssel versteckt haben sollte.

[Black NEXUS]

Ja bei den Leuten wo ich früher war, hatten auch SMF Board, wir haben damals dass an die geschickt und haben dann ne Dankmail bekommen, aber wie es scheint, hat sich nix getan. Ob es da noch weitere Quellen bei SMF gibt, weis ich nicht.

Nun gut, dass mit der IP ist schon Mist, leider. Den Rest muss man ja nicht öffentlich erklären, soll ja nicht jeder mit sowas ankommen

[Kreuvf]

Den Rest muss man ja nicht öffentlich erklären, soll ja nicht jeder mit sowas ankommen

Ich bin ein Freund des full disclosure, von daher habe ich nichts dagegen

[Jomelo]

Ich Programmier selber Webseiten. Bei den Passwörtern mach ich das auch so das ich die Werte mit einem Hash speicher, nur ist es nicht der reine md5 hash. Jede Seite bekommt bei der Installation noch einen Schlüssel der nur für die Seite gilt und nicht in der Datenbank und nicht in der Haupt-Config-Datei gespeichert wird.  Diesen Schlüssel verschlüssel ich mit dem eigentlichen Passwort zu einem neuen Hash.   
Somit ist es nicht mehr möglicht mit vorhandenen Rainbow-Tabellen die Passwörter zu entschlüsseln und niemand fertigt für eine (nicht) wichtige Seite neue Rainbow-Tabellen an. Vielleicht gibts ja auch so eine Erweiterung für SMF.

[Mr. Anderson]

…hier jedoch ist alles nur so weit erlaubt wie es die Software zulässt. Und die hat eben zugelassen, dass ein Bild hochgeladen wird und dieses PHP-Code enthält und dieser ausgeführt wird.…

Von Deiner Denkweise darf sich unsere Politik was abschneiden.

[Black NEXUS]

@Jomelo

Dies ist alles sehr schön, aber wenn man die Datei einmal ausführen kann, ist es eh zu spät, da man dann die Kontrolle über den Root erlangen kann. Hast anscheinend noch nie wirklich was mit solchen Dateien zu tun gehabt

[Jomelo]

Vermutlich zum glück. Aber es wäre mal interessant zu wissen wie die genau funktionieren und was ich dagegen machen kann.

[Black NEXUS]

Nun ja, es ist im Prinzip ne normale PHP Datei, welche man auf den Zielhost hochläd und ausführt. Aber viele sind gegen normale PHP Dateien abgeschirmt, also tarnt man diese als Bild, JPG oder so, dann läd man diese hoch und führt sie aus. Auch hier sind nicht bei allen gesagt, dass es ausgeführt wird.
Schau einfach bei Google, ich möchte und kann hier nicht solche Infos preisgeben, weil es doch schon was für Profis ist und weil man dann noch viel Mist mit anstellen kann, aber der Hauptgrund, es gehört nicht zum Thema, wir schweifen ab

[MartinX3]

Also Kreuvf, es ist wirklich Mist, was hier abgelaufen ist, hoffentlich hast du irgendwelche Spuren, die zu verwenden kannst!

IP kommt aus "LATVIA" (Lettland), habe auch keine Lust das zu verfolgen. Der Grund ist ganz simpel: Technisch betrachtet hat der "Hacker" (war vielleicht Script-Kiddy?) nichts Unrechtes getan, die Software hat das gestattet. Eine Rechtssprechung, die solche Leute verurteilt, spricht IMHO kein Recht. Das ist auch der fundamentale Unterschied zu einem Wohnungseinbruch: Dort ist eindeutig vorher geklärt, dass der Einbrecher nicht rein darf, weil es entsprechende Schutzmaßnahmen gibt, hier jedoch ist alles nur so weit erlaubt wie es die Software zulässt. Und die hat eben zugelassen, dass ein Bild hochgeladen wird und dieses PHP-Code enthält und dieser ausgeführt wird. Das ist so wie die Dungeons in Zelda: Es ist immer so gemacht, dass irgendwo noch ein kleiner Schlüssel versteckt ist, sodass man garantiert durch das Dungeon kommt. Nur, dass die Software halt nicht immer noch irgendwo einen kleinen Schlüssel versteckt haben sollte.
[/quote]

Du meinst es also so:
Ein Einbrecher weiss, dass du einen Ersatzschlüssel unter der Fußmatte versteckst. Dann wartet er bis du außer Haus bist, nimmt sich den Schlüssel, geht ins Haus und räumt es leer.
Ist er deswegen kein Einbrecher mehr nur weil es im die gegebenen Zustände erlaubt haben. Heißt dass Urteil dann, dass der Einbrecher nicht belangt werden kann sondern der Hausbesitzer sich einen "Erfahrungs-Patch" holen soll und keinen Zweitschlüßel mehr irgendwo verstecken sollte?

[Doom3]

Wenn meit ihr doch nicht mich oder doch.
Ich werde das bild endern.

[evox]

Frage mich eigentlich warum die ganz stinknormalen normalen AVA auch geflogen sind ?

Ist auch nicht das das gelbe von EI ! Die Vorgaben ..... LOOOOOOOL

Eine Text Datei kann man sehr schwer ausführen und wenn die richtigen Ordner Rechte gesetzt sind schon mal gar nicht ! ~ Stichwort: NOEXEC auf UPLOAD Ordner

Gruss

[Kreuvf]

Ein Einbrecher weiss, dass du einen Ersatzschlüssel unter der Fußmatte versteckst. Dann wartet er bis du außer Haus bist, nimmt sich den Schlüssel, geht ins Haus und räumt es leer.
Ist er deswegen kein Einbrecher mehr nur weil es im die gegebenen Zustände erlaubt haben. Heißt dass Urteil dann, dass der Einbrecher nicht belangt werden kann sondern der Hausbesitzer sich einen "Erfahrungs-Patch" holen soll und keinen Zweitschlüßel mehr irgendwo verstecken sollte?

Nein, das ist der Punkt, an dem mein Vergleich hinkt

[Black NEXUS]

Frage mich eigentlich warum die ganz stinknormalen normalen AVA auch geflogen sind ?

Ist auch nicht das das gelbe von EI ! Die Vorgaben ..... LOOOOOOOL

Eine Text Datei kann man sehr schwer ausführen und wenn die richtigen Ordner Rechte gesetzt sind schon mal gar nicht ! ~ Stichwort: NOEXEC auf UPLOAD Ordner

Gruss

Siehst doch, dass man es machen kann, ich weis, dass der Ordner normalerweise geschützt ist, aber manches kann man halt umgehen. Außerdem ist dies keine Textdatei gewesen, sondern eine getarnte PHP Datei.