FC ist (mal wieder) gehackt worden

[Netzwanze]

Das waren keine Hacker. Hacker sind Profis. Das hier waren sogenannte Skriptkiddies. Diese laden sich aus gewissen Quellen fertige Programme, schreiben ihren Namen rein und starten sie. Die Programme sichen sich selbstständig verwundbare Server und zerstören diese. Defacement, nennt sich das. Und solche defacements werden in einschlägigen Foren gesammelt. Das unmögliche daran ist, dass diese Kiddies keinerlei Eigenarbeit leisten, sondern sich mit fremden Federn schmücken.

Das Angriffsziel war auch nicht FC, sondern phpBB; also die Forensoftware sowie der eingesetzte Webserver (hier der Apache).

[Pyromir]

Es geht nicht um Zerstörung. In diesen Kreisen will man sich zeigen, wie gut man ist. Abgeschossene Apaches werden wie Trophäen gesammelt.

Wenn diese Leute wirklich gut sind, sich nicht nur an vorgefertigten <Scripten abarbeiten, dann ist die Karriere relativ sicher. Wenn nicht im Sicherheitsbereich, dann in der XXX-Sparte. Wer dort Software entwickelt gehört zu den allerbesten. Die Genies landen noch ganz woanders.

Was soll diese unsinnige Glorifizierung von Vandalismus.

Wer glorifiziert hier Vandalismus? Das kann ich beim besten Willen nicht erkennen.

Was ich mir andererseits auch vorstellen könnte ist, daß sowas durch irgeneinen Virus verursacht wird, der von jemandem unbeabsichtigt eingeschleppt wurde.

Auf einem Webserver? Höchstens, wenn eine von den Admins installierte Erweiterung aus fragwürdigen, nicht verifizierbaren Quellen kommt und entsprechende Scripte mitbringt. Daran glaube ich aber nicht. Nein, das sind schon klare Angriffe von außen. Siehe auch das Theater, welches die Admins im Free Archer heute hatten.

Grüße
Marc

[Marty]

Höchstens, wenn eine von den Admins installierte Erweiterung aus fragwürdigen, nicht verifizierbaren Quellen kommt

Naja, kommen sie ja alle. Das ist ja das Problem. Jeder Kiddie kann einfach ein Add-on für PHPBB schreiben und hochladen. Meistens sind die auch so komplex, dass man da nicht kontrollieren kann was die machen oder ob da Sicherheitslöcher drin sind. Aus dem Grund mache ich sowas auch ab sofort nicht mehr.

[Blacksmith77K]

Ich will nicht die Pferde scheu machen. Aber wer die Seite 'während' des Hack-Banners angeklickt hatte, sollte mit Ad-Aware (...kostenfreies Tool...) die zuox.exe unschädlich machen, die sich in c:\users\XXXXX\appdata\roaming\keeb eingenistet hat/haben könnte!

Habe unten den Hash aufgeführt.

Description: c:\users\XXXXX\appdata\roaming\keeb\zuox.exe Family Name: Trojan.Win32.Generic!BT Engine: 3 Clean status: Success Item ID: 1 Family ID: 0 MD5: 28bf6430662484e82355be7fc16f5a96

[acker]

Hallo,
Es ist doch eine absolut ätzende Ka**ke, da hatte Marty schon soviel geschafft und bums kommt so ein Abschaum daher und macht alles wieder platt .

[Marty]

Warum sollte sich da eine Exe-Datei eingenistet haben? Bei mir ist nichts und ich wüsste auch nicht warum. Außerdem verhindert das die Software-Firewall und mein Anti-Viren-Tool.

@acker: Ja, da gebe ich Dir recht, aber ich sehe sogar in schlechten Dingen manchmal etwas Positives. Ich werde die Finger von Scripten aus dritter Hand lassen und in Zukunft nur noch das installieren, was zum Fortbestand von FC wichtig ist. Alles andere gefährdet FC nur unnötig.

[Genni]

Was macht diese Darei denn?
@Marty: Hatten die das im FreeArchers auch? Was wäredenn so schlimm wenn sie die Daten hätten, dass sie dann nen Bogen bauen könnten oder meintest du die ganze Mail-Adressen?

[Marty]

Was macht diese Darei denn?
@Marty: Hatten die das im FreeArchers auch? Was wäredenn so schlimm wenn sie die Daten hätten, dass sie dann nen Bogen bauen könnten oder meintest du die ganze Mail-Adressen?

Keine Ahnung, von mir kommt die Panikmache ja nicht. :-) Was in Free Archers ist weiß ich auch nicht.

[Blacksmith77K]

Die macht *nix* und keine Panik. Kann man aber mal kontrollieren...

[Genni]

Ups,mein Fehler.
@Pyromir: was war denn Free Archers ?

[Habeljoe]

Was heißt das für den Laien,wenn ich : zuox.exe auf c. nicht finde alles okay?

[Blacksmith77K]

...wenn ad-aware zuox.exe im app ordner nicht findet, JA

[eddytwobows]

@Marty...
Allerbesten Dank ! Haste Superfix wieder hingekriegt !

@Blacksmith
Erklär mal bitte genauer, wie kann der sich (ev.) eingenistet haben, wo sitzt der und was könnte der anrichten... und vor allem wird der von den üblichen Scannern (Avira, Kasper., etc.) erkannt... (bin jetzt zwar nicht 100% sicher, aber ich meine ich hatte mit dem "Generic" schon mal was gehabt, hing irgendwie mit sonnem Internet-Poker Kram zusammen...ist aber schon min. 1 1/2 Jahre her... Datei gelöscht und gut war)

LG
etb

[fennek]

Pyromir und Blacksmith haben es doch schon auf den Punkt gebracht weshalb FC (und ja inzwischen auch FA) gehackt wurden...
Verstehen muss man das nicht, aber es ist doch beruhigend zu wissen, dass die beiden Foren nicht Direkt als Ziel gewählt wurden, sondern die vorhandenen "Lücken" der Grund sind.
Die "abgespeckte" Version die Marty vorgeschlagen hat ist wie ich finde keine Dumme Idee. Je weniger Schnickschnack desto sicherer läuft das ganze...

[Netzwanze]

fA wurde scheinbar angegriffen aber nicht gehackt. So weit kamen die Angreifer (diesmal) nicht.
Sie haben scheinbar mit geballter Kraft versucht, den Webserver zum Abstürzen zu bringen und somit einen Zugriff zu bekommen.
Der Webserver hat aber nicht so reagiert, wie die Angreifer erhofft hatten und hat einfach dicht gemacht.

Falls es der Webserver (Apache) war, der angegriffen wurde, liegt es nicht an irgendwelchen Lücken in der Forensoftware.

Zumindest ist mir im fA auf die Schnelle nichts aufgefallen. Ich bin aber noch bei der Logfile-Analyse.
Wenn Marty oder jemand anderes genauere Informationen über den Angriff hat, hätte ich Interesse etwas dazu zu erfahren.
Im Gegenzug biete ich auch meine Analysen und Ergebnisse zum Tausch an.
Vielleicht sollten beide Foren zusammen arbeiten und von den Ergebnissen profitieren.

Christian