FC ist (mal wieder) gehackt worden

[Netzwanze]

Wo ich schonmal dabei bin:
Wurde der komplette Server aufgemacht (also Root-Zugang auf Konsole) oder nur der Webspace?
Letzterer wurde dabei komplett gelöscht und durch eigenen "Scheiss" ersetzt?
Wie sieht es mit den Logfiles aus? Wurden die auch gelöscht?
Hat jemand den kompletten Code der Defacement-Seite gesichert?

[Pyromir]

Höchstens, wenn eine von den Admins installierte Erweiterung aus fragwürdigen, nicht verifizierbaren Quellen kommt

Naja, kommen sie ja alle. Das ist ja das Problem. Jeder Kiddie kann einfach ein Add-on für PHPBB schreiben und hochladen.

Ach siehste, wieder etwas dazu gelernt. Bei den Applikationen mit denen ich meist zu tun habe, werden die Erweiterungen von einer Kontrollinstanz getestet.

Wie auch immer: Vielen Dank für das schnelle Einspielen des Backups!

@Pyromir: was war denn Free Archers ?

Dort wurde der Server heruntergefahren, weil eine DDOS-Attacke stattfand. Durch das Herunterfahren wurde der Server aus dem Dauerfeuer genommen und konnte somit nicht unter der Last zusammenklappen. Warum wird so etwas gemacht? Zum Beispiel (Auszug Wikipedia):

- Um vom eigentlichen Angriff auf ein System abzulenken, wird ein anderes System durch einen DoS lahmgelegt. Dies soll dafür sorgen, dass das mit der Administration betraute Personal vom eigentlichen Ort des Geschehens abgelenkt ist bzw. die Angriffsversuche im durch den DoS erhöhten Datenaufkommen untergehen.
- Werden Antworten eines regulären Systems verzögert, können Anfragen an dieses durch eigene, gefälschte Antworten kompromittiert werden. Beispiel hierfür ist das Hijacking fremder Domainnamen durch Liefern gefälschter DNS-Antworten.

Solche Nummern finden bei uns regelmäßig statt (relevante Firma im Bereich Rüstung, die Bösen wollen ins Konzernnetz). Bei einem Forum würde ich eher vermuten, dass es um den Zugriff auf Userdaten geht. Der Verkauf bringt Geld. Oder nur um das Heben des verkorksten Selbstbewusstseins. Alternativ könnte man an alle User hübsch gemachte Mails versenden, werden diese auch nur von einem Bruchteil der User geöffnet, dann hat man hinterher unter Umständen einige weitere Rechner, auf denen Trojaner-Bot-ähnliche Software schlummert. Und diese könnte beispielsweise für einen weiteren DoS oder DDoS-Angriff auf ein anderes System genutzt werden. Alle betroffenen Computer feuern zum Zeitpunkt X Abfragen auf dieses andere System ab um dann dort irgendetwas anzustellen.

Solcherart infizierte Computer werden in der "Szene" gehandelt. Man kann also, falls man unbedingt möchte ein Bot-Netz mieten, und dieses dann machen lassen. Relativ beliebt sind Bot-Netze, die auf die E-Mail-Software des jeweiligen Computers zugreifen, die Adressbücher auslesen und dann, jetzt kommt der fiese Teil, mit dem Absender des arglosen Computerbesitzers Spammails raushauen. Immer wieder und unbemerkt.

Wie gesagt, alles nur Beispiele. Das es die beiden relevanten deutschsprachigen Bogenforen erwischt hat ist wahrscheinlich nur Zufall. Verschwörungstheoretiker sehen das eventuell anders.

Wie auch immer, ich freue mich sehr, dass es wieder läuft.

Grüße
Marc

[Galighenna]

Ich habe mich gestern mächtig erschrocken und wär äusserst verärgert. Ich frage mich auch immer, was solche Leute davon haben, ein Forum wie unseres anzugreifen. Die sollen sich lieber Sachen raussuchen, wo es sich lohnt oder ihre Minderwertigkeitskomplexe durch ein zweites oder drittes Iphone ausgleichen.

Ich schätze, wenn der gesamte Server gehackt wurde, auf dem AUCH FC liegt (und noch einige andere Webseiten) und dieses Per Script/fertigem Hack erfolgt ist, steckt organisierte Kriminalität dahinter(wobei man dann in der Regel dann aber nicht bemerkt, das der Server gehackt wurde), oder, wenn NUR FC gehackt wurde, war es wahrscheinlich ein idiotisches pubertäres Script-Kiddie...
Es gab z.B. auch Schreibfehler auf der gehackten Seite etc.. und das sah nach Angeberei aus. Auch das Löschen der Daten spricht für so jemanden.
Ich kenne mich mit Serversicherheit leider nicht sooo gut aus und 100% Sicherheit gibt es nie. Aber ich habe den Eindruck, das es anscheinend schon lange Sicherheitslücken gibt. Immerhin ist es auffällig das es schon das dritte oder vierte Mal ist, das sowas passiert. Interessant wäre jetzt erstmal, raus zu bekommen auf welchem Weg der server gehackt wurde. Und: wurde der gesamte Server des Providers gehackt, oder nur die Seite FC? Ausserdem muss man doch irgendwie rausbekommen können über welche Lücke der Angriff erfolgt ist.
Wenn noch was von den Spenden/Daueraufträgen übrig ist, könnte man ein wenig davon zusammensparen oder so, und dann mal nen Profi die Seite auf Sicherheitslücken checken lassen. Manchmal sind das total banale Dinge die man mit einfachen Mitteln abstellen kann.

Ich hoffe Marty, das jetzt hier kein so großer schaden angerichtet wurde, und das man sich trotzdem bald auf eine Galerie freuen darf. Die wäre wirklich wichtig und lange ersehnt.
Aber FC lässt sich durch sowas nicht in die Knie zwingen.

EDIT:

@Netzwanze
Das ist eine sehr gute Idee. Die Tatsache, das FC UND Fa relative Zeitnah angegriffen wurden, spricht dafür, das es sich um ein Script-Kiddie handelt. Wenn ihr sorgfältig analysiert, was genau passiert ist, und wie der Angriff ablief, besteht eine gute Chance, herauszubekommen auf welchem Wege der Zugriff erfolgt ist. Dann kann man wenigstens diese Lücke dicht machen.

@Genni
Oft werden Server von Websites auch gehackt um an die persönlichen Daten der angemeldeten/registrierten User dort zu kommen. Z.B. Email Adressen oder sogar private Hausausdressen und im schlimmsten Falle sogar Bankverbindungen. Darunter fallen z.B. auch die Inhalte der PMs die hier gesendet werden. Die stehen ja in der Datenbank drinne, und mit einem passenden Filter lassen sich diese sicher auch nach Mailadressen und auch Bankkdaten durchsuchen. Seit jahren schon ist das das Wertvollste gut im Internet und es herrscht ein regelrechter Krieg im Kampf um diese Daten. Da geht es um gigantische Geldsummen, die solche Daten wert sind. Z.B. für den Spamversand, oder für Werbeanrufe werden solche Daten beschafft und Millionenbeträge gezahlt (und Milliardenumsätze erzielt.

[Firestormmd]

Heißt das jetzt, dass alle Dateien (Bilder), die ich hier hochgeladen hatte, weg sind? Ich kotze! Dann werd ich in Zukunft meine Bilder wieder bei Imageshack hochladen. Dort halten sie zumindest 2 Jahre.

Grüße, Marc

[Netzwanze]

Dann werd ich in Zukunft meine Bilder wieder bei Imageshack hochladen. Dort halten sie zumindest 2 Jahre.

Auch nur, wenn dessen Server nicht angegriffen wird.
Obwohl deren Sicherheitsmassnahmen sicherlich ausführlicher sind; schon alleine, weil die viel mehr Geld zur Verfügung haben.

[Lord Elliott]

ich wollte mal fragen, welche add-ons nun nicht mehr installiert werden. bisher wurde nur gesagt das nicht mehr alle kommen werden, bzw ich hatte es so verstanden.
Mich interessieren speziell der chat und das wiki, da ich beides für sehr nützliche und sinnige erweiterung hielt, wird es diese wieder geben?

[Jakob Fugger]

Zuerst mal vielen Dank an Marty für die schnelle Reaktion!
Ich will hier nicht den Klugscheißer markieren, aber ich hab gestern doch nen ordentlichen Sxchreck gekriegt und wollte auf diese zwei Sachen nun hinweisen:
http://forum.chip.de/viren-trojaner-wue ... 00833.html
V.a. auf Seite 2 des Threads, vielleicht hatte der Hacker also gar nicht mal so unrecht, was die Sicherheit angeht...?

Und hier, wie man ein paar Maßnahmen ergreifen kann, um Trojanern (wie den, den Blacksmith gepostet hat) das Leben schwer zu machen^^:
http://forum.chip.de/viren-trojaner-wue ... 68736.html

(Zumal nach dem Hack unschöne Mails in den Mailboxen der FCler landen könnten...PW ändern schadet vielleicht auch nicht )

EDIT: was die Leute davon haben? Selbstbestätigung ("Ich in ja so großartig, seht nur den Schaden, den ich anrichten kann"), eine recht kranke Vorstellung von "Spaß" (Hacken als Hobby), oder kriminelle Motive, vgl. auch die Sicherheitsmaßnahmen, die hängen damit direkt zusammen)

[Marty]

Bitte macht hier nicht so eine Panik. Was im Chip Forum steht ist absoluter Quatsch. Das Fenster tanzte hier rum durch JavaScript. Das kann jeder. Die Hacker sind auch nur auf FTP-Ebene reingekommen, denn alle Datenbanken waren noch da. Das bedeutet auch, dass sie keine Passwörter und keine Mailadressen haben. Allerdings "sollte" man nach so einem Hack immer sein Passwort ändern.

[Pitty1987]

Wie ist das eigentlich mit der Sicherheit der User ?
Daten etc ?

[Galighenna]

Nee Panik braucht nun keiner haben. Alles deutet auf einen pubertären Angriff hin und wenn da wirklich böse absichten hinter gesteckt hätten, hätte keiner von uns den Angriff bemerkt...

[Squid (✝)]

Ich hasse pubertäre Angriffe!

[pollux]

Und wie ändert man das Passwort? Im persönlichen Bereich find ich nichts, auch nicht im Portal...
Also ich würd das schon gerne tun, wenn mir jetzt noch jemand sagt, wie das geht.

Ich find das ganze einfach nur ärgerlich, zumal ich ja von den obigen Erklärungen gar nichts versteh, schön sind die Sätze: Man braucht sich keine Sorgen zu machen. Das ist wenigstens verständlich.

[Lord Elliott]

Profil, dort in die registrierungsdetails

[pollux]

Danke sehr, habs gefunden.

[Agroman]

Gut, dass wieder alles im Lot ist. Ich hasse solche Übergriffe...