Spion? Nein, so was!

Gibt's Probleme mit dieser Homepage? Oder Fragen zu diesem Forum? Nur her damit ...!
Antworten
Gast

Spion? Nein, so was!

Beitrag von Gast »

Hallo. Wir sind jetzt purpurn. Genießen Sie! :mrgreen:

Bild

;D 8-) :P ::) :X ;) :-/ :* :O ;D 8-) :P ::) :X ;) :-/ :* :O
Gast

Beitrag von Gast »

Hallo Du Witzeclown!

Da hast Du Dir aber schöne Farben einfallen lassen! Und der Rest, wie die verschiedenen Namen sind auch alle toll, und natürlich auch superwitzig. Könntest Du das nicht auch mal bei mir auf meinen Servern machen?

Gruß
Bill Gates
Benutzeravatar
sissus
Beiträge: 279
Registriert: 03.01.2004, 16:21
Wohnort: Wörthsee

Beitrag von sissus »

Hi Freudendia,

ganz doller Hack. Ächt witzisch ... oder doch nur pubertär?

Egal!

Elmar, hau' bitte rein und administriere zurück zum Besseren ... und vergiß' bitte nicht Tims, Deinen und meinen Usernamen wieder zu reseten.

-Axel
Wer lesen kann UND liest, ist klar im Vorteil !
... z.Bsp. die BayWotch-Hilfe, die FAQ und auch das Forum hier ...
auch wenn's nervt oder gar schmerzt. Lesen bildet :-)
Borkumer
Beiträge: 1443
Registriert: 03.01.2004, 17:27
Wohnort: Borkum
Kontaktdaten:

Beitrag von Borkumer »

Hallo!

Laßt es doch so! Ich doch auch schön! ;D

Aber mal im Ernst!

Wer weiß, wie das Passwort bei phpBB2 generiert wird, kann einen Suchlauf mit dieser verringerten Zahl von Möglichkeiten versuchen, um sich als Admin einzuloggen. Das geschieht auf der Oberfläche des Forums. Danach erscheint ein Button um in den Admin-Bereich zu wechseln. Ab dann wird es ganz leicht. Als aktiver Admin ein neues Passwort beantragen um den echten Admin auszusperren, um dann im Admin-Bereich alles durchzuwurschteln. Da geht nur solange es nicht entdeckt wird (dieser Hack wurde am ganz frühen Morgen durchgeführt, damit er nicht sofort entdeckt wird), den auf Serverebene kann der ganze Quatsch vom echten Admin wieder retoure gebracht werden (soweit wie Backups vorliegen).

Der Schwachpunkt hier scheint das Generieren des Passwortes zu sein. Deshalb sollte in kurzen Abständen immer wieder das Passwort gewechselt werden.

Ich habe auch die gleiche Forensoftware auf meiner Homepage im Einsatz und habe, nachdem ich das heute gesehen habe, alle Daten gesichert und die Passwörter geändert! ;D

Mal sehen ob ich demnächst auch eine Überraschung erlebe. :mrgreen:
Gruß

Tim
__________________________
XP Pro; SP3 (werde ohne Not auch nicht wechseln !!)
Benutzeravatar
Daniel
Beiträge: 105
Registriert: 05.01.2004, 11:07
Wohnort: Schweiz

Beitrag von Daniel »

Hallo alle

Ich scheine noch ich zu sein. Ist halt nicht so lustig, das Alias 'Daniel' in 'Peter' zu ändern...

E lmar - ich habe einige Jahre als Internet-Provider gearbeitet und habe ausserdem gute Verbindungen zu einigen Anwälten, die sich auch im Bereich Internet sowie mit Schadenersatzklagen auskennen. Wenn ich Dich beim Trackdown des Hackers technisch oder strafrechtlich unterstützen kann, bin ich gerne dazu bereit. Die Kriminaliät auf dem Internet, sei es durch das Inverkehrbringen von Viren oder durch mutwillige Schadenshinzufügung auf einer Website (Sachbeschädigung) gehört meines Erachtens unerbittlich und erbarmungslos verfolgt, da sie u.a. ein zentrales internationales Kommunikationsmedium angreift.
Gruss
Daniel
-----------------------
Im Anfang war das Wort.
-----------------------
Benutzeravatar
Daniel
Beiträge: 105
Registriert: 05.01.2004, 11:07
Wohnort: Schweiz

Beitrag von Daniel »

Hallo Tim

So, hier ist offenbar der Normalbetrieb wieder hergestellt.

Nun sag' mir aber noch, wie das mit den Passwörtern ist: Wenn ich Dich recht verstehe, sind alle durch die Forumssoftware erzeugten Passwörter potentiell unsicher. Wir müssten also alle unsere Passwörter ändern. Solange wir nicht den Vornamen oder das Geburtsdatum der Hauskatze verwenden, sollte das neue Passwort dann wohl sicher(er) sein. Aber generell sind automatisch erzeugte Passwörter eigentlich sicherer als vom User 'erfundene'. :!: :?: :!:

Zweite Frage: Wenn der lustige Hacker ein User-Passwort knackt, kann er damit mehr anfangen, als im Namen des gehackten Accounts Unfug publizieren? Ich denke nicht, dass er sich so Admin-Rechte erschwindeln kann.
Gruss
Daniel
-----------------------
Im Anfang war das Wort.
-----------------------
Borkumer
Beiträge: 1443
Registriert: 03.01.2004, 17:27
Wohnort: Borkum
Kontaktdaten:

Beitrag von Borkumer »

Hallo Daniel!

Wenn Du Dein Passwort vergessen hast, bekommst Du per Mail von der Forensoftware ein neues Passwort geschickt. Dies ist normalerweise so unberechenbar, dass man es nicht ändert.
Allerdings wird das Passwort softwarespezifisch erzeugt. Wer den Vorgang kennt, könnte selber Passwörter erzeugen und sich damit versuchen einzuloggen. Die Anzahl der Versuche würde damit erheblich verringert. Vielleicht gibt es sogar eine endliche Anzahl von Passwörtern, die vom System erzeugt werden.

Wenn sich jemand als "Denkmann" mit dem richtigen Passwort einloggt, ist er eben der Admin. Er bekommt dann neben dem normalen Bildschirm des Forums noch einen zusätzlichen Button "Adminbereich". Klickt er darauf ist er im Kontroll-Zentrum des Forums und kann alles, was dort an Einstellungen möglich ist, verändern.

Das ist ja auch geschehen. Allerdings hätte dieser Hacker einen viel größeren Schaden anrichten können, z.B. ALLE Einträge und Mitglieger löschen und sogar noch eine Datenbankbereinigung durchführen. Dann wäre alles futsch. Da Elmar aber sicher regelmäßig das Forum sichert, wäre der Schaden überschaubar geblieben.

Der Hacker, der sich in den Admin-Bereich geschummelt hat, hatte es nicht auf totale Zerstörung abgesehen sondern hat sich nur einen Spaß gemacht einiges zu verändern. Das ist aber schon schlimm genug, da Elmar sicher eine längere Zeit damit verbracht hat, alle Einstellungen wieder einzurichten.
Gruß

Tim
__________________________
XP Pro; SP3 (werde ohne Not auch nicht wechseln !!)
Borkumer
Beiträge: 1443
Registriert: 03.01.2004, 17:27
Wohnort: Borkum
Kontaktdaten:

Beitrag von Borkumer »

Nachtrag: Einige Software-Programme werden nur durch die richtige Reg.Nr. freigeschaltet. Deshalb kann man im Internet jede Menge Reg.Nr. Generatoren für das jeweils gewünschte Programm finden.

Ich meine mich entsinnen zu können, das Zufallsgeneratoren, die Passwörter generieren, nach eine gewissen Anzahl von Versuchen immer wieder die gleichen erzeugte, weil die Software eine echte Zufallswahl garnicht zuließ. Deshalb meine Vermutung, dass auch die Forensoftware vielleicht nur einige tausend unterschiedliche Kombinationen erzeugen kann. Und wenn man die der Reihe nach anwendet, kommt man eben ins System rein .

Außerdem ist es auch möglich, das Forensystem dazu zu bringen ein neues Passwort per Mail zu verschicken. Wenn diese Mail dann mitgelesen werden könnte und auch der Freischaltcode ans System zurückgeschickt wird, hätte man auch einen Zugang.
Gruß

Tim
__________________________
XP Pro; SP3 (werde ohne Not auch nicht wechseln !!)
Benutzeravatar
Daniel
Beiträge: 105
Registriert: 05.01.2004, 11:07
Wohnort: Schweiz

Beitrag von Daniel »

Hallo Tim

Danke für die Ergänzungen.

Bezüglich Zufallsgeneratoren: Da kommen mir Erinnerungen an meine in finsterer Vorzeit liegenden Programmiererzeiten...
Grundsätzlich gibt es ja in der Computerei überhaupt keinen 'echten' Zufall. Jeder 'Computerzufall' ist ja algorithmisch festgelegt und dadurch schon per Definition nicht 'zufällig'. Man spricht deshalb auch von Pseudo-Zufallsgeneratoren, bei denen die Wahrscheinlichkeit der Wiederholbarkeit erzeugter 'Zufallsdaten' allerdings ziemlich gering ist. Wenn man als Programmierer eines Passwort-Erzeugungsprogramms aber nicht aufpasst, kann man Befehle für 'wiederholbare' Zufallsreihen verwenden. Dann sind natürlich die erzeugten Passwörter nichts wert. (Wiederholbare Zufallsreihen kann man u.a. in der Statistik gut brauchen).

Aber ich schliesse hier diesen Exkurs ab. Sonst werden wir da noch philosophisch ;)
Gruss
Daniel
-----------------------
Im Anfang war das Wort.
-----------------------
Benutzeravatar
Daniel
Beiträge: 105
Registriert: 05.01.2004, 11:07
Wohnort: Schweiz

Beitrag von Daniel »

Ach - und auch noch ein kleiner Nachtrag: wegen Deiner Bemerkung zur Höhe des Schadens. Meines Erachtens macht es keinen Unterschied, ob der Hacker alles gelöscht oder nur vieles verändert hat. Der potentielle Gesamtschaden ist grosso modo derselbe, da durch die vollständige Zerstörung nur der kleinste Teil der Schadenssumme betroffen ist, nämlich die Wiederherstellung des Forums selbst. Es gibt zur Schadensbemessung aber noch viele andere Aspekte. Ich habe im anderen Thread meine Gedanken dazu niedergeschrieben.
Borkumer
Beiträge: 1443
Registriert: 03.01.2004, 17:27
Wohnort: Borkum
Kontaktdaten:

Beitrag von Borkumer »

Hallo!

Im Moment scheint es Volkssport zu sein Foren zu (h)(kn)acken!

Mit "phpbb forum hackerangriff" googeln, bekommt man zig Berichte, in denen dies berichtet wird.
Gruß

Tim
__________________________
XP Pro; SP3 (werde ohne Not auch nicht wechseln !!)
Antworten