Zweifacher Hackangriff auf Forenseiten

Nachdem erst kürzlich ein Hackangriff auf die Seite phpbb2.de erfolgte, wurde
jetzt auch das Support-Forum von Woltlab gehackt. Soweit ich weiß, wurden
allerdings nur Forenpasswörter, private Nachrichten und interne Daten gestohlen,
welche nun auf einer Hacker-Seite zum Verkauf angeboten werden. Mitgliederbereichs-Daten
und Lizenz-Daten sind nicht betroffen. Das ganze funktionierte, weil ein Hacker das Passwort
eines Administrator kannte; warscheinlich hatte er eine andere Seite gehackt, wo der Admin
das gleiche Passwort angegeben hatte.

Irgendwie hört sich das nicht nach Zufall an … zwei Forenseiten gehackt innerhalb
einer Woche? Ich finde das schon bedenkenswert :neutral_face:
Zum Glück lag es nicht an einer Lücke in der Forensoftware.

Hmmm, kann man den als Administrator die Passwörter Ihrer Mitglieder ersehen. Ich dachte bis heute, das dieses nicht möglich ist, da diese verschlüsselt werden. Obwohl man ja solche verschlüsselungen bestimmt auch knacken könnte :ps:

Du hast da was falsch verstanden.
Es hat jemand das Passwort von einen Administrator herausgefunden. Und so hat derjenige ein Dump von der kompletten Foren Datenbank gemacht.

Die Passwörter von den Usern sind nicht einsehbar, da sie stark verschlüsselt in der Datenbank liegen.

Hier ist der Orginal Beitrag: http://www.woltlab.de/forum/index.php?page=Thread&threadID=129164

Ok, jetzt sehe ich klarer - Danke

Das Mail bekam ich Von WoltLab GmbH
Sehr geehrte Damen und Herren,

wie uns gemeldet wurde, hat ein Hacker sich Zugang zur Datenbank des WoltLab Supportforums verschafft und davon eine komplette Sicherung der Datenbank erstellt. U.a. wird z.B. bei Heise gemeldet, dass der Hacker diese Datenbank in einem Hacker-Forum zum Verkauf anbieten würde.

Soweit wird das bisher recherchieren konnten, kannte der Hacker das Passwort eines Administrators und konnte sich so Zugang zur Administrationsoberfläche verschaffen. Wir vermuten, dass der Hacker das Passwort des Administrators über den Hack einer anderen Seite, wo das gleiche Passwort verwendet wurde, erfahren hat. Es handelt sich also nicht um einen Fehler in der Forensoftware.

Folgende Daten wurden beim Einbruch gestohlen:

  • Daten der registrierten Nutzer im Supportforum (E-Mail-Adressen, verschlüsselte Passwörter)
  • Beiträge aus internen Bereichen
  • Private Nachrichten
  • Daten aus dem Ticket-Support (die Nutzer des Ticket-Supports werden von uns separat angeschrieben)

Wer vertrauliche Zugangsdaten in internen Beiträgen, privaten Nachrichten oder im Ticket-Support angegeben hat, sollte diese umgehend ändern. Nutzer-Passwörter müssen nicht geändert werden, da diese mit einer wirkungsvollen Verschlüsselung gespeichert waren.

Folgende Daten wurden beim Einbruch nicht gestohlen:

  • Mitgliederbereichszugangsdaten
  • Lizenzzugangsdaten

Wir haben bereits Strafanzeige gegen den Hacker gestellt. Gleichzeitig haben wir die Sicherheitsmaßnahmen nochmals verschärft, sodass wieder ein sicherer Betrieb möglich ist und sich ein solcher Verfall nicht wiederholen wird.

Mit freundlichen Grüßen,
Marcel Werk
Geschäftsführer WoltLab GmbH

Ich hoffe es hat keine grossen folgen…
und ich hoffe das der Hacker geschnappt wurde…

MfG

die haben doch nichtmal meine ip :ps:

Gestern wurde unser Portal Ziel eines Angriffes von außen. Den Tätern gelang es, ein Backup der Datenbank zu ziehen. Dieses beinhaltet die Benutzernamen, E-Mail-Adressen und die verschlüsselten Passwörter unserer Mitglieder. Wir müssen derzeit davon ausgehen, dass die so erbeuteten Daten in Umlauf gebracht werden.

Genaueres können wir derzeit aus ermittlungstechnischen Gründen noch nicht mitteilen. Wir werden Strafanzeige stellen, da nicht nur wir, sondern auch andere Foren scheinbar auf gleichem Wege angegriffen wurden, unabhängig von der verwendeten Software. Hier spielten verschiedene Faktoren zusammen.

Für euch bedeutet dies leider:

  • Ändert euer Passwort im SMFPortal.de sowie auf allen anderen Seiten, wo ihr das gleiche Passwort benutzt.
  • Wurden Zugangsdaten (FTP, Datenbank, Adminzugang) per PM weitergegeben, solltet ihr diese ebenfalls zur Vorsicht ändern.
  • Rechnet mit erhöhtem Spamaufkommen auf den hier genutzten E-Mail-Konten.

Wir entschuldigen uns vorab bei unseren Mitgliedern. Wir können euch dies erst jetzt mitteilen, da wir zunächst eventuelle Angriffsmöglichkeiten eroieren und absichern mussten. Bestimmte Funktionen können derzeit nicht in gewohntem Umfang freigegeben werden, wir bitten um Nachsicht. Weitere Informationen werden wir zeitnah veröffentlichen.

smfportal.de/index.php/topic,2832.0.html

Das wär dann Nummer 3… :motz:

[size=150]WTF?!?![/size]

Ein Zufall ist aber ziemlich unwahrscheinlich 3 Gehackte Supportforen für forensoftware?!?

Was denkt ihr?

hi,

hm…also es verunsichert mich schon einwenig. das sind unterschiedliche forensysteme auf unterschiedlichen servern, alle admins wussten sofort davon, dass eingebrochen wurde - woher eigentlich? die checken ja wohl nicht jeden tag alles durch - und sie wussten genau, was gestohlen wurde.

die einzige gemeinsamkeit unter diesen systemen wird wohl mysql und php sein - vielleicht ists ja eine solche lücke, die nicht öffentlich bekannt ist. in dem fall wär das schon problematisch, vielleicht ist dann ja auch phpbb3 (dieses forum) anfällig, andererseits wärs interessant zu wissen, ob bei diesen betreibern auf den servern nicht php4 im einsatz war, was erklären würde, warum bisher keine phpbb3-systeme (weil die wohl eher auf 5 setzen) betroffen sind.

mit der letzten lücke, mit der ich mich in php rumgespielt habe, hab ich die kontrolle übern webserver (mit rechten des webservers) bekommen können…

ciao

[quote=„michi1234“][size=150]WTF?!?![/size]

Ein Zufall ist aber ziemlich unwahrscheinlich 3 Gehackte Supportforen für forensoftware?!?

Was denkt ihr?[/quote]

Ja, so gesehen finde ich das auch äusserst ominös… :whata:

[quote=“michi1234”][size=150]WTF?!?![/size]

Ein Zufall ist aber ziemlich unwahrscheinlich 3 Gehackte Supportforen für forensoftware?!?

Was denkt ihr?[/quote]

An einen Zufall glaube ich nicht wirklich…aber ich sehe irgendwie kein Grund für solche Hackattacken. Was bringen dem Hacker die Daten die er jetzt hat? Kann bisschen Spam verteilen per E-Mail mehr aber auch nicht. Sogesehen relativ unötige Aktion aber würde mich schon intressieren wie die in die Systeme reinkommen…

Also Miro schön aufpassen das wir verschont bleiben :smiley:

Ein zuverlässiger Admin überprüft eigentlich regelmäßig die Logs, aber ein
bisschen fragwürdig ist das schon.

Lol, Geld bringen die. Die jeweiligen Communitys haben bestimmt alle
so über 1000 Mitgliedern - Leute zahlen für deren Daten jede Menge
Geld. Ist ja ideal für Werbezwecke.

Jetzt sind es schon 3 … das ist ganz klar kein Zufall mehr!

Laut heise.de war das jedes Mal der selbe Täter (Trada). Der muss ziemlich geschickt sein; laut eigener Angabe benutzt er keine Exploits, sondern erschleicht sich einfach irgendwie ein Admin-Passwort. Ganz schön gerissen. :whata:

Zum Glück war ich nur bei phpBB.de angemeldet. Mein Passwort dort habe ich vergessen (ergo ist es unwahrscheinlich, dass ich es irgendwo sonst benutze) und meine Email war „nobody@example.com“. Glück gehabt. :slight_smile:

Stimmt nur zum Teil. SMF und WBB speichern die Passwörter als salted hashes, während phpBB einfach MD5 verwendet. MD5 kann man heutzutage fast zu leicht „entschlüseln“, besonders kurze Strings wie Passwörter. :neutral_face: Kennt ihr John the Ripper?

[quote=„TrekWork“]Die jeweiligen Communitys haben bestimmt alle
so über 1000 Mitgliedern[/quote]
Im Moment wird die „Beute“ von Trada auf ca. 125,000 Datensätze geschätzt…

Das gibt ne Menge Geld …

knacken kann man grundsätzlich alles … die frage is nur wie groß der aufwand ist und ob man bereit ist so viel aufwand zu betreiben …

naja, da sag ich jetzt spontan mal folgendes dazu: als ich mich hier angemeldet haben habe ich ja eine bestätigungsmail bekommen mit meinem benutzernamen und meinem passwort in KLARTEXT …

wenn es möglich ist das passwort für eine mail zu entschlüsseln und als klartext zu senden müsste es für den admin doch auch ohne probleme möglich sein dieses passwort anzusehen oder ???

hi,

nein, das passwort wird während der eingabe und der verschlüsselung in die db noch im klartext behalten, sobald die mail raus ist und das script beendet ist, ist damit auch das passwort nicht mehr im klartext vorhanden.

ciao

Moin,

ist das Passwort einmal in der Datenbank als Hash gespeichert würde nur noch BruteForce funktionieren. Hat man die Datenbank lokal und kann mit einem geeigneten Programm (im Notfall selber geschrieben, ist ja kein Ding) einfach ein paar Passwort Listen drüber laufen lassen, wird man wohl auf 60% der Passwörter kommen.

Was aber nicht am MD5 oder prinzipiell am Hash liegt, sondern einfach daran, dass Nutzer generell nicht kreativ genug sind, sich ein ausreichend sicheres Passwort zu zulegen. Dazu kommt wie angesprochen auch die Tatsache, dass Nutzer generell faule Individuen sind und häufig das selbe Passwort mehr als einmal nutzen.
Nimmt man nun einen Admin, der das öfters macht, und dazu zwecks dem Wiedererkennungswert auch noch den selben Nick hat, verrät einem Google auch gleich noch wo man mal aufn Busch klopfen kann.

Das hat also nix mit Zufall zu tun, oder Unsicherheit von Forensystemen, in dem Fall wirds einfach Unfähigkeit eines Admins sein. Oder man hat sich zerstritten und einer hat einfach “mitgenommen” wovon er der Meinung war, es gehöre ihm.

Das schädlichste an der Sache sind nur die nun bekannten EMail Adressen. Nagut, wer ein 0815 Passwort hatte und das auch noch öfter benutzt, sollte sich eher Gedanken machen und vielleicht mal die restlichen ändern :wink:

Greez

hi,

na dann sei mal froh, dass die passwörter im bplaced-system (das ja weitaus mehr benutzer verwaltet als das forum hier) über ein gaaaanz :smiley: besonderes system verfügt, dass es absolut unmöglich macht, an das passwort zu gelangen.
rechenzeiten von einigen milliarden jahren auf meinem system und über 60*10^16 verschiedene hash-möglichkeiten haben hier meine berechnungen ergeben :ps:

:bp:

ciao

Als ob jemals jemand an dir und deinen Fähigkeiten als Serveradmin gezweifelt hätte miro :slight_smile: Was aber anscheind die generelle Möglichkeit, erstmal an den Dump zu kommen nicht auschließt wenn ich dich richtig interpretiere… :smiley: :smiley:
Das er keinem was nützt, zumindestens wenns um die Passwörter geht, ist ja erstmal ne andere Sache G