Forum > Wir haben einen Hacker :(
DOTLAN Intranet / Portal >> Probleme und Fehler > Wir haben einen Hacker :( |
Antwort erstellen |
Autor | Thema: Wir haben einen Hacker :( | ||||
|
|
||||
NEW Clan: N(etwork)-o(stalb)-G(roup) Postings: 12 |
Hallo! Ich schildere mal kurz mein Problem: Wir hatten vor einigen Wochen einmal einen Hackerangriff. Der Hacker (genannt grind) hat sich ein Adminuser angelegt und hat dann ne News verfasst in welcher auf Englisch stand das er hier war. Vor einer Woche hatten wir wieder einen Angriff. Dieses mal hat der Hacker (Wir vermuten mal der gleiche) wieder einen Adminuser angelegt und mir ne PM geschickt in welcher er mich auf Englisch hingewießen hat das ich mein Passwort ändern soll weil er es innerhalb einer Minute hatte. Dazu hat er auch noch mein Passwort geschrieben welches auch Korrekt war. Ich vermute mal das sich der Hacker entweder über unsere Datenbank einen User erstellt hat oder aber durch eine Lücke im Dotlan. (Vielleicht über ein Systemuser oder so). Auf jedenfall weiß er wie man Passwörter auslesen kann weil auf mein Passwort kommt normal niemand! Mfg Matrix ps.: Danke schonmal im Vorraus [Editiert von [NOG] MatrixMan am 04.Jan.2007 um 19:18] |
||||
|
|
||||
NEW Clan: KST-LAN Postings: 418 |
Ich meine mich an einen früheren Post mit ähnlichem Inhalt erinnern zu können. Meine kurze Recherche hat aber nichts zu Tage gefördert, vielleicht benutzt du nochmal die Suchfunktion. Wahrscheinlich kann dir dabei nur Griffon weiterhelfen - vorausgesetzt der Fehler ist in Dotlan und nicht in deiner Konfiguration. Da es ja kein unerhebliches Problem ist, schick ihm doch mal ne Mail, vielleicht geht das ja schneller. Generell: Hast du sämtliche Nutzer gecheckt? Sowohl Dotlan als auch Datenbank. Stimmen als Rechte? Für sämtliche Admins würde ich das Passwort ändern. Nicht zu vergessen der Zugriff via ftp - das Datenbank-Passwort ist in Dotlan im Klartext gespeichert! Also auch dort alles überprüfen. Die Log-Dateien von Apache, mySQL und Dotlan können eventuell auch weiter helfen bei deiner Recherche. Welche Versionen benutzt du jeweils beim Webserver, Dotlan udn Datenbank? Unter Umständen (wenn du eine veraltete Version benutzt) hat sich der Angreifer einer bekannten Lücke bedient? Klar, wenn du nicht gerade einen Root-Server hast ist es schwierig mit Updates, aber denkbar wäre dieses Szenario. Das sind alles sehr allgemeine Tipps. Hoffe es hilft dir gewissermaßen trotzdem |
||||
|
|
||||
NEW Clan: N(etwork)-o(stalb)-G(roup) Postings: 12 |
Danke erstmals für deine schnelle Antwort! Ich werde die Tipps mal an unseren Server Admin weiterleiten und ihn fragen. Die Daten schick ich dir sobald ich sie habe. Wir haben einen ROOT-Server also an den Updates wirds nicht scheitern... mfg Matrix |
||||
|
|
||||
NEW Clan: N(etwork)-o(stalb)-G(roup) Postings: 14 |
Ja leider hatten wir das Problem schon einmal. Ich hatte die ip´s sperren lassen von unserem Anbieter und die Dotlan-software updaten lassen. Danach war bis jetzt ruhe und jetzt taucht dieser "grind" wieder auf. Ich werd mich nochmal versuchen mit Griffon in Verbindung zu setzen.
|
||||
|
|
||||
NEW Clan: dotlan.net Postings: 1252 |
Jupp Danke Bigga. Wenn ein Hacker über DOTLAN selbst eingestiegen ist dann sollte man das in den Logfiles sehen. Dort werden ja URLs mitgeschrieben. Also falls der unwahrscheinliche Fall eintritt das irgendwo eine SQL Injection Möglichwäre müsste man das ja im Logfile sehen. Versuch mal zu verfolgen von welcher IP kam der "Angriff" und als nächstes, was in welcher Reihenfolge hat er versucht aufzurufen. Vielleicht siehst du ja was. Auch gut möglich ist das er vielleicht durch MySQL selbst eingestiegen ist. Vielleicht hier mal die User anschauen und evtl den MySQL selbst auf 127.0.0.1 binden, damit dieser nicht mehr von extern erreichbar ist. Hat vielleicht irgendeiner eurer AdminUser ein zu einfaches Passwort das jemand geknackt hat? Wenn der Hacker den AdminUser über die Weboberfläche angelegt hast kannst du das im DOTLAN eigenem Log sehen. Admin > Logviewer admin_team. Ich hoffe mal nicht das sich derjenige mittels Cross Site Scripting deine Cookies geklaut hat um die Session zu übernehmen. Alles nicht so einfach, die Suche und Bestimmung nach der Fehlerquelle und evtl die Beseitung. [Editiert von Griffon am 05.Jan.2007 um 08:13] |
||||
|
|
||||
NEW Clan: dotlan.net Postings: 1252 |
Ich lese gerade das der Hacker dein Passwort auslesen konnte. Habt ihr die Passwörter im Klartext in der Datenbank gespeichert? Wenn ja solltet ihr überlegen das mal zu ändern. 1) UPDATE user SET passwort=MD5(passwort); 2) config.php umstellen: $global['auth']['method'] = "md5"; Aber vorher sicherlich ein Backup ziehen und das nicht irgendwo rumliegen lassen später :-P |
||||
|
|
||||
NEW Clan: dotlan.net Postings: 1252 |
Ich sehe auf euerer Webseite das ihr schonmal nicht das DOTLAN Forum verwendet, also eigentlich schonmal ein Problem weniger was Cross Side Scripting betrifft weil der User nicht so viele Möglichkeiten hat Content zu posten. Das wird es wohl dann nicht sein. Und da euer externes Forum in einem anderem Ordner Liegt unterscheiden sich auch die Cookie Pfade was also die Möglichkeit zu unterbinden über eine möglich xss schwachstelle des externen forum aus auf die cookies von dotlan zu zu greifen. Das XSS wird es wohlmöglich auch nicht sein. Nunja. Alles wilde vermutungen. Bleibt nur noch die Suche nach der Ursache. |
||||
|
|
||||
NEW Clan: N(etwork)-o(stalb)-G(roup) Postings: 12 |
Also ich hab mal in den Logs geschaut! Bin n bisschen erschrocken! Der Typ hat mit meinem User sich Administrationsrechte gegeben. Folgende Möglichkeiten gibts jez: Entweder hat er mein Passwort herausgefunden (was ich aber nicht glaube weil so einfach ists auch wieder net) Er hats von unserer Datenbank ausgelesen (ich kuck nachher mal obs verschlüsselt gespeichert wird) Er hat meine cookies geklaut Oder er hat mein PC im Griff (bin aber einer von der Sorte wo öfters neuinstalliert) und hat über nen Trojaner mein Passwort vom Firefox geklaut (wobei ich aber hinter Router sitze und Firewall und Virenscanner und alles habe) mfg Matrix |
||||
|
|
||||
NEW Clan: Zocker Group Siegen e.V. Postings: 244 |
Oder noch eine Möglichkeit: Du bist mit dem gleichen Passwort bei einer anderen Seite angemeldet die von dem Angreifer administriert wird und er hat dein Passwort dann in seiner DB ausgelesen.
|
||||
|
|
||||
NEW Clan: N(etwork)-o(stalb)-G(roup) Postings: 12 |
Nein das Passwort verwende ich ausschließlich für diese Seite! Wobei ich zugeben muss das ich dieses Passwort schon einige Zeit verwende. Ich vermute mal das der Typ am Anfang mal mein Passwort ausgelesen hat (als unser Server noch Lücken hatte) und es dann immer wieder verwedet hat. Komisch das niemand von uns auf die idee kam nachzuschauen wer dem Typ Adminrechte gegeben hat ! Aber jetzt hab ich ein wirklich sicheres Passwort wo der nicht weiß=)(hoffentlich) Danke nochmal an alle! Mfg Matrix |
||||
|
|
||||
NEW Clan: dotlan.net Postings: 1252 |
Ich hoffe mal das es sich damit erledigt hat. Ansonsten wird die Suche nach der Lücke zu einer Such im Heuhaufen. Ich bin ja schon seit langer Zeit dabei und habe auch ein großes Sicherheitsdenken. Aber wenn das Problem wirklich nicht behoben ist, dann beginnt die Suche. Und das fängt bei jeder Software, jedem Hosting, der gesamten Web, DB, User und Verzeichnis Konfiguratiuon und Berechtigung an und geht über Rootkits und hört irgendwo bei den Applicationen (Web oder Server) auf. Sowas kann man nur verfolgen wenn man alle möglichen Dinge mitloggt und selbst ist schwierig und Zeitaufwendig. Vorallem wenn die Anhaltspunkte fehlen. Ich bin gerne bereit wenn du mir Anhaltspunkte lieferst spezielle Stellen nochmal genauer anzusehen. Aber derzeit fällt mir nicht viel auf. btw. aktualisier mal von 1.2.3a auf 1.2.5a :-) Aber keine Panik. Sicherheitskritische Fehler sind glaube ich keine Dabei gewesen. Siehe DOTLAN Roadmap |
||||
|
|
||||
NEW Clan: lanabuse.de Postings: 105 |
Dummer Fehler aber möglicherweise habt ihr ne Tempdatei der config.php auf den Server liegen, weil beim bearbeiten der SSH Client abgestürzt ist, oder so nen Quatsch. Da kann man das DB Passwort auslesen, wenn der PHP Interpreter nicht weiß, das er auch Tildefiles behandeln soll. |
||||
|
|
||||
NEW Clan: KST-LAN Postings: 418 |
Wenn der Angreifer die Login-Daten des Datenbank-Servers hätte, warum muss er sich Admin-Rechte über den Account des Threaderstellers geben? Vorausgesetzt, dass mysql-User != Dotlan-Adminkonto (aber das wäre schon sehr doof).
|
||||
|
|
||||
NEW Clan: N(etwork)-o(stalb)-G(roup) Postings: 12 |
Hallo! Also jetzt hatten wir ein paar Tage ruhe und vorgestern ist er wieder zugeschlagen... In den LOG-Dateien konnten wir leider nichts finden was auf ihn hindeuten könnte. Wir haben jetzt aber alle Orgas aufgefordert ihre Passwörter zu ändern und dann haben wir noch allen so weit wie möglich die Rechte weggenommen das sie nur das haben was sie acuh wirklich brauchen. Nun ist uns noch ein User mit der ID 0 aufgefallen, welcher Adminrechte hat. Kann man diesen auch löschen oder arbeitet dann Dotlan nicht mehr richtig? Könnte ja sein das er sich irgendwie über diesen Einloggt?! mfg Matrix |
||||
|
|
||||
NEW Clan: dotlan.net Postings: 1252 |
geh mal in die Tabelle 'dotlan_orga' rein und schau mal da rein. Dort kannst du ruhig was löschen. Im schlimmsten Fall hast du keine Adminrechte mehr :-) wenn du den falschen Datensatz löschst.
|
||||
[ Antwort erstellen ] |