Coder Board Community

Ich wüsste nicht wie sowas als Hack möglich wäre. Das sind ja Vorgänge die direkt auf dem Server ablaufen. Irgendwie vielleicht machbar aber obs dann genau so sauber klappt weiß ich nicht.

Folgendes hab ich übrigens per Mail grade als Antwort auf meine Mail von heute Morgen bekommen.

Quoted

Hallo, dank Euerer unnachlässigkeit muss ich alle meine Passwörter ändern. Vielen dank dafür. Ich möchte bitte aus diesem Forum gelöscht werden. Vernichtet bitte alle meine Daten sorgfältig.

Ich möchte darauf hier offen antworten um es noch mal deutlich zu machen.

Es war erstens keine Absicht und zweitens bin ich fast 100% sicher das keine User davon betroffen sind. Was macht es für einen Sinn als User den Account eines anderen Users zu knacken? Wenn nimmt man sich einen Admin Account oder zumindest einen mit mehr Berechtigungen als man selbst.

Außerdem ist es weder unser Problem noch unsere Nachlässigkeit wenn man ein Passwort für alles und überall hat. Am besten gleich die Geheimnummer der Bankkarte damit jemand der ein Passwort von mir bekommt auch wirklich restlos an alles dran kommt. Wenn jemand das so handhabt selber schuld kann ich da nur sagen. Sowas ist dann fahrlässigkeit des entsprechenden Users.

Da aber in der Mail von "alle meine Passwörter" die Rede ist auch noch mal der Hinweis für alle User welche jetzt angst haben. Wenn jemand hier ein Passwort heraus gefunden hat dann ist es absolut 100% sicher nur das von euren Account hier. Wenn ihr dieses PW nur hier habt besteht absolut keine Gefahr und man muss sich keine Sorgen machen. Das Ändern aller Passwörter wäre somit absolut über reagiert und unnötig.

Abschließend noch - ich komme natürlich der Bitte nach und entferne den User inkl. aller über ihn hier vorhandenen Daten. Der Wunsch steht natürlich jedem Frei. Eines nur dazu noch, Wer von euch ICQ oder desgleichen nutzt lebt in meinen Augen weit aus gefährlicher als jeder Teilnehmer dieses Forums hier. Denn dort werden die Passwörter als Klartext gespeichert und nicht wie hier verschlüsselt in der Datenbank abgelegt. Alles wo man die Möglichkeit hat sein vergessenes Passwort anzufordern ist genau so. Nur da wo die einzige Möglichkeit ist ein neues Passwort zu generieren kann man annehmen das in der Datenbank die Passwörter nicht im Klartext stehen.

Kurzer Nachtrag: Beim Löschen hab ich grade gesehen wer das ist. Traurig das das auch noch jemand ist den ich aus dem Internet kenne. Wer es ist verrate ich natürlich nicht aber ich sage nur so viel dazu - Der jenige ist mit Admin in einem Forum welches als Forenversion 2.1.3 einsetzt. Da muss ich doch direkt mal das Skript testen ob dort die Lücke ebenfalls vorhanden ist

Quoted

Original von the dalton
was diesen hack von radiosunlight angeht, hat ihn ein bekannter in seinem board eingebaut. das ergebnis waren zahllose angebliche angriffe von harmlosen usern, die nicht einmal ansatzweise nachvollziehbar waren. die wurden dann geblockt und mit den unheimlichsten meldungen schockiert. er hat dadurch viele user verloren. der gedanke dieses scriptes ist genial. einige teile davon ebenso. aber als gesamtes betrachtet ist es absoluter schwachsinn.

Mhh. BItte mal näher erleutern. Ich setzt das Ding auch ein und kann bißher keinen Nachteil entdecken und ich kann auch nicht nachvollziehen, dass ein User geblockt wird (es sein denn, er hat es verdient)

Quoted

Original von the dalton
das wichtigste ist noch immer die sperre des acp mit htaccess.

Da stimm ich Dir voll und ganz zu!

Quoted

Original von PrometheusDas Thema mit dem md5 ist für mich noch nicht so ganz vom Tisch. Mich würde mal interessieren ob es zumindest in der Therorie möglich sein könnte, dass der User welcher mir das Sicherheitsloch gezeigt hat den md5 genommen hat und sich damit irgendwie eingeloggt hat oder ob er nur Glück hatte das der entsprechende Team User ein einfaches PW hatte. Denn wenn 4 Stellen schon 33-66 Tage dauern was passiert dann erst bei 8 oder 12 Stellen? Gibt es echt User die 155*155*155*155*155*155*155*155*155*155*155*155 MAL 10 ms Zeit aufwenden um ein 12 Stelliges PW raus zu finden? Das geknackte PW kenne ich selbst nicht von daher weiß ich nicht wie lang es war und wie es lautete. War / ist es also möglich weiterhin diese md5 Hashes als Login zu nutzen?

Eben, genau da liegt der Punkt. Das sind Aufwandstechnischeprobleme die nicht zu Lösen sind und auch nicht zu Lösen seien werden. 10 ms ist noch optimistisch geschätzt.

MD5 (Bezeichnung für einen Algo. der Checksummen erstellt) erfüllt folgende 2 Eigenschaften:

Es ist praktisch unmöglich, dass eine andere Klartext Eingabe, zu der selben Checksumme führt.

Es ist praktisch unmöglich, über den Vergleich von Klartext Eingabe und Checksumme an den Algorithmus zu gelangen, der die Checksumme aufstellt.

Lässt man sich diese beiden Argumente auf der Zunge zergehen, wird man schnell feststellen, warum MD5 überall eingesetzt wird und als sicher gilt.

Quoted

Original von Prometheus
Ich habe einen Root Server welcher per Cronjob alle 12 Stunden die Datenbank ausließt in eine Datei und dann anschließend eine FTP Verbindung zu einem anderen Server aufbaut und dort dann die Datenbank sowie den kompletten Webordner rüber schiebt. Da ich für internen Traffic nicht aufkommen muss kann ich das in der Theorie sogar alle 30 Minuten machen. Allerdings belastet das den Server auch wodurch z.B. um 0:30 Uhr das Forum kurzzeitig langsamer wird. Das Board hier ist ja nicht das einzige was auf dem Server liegt

kann man sich das man ausleihen genau solch ein script such ich noch würde mir ne menge arbeit mit eigen entwicklung sparen.

Welches Skript meinst Du genau? Der Cronjob läuft auf meinem Server automatisch wie bei eigentlich jedem Root Server. Dort wird ein Tar Archiv erstellt mit dem Webordner sowie mit dem befehl mysqldump ein Backup der DB erzeugt. Dann wird mit consolenbefehlen eine ftp verbindung zu einem anderen server aufgebaut und die Dateien einfach übertragen. Da gibts so gesehen kein Skript welches ich geschrieben habe dafür das sind normale Linux Befehle.

gut dann hab ichs falsch verstanden.. ich müsste ein FTP spiegeln und die datenbank darauf

Quoted

Original von Prometheus
Welches Skript meinst Du genau? Der Cronjob läuft auf meinem Server automatisch wie bei eigentlich jedem Root Server. Dort wird ein Tar Archiv erstellt mit dem Webordner sowie mit dem befehl mysqldump ein Backup der DB erzeugt. Dann wird mit consolenbefehlen eine ftp verbindung zu einem anderen server aufgebaut und die Dateien einfach übertragen. Da gibts so gesehen kein Skript welches ich geschrieben habe dafür das sind normale Linux Befehle.

Mit Reoback geht das relativ simpel ohne selber alle Befehle selber ausführen zu müssen.

Mfg