wo ist blos Falk 
die Seite hat "Löcher"
Forum (https://forum.milwaukee-vtwin.de/index.php)
- Allgemein (https://forum.milwaukee-vtwin.de/board.php?boardid=16)
-- Website & Forum: Wie funktioniert's? Was gibt's Neues? (https://forum.milwaukee-vtwin.de/board.php?boardid=20)
--- Ich hab mich eingehacked =) (https://forum.milwaukee-vtwin.de/threadid.php?threadid=4729)
Ich hab mich eingehacked =)
Lieber Falk, bitte sicher dein Forum ein wenig besser, sonst kommt demnächst jemand mit bösen Absichten und die Arbeit im Forum ist umsonst, update die Burning Board version einfach auf eine höhere als 2.3.6, dann biste auf der sichereren Seite.
greetz
UiUiuiUi
auwauwau wo ist blos Falk
die Seite hat "Löcher"
__________________
"Lieber ein Bock unter'm Arsch, als einen im Stall"
Nase in den Wind @ all !
Da hilft wohl wirklich nur ein Update auf die neue Version! Mehr zum Thema SQL Injection Vulnerability im Burning Board Lite(1.0.2).
Gruß
Thomas
Ich hoffe mal Falk liest das bald . Scheiß Hacker !!!!
__________________
Fuckin`Faak Crew - Jack Daniel`s Drinking School
Danke für die Info - das war mir neu!
Update auf 2.xy ist leider nicht (mehr) legal möglich, weil die Version nicht mehr verkauft wird. Und 3.xy will ich wirklich nicht haben... einmal reicht mir!
Hey lieber Hacker, 
Du könntest vielleicht mal unserem Falk helfen bei der Aktion!
Wenn Du schon die Seite hacken kannst, solltest Du auch helfen können diese Lücke zu schließen!!!
Das hätte was!!!
Gruß
Tom 
__________________
Ein Freund ist jemand, der Dich mag, obwohl er Dich kennt.
@tomy 35
So seh ich das auch 
Passt schon. Der 'Hacker' hat auf eine Sicherheitslücke hingewiesen und sie (vermutlich) nur ausgenutzt, um auf sie hinzuweisen, anstatt das komplette System zu löschen sowie dann darauf hingeweisen. Er hätte sehr wohl Schaden anrichten können.
Sein Weg war folgender:
- Konkrete Google-Suche nach Woltlab-Boards mit dieser Schwäche
- Soforti2ges Ausreizen der Schwäche (wobei dieses Board im Speziellen schon eine nicht mehr hätte haben dürfen - aber sei's drum)
- Auslesen des Hash-Wertes meines Passwortes und Verwendung desselben per Cookie
- Login in das Control Panel des Forums und dort Upload von Avatar-Dateien, die ihrerseits keine Grafiken waren, sondern PHP-Skripte. Das ist seinerseits schon eine bitterböse Schwäche des Forums, denn es prüft im Admin Control Panel nicht, ob auch wirklich Grafiken hochgeladen werden. Bei Benutzern schon.
- Diese PHP-Skripte wurden dann aufgerufen, wobei ich leider nicht vollständig nachvollziehen kann, was mit ihnen gemacht wurde. Es muss sich wohl um Skripte gehandelt haben, die Verzeichnisinhalte und Dateien anzeigen und bearbeiten können.
- Der 'Hacker' konnte auf die _config-Datei der Website zugreifen, in der auch das Datenbankpasswort drinsteht. Nicht aber das root-Passwort der Datenbank und selbstverständlich auch nicht das root-Passwort des Systems. Im Zweifelsfalle wären also jetzt Tür und Tor offen gewesen, Änderungen nach Belieben durchzuführen. Tagesaktuelle Backups der Datenbanken und Dateien wären zwar vorhanden gewesen, aber das ganze eben doch noch ärgerlich. Es wurde aber scheinbar hier nichts durchgeführt.
- Weiterhin versuchte der 'Hacker', Änderungen an Websiteinhalten vorzunehmen. Dies ist nicht gelungen, weil das System dem Webserverbenutzer keine entsprechenden Benutzerrechte erteilt.
- Danach hat er seine Skripte wieder gelöscht und diesen Thread erstellt.
In der Folge habe ich gestern folgende Sicherheitsvorkehrungen vorgenommen:
- Ändern meines Benutzerpasswortes hier im Forum
- Ändern des Datenbankpasswortes
- Manuelles Fixen aller bekannten Schwächen des Forums. Heißt: keine Anzeige des Datenbanknamens bei Datenbankfehlern, Prüfen von SQL-Injections in POST, COOKIE, GET-Variablen und Herausfiltern von SQL-Befehlen. Außerdem prüft die Avatar-Upload-Funktion jetzt auch im Admin das Existieren einer Grafik. Sonstige Upload-Möglichkeiten existieren nicht. Die Dateianhangsfunktion erlaubt keinen Upload von Skripten.
- Ändern der Datenbanknummer auf eine zufallsgenerierte Vielstellige. Heißt: selbst wenn man die Standard-Datenbanknummer "1" für eine Injection verwenden wollte, führt das zu keinem Ergebnis mehr. Die richtige Nummer herauszufinden, würde ewig dauern.
Ich habe das ganze mit diversen Skripten aus dem Internet durchgeprüft und sie zeigen an, das Forum sei nicht mehr verletzlich.
Wollen wir's hoffen...
Hab ich das jetzt richtig verstanden: Der Hacker war also einer von den "Guten"!
Dann auch von mir "Willkommen im Forum"! 
__________________
When your chopper is broken you fix it. When you are broken your chopper fixes you.
zum zitierten Beitrag Zitat von George
Hab ich das jetzt richtig verstanden: Der Hacker war also einer von den "Guten"!
Dann auch von mir "Willkommen im Forum"!
Zitat von Falk
Zitat von George
Hab ich das jetzt richtig verstanden: Der Hacker war also einer von den "Guten"!
Dann auch von mir "Willkommen im Forum"!
Richtig
__________________
======================
Bahnhof
__________________
Weil jeder Tag zählt
Nothing else matters
Tradition ist das Feuer weiterzugeben,Nicht die Asche anzubeten
zum zitierten Beitrag Zitat von Highjagger
Bahnhof
__________________
....... das Leben ist zu kurz für ein Saison-Kennzeichen .......
Wenn es keine Hacker gäbe , bräuchte man auch nix abzusichern .
Ansonsten super Falk . Ich hätte das gleiche gemacht .
__________________
Fuckin`Faak Crew - Jack Daniel`s Drinking School