Diskussion zu Benutzerdaten auf phpBB.de ausspioniert

Projekte der phpBB.de-Community und Feedback zu phpBB.de.
Benutzeravatar
Muki
Mitglied
Beiträge: 10
Registriert: 11.12.2006 10:59
Wohnort: Nürnberg

Beitrag von Muki »

Inferi74 hat geschrieben:Ich hoffe man nimmt es mir nicht übel wenn ich die allgemeine "Diskussion" hier mal mit einer sachlichen Frage unterbreche, aber hat das wirklich Erfolgsaussichten bei solchen Angriffen eine Anzeige zu machen? Ich meine, wer Foren und Server hackt, der wird doch sicher auch schlau genug sein seine Spuren zu verschleiern?
Es gibt eben welche die noch schlauer sind. Soweit das ganze nicht aus dem Osten (Russland), China oder irgendwelchen Inselchen kam, sogar sehr gute Aussichten.

Muki
Benutzeravatar
Kellergeist2
Mitglied
Beiträge: 1133
Registriert: 01.06.2003 00:21
Wohnort: Dortmund
Kontaktdaten:

Beitrag von Kellergeist2 »

Inferi74 hat geschrieben:Ich hoffe man nimmt es mir nicht übel wenn ich die allgemeine "Diskussion" hier mal mit einer sachlichen Frage unterbreche, aber hat das wirklich Erfolgsaussichten bei solchen Angriffen eine Anzeige zu machen? Ich meine, wer Foren und Server hackt, der wird doch sicher auch schlau genug sein seine Spuren zu verschleiern?
Wer kämpft kann verlieren, wer nicht kämpft hat bereits verloren.

Ich will damit sagen, dass die Erfolgsaussichten zwar sehr gering sind, aber sollten sie Erfolg haben, so ist wieder ein Bösewicht weniger in freier Wildbahn.
Natürlich "wachsen" mit jedem gefassten Cracker fünf neue heran, aber wenn man nichts unternehmen würde, dann ...

Abgesehen davon könnte es rechtliche Hintergründe haben, ob man eine Anzeige gegen Unbekannt einleitet oder es nicht für nötig hält.
Stichwort: Regress-Ansprüche
Gruß, Kellergeist2
[MSDynamics.de - die deutschsprachige Microsoft Dynamics Community]
TheJester
Mitglied
Beiträge: 4
Registriert: 14.09.2005 20:06

Beitrag von TheJester »

Hi,

jetzt habe ich extra nochmal meine alten zugangsdaten herausgekramt, um mich hier anzumelden..

Es ist schon erstaunlich was für einen Dünnsch*ss einige hier abgeben. Was meint ihr eigentlich auf wievielen Web-Plattformen genau das verschwiegen oder erst gar nicht bemerkt wird. Natürlich ist ein Datenverlust dieser Art dramatisch, da gerade für einfachere Passworthashes genug Tabellen existieren (siehe Salt-Diskussion) und diese natürlich in Verbindung mit eMailadressen geradezu ein gefundenes Fressen sind. Aber es ist gut die Anwender direkt zu informieren um so Klarheit zu schaffen. Ich jedenfalls habe den Anlass genutzt endlich mal überall unterschiedliche Passwörter einzurichten, es war lange Zeit.

Was das Eindringen angeht - es gibt viele Sorgenkinder um die man sich als Admin kümmern muss. Gerade bei den Webframeworks ist noch lange nicht alles in Butter. phpBB gehörte ja nun lange Zeit auch dazu. Das Hosting einer komplexen Anwendung 100% dicht zu machen halte ich für nahezu unmöglich. Von daher drücke ich euch die Daumen dass sich das ganze schnell aufklärt.

Cheers
FCM
Mitglied
Beiträge: 1863
Registriert: 03.05.2006 14:47
Kontaktdaten:

Beitrag von FCM »

Schorschi hat geschrieben:Servus Gemeinde,

nachdem es um unsere Daten geht, würden mich ja schon "die verschiedenen Faktoren" interessieren, die in der Bekanntmachung erwähnt werden.

Sagt doch einfach, was schief gegangen ist, dann können sich alle ein Bild machen und falls nötig, reagieren.

Viele Grüße,
Schorschi
Wie geschrieben werden keine näheren Infos an Dritte weitergegeben, da die Ermittlungen laufen.
Benutzeravatar
nehcregit
Mitglied
Beiträge: 599
Registriert: 11.07.2002 20:59
Wohnort: Egelsbach
Kontaktdaten:

Beitrag von nehcregit »

Ihr habt die Lücke inzwischen gefunden? Das ist schön zu hören. Ich nehme an, es lag nicht an phpBB.
SMFPortal.de - Deutscher Simple Machines Forum Support
Benutzeravatar
Kellergeist2
Mitglied
Beiträge: 1133
Registriert: 01.06.2003 00:21
Wohnort: Dortmund
Kontaktdaten:

Beitrag von Kellergeist2 »

nehcregit hat geschrieben:Ihr habt die Lücke inzwischen gefunden? Das ist schön zu hören. Ich nehme an, es lag nicht an phpBB.
Dies wurde bereits mehrfach mitgeteilt.
Die Sicherheitslücke lag nicht im phpBB.
Gruß, Kellergeist2
[MSDynamics.de - die deutschsprachige Microsoft Dynamics Community]
Benutzeravatar
Ambience
Mitglied
Beiträge: 628
Registriert: 02.09.2006 11:28
Wohnort: daheim
Kontaktdaten:

Beitrag von Ambience »

Benutzer in diesem Forum: .:Falo:., andreas_m, Andy*73*, apfelmaxx, Balint, Bierhasser, CarstenF, Christian_W, cYbercOsmOnauT, Dragan, esprit, FCM, groove75, Jan500, Luksch, mad-manne, Mahony, maxl, Melimaus, metalzelot, moon22, Muki, nehcregit, Nico Haase, NitroRulez, novamann, Obi-Wahn, Pfiffikus, S2B, Schumi, Seether, Sharlett, speedy00, TheJester, tobitobsen, Turuex, Zanthia, zaubermaus, zettelbox, [BTK] Tobi, _tomtom_, |Tobi|
Warum sind alle hier und bei Coding und Technik niemand.. (Neuer Rekord).

Achja, würdet ihr das streiten lassen? - Es bringt keinen weiter... Es ist nunmal passiert und jeder weiß es oder wird es demnächst erfahren und muss halt seine Account Daten abändern.. Wer wirklich öfter das gleiche Passwort benutzt ist im grunde selbst schuld... Woher soll man aber wissen, dass es ausgerechnet einem selbst passiert...

In diesem Sinne..
Gibt Frieden eine Chance :cookie:
FCM
Mitglied
Beiträge: 1863
Registriert: 03.05.2006 14:47
Kontaktdaten:

Beitrag von FCM »

nehcregit hat geschrieben:Ihr habt die Lücke inzwischen gefunden? Das ist schön zu hören. Ich nehme an, es lag nicht an phpBB.
Nein, nicht selbst an der Software. Es spielten dabei andere Faktoren eine Rolle. (z.B.: Modifizierungen... )
Benutzeravatar
nehcregit
Mitglied
Beiträge: 599
Registriert: 11.07.2002 20:59
Wohnort: Egelsbach
Kontaktdaten:

Beitrag von nehcregit »

Kellergeist2 hat geschrieben:
nehcregit hat geschrieben:Ihr habt die Lücke inzwischen gefunden? Das ist schön zu hören. Ich nehme an, es lag nicht an phpBB.
Dies wurde bereits mehrfach mitgeteilt.
Die Sicherheitslücke lag nicht im phpBB.
Musst mich nicht gleich anfahren. Ich war ne Stunde weg und seitdem ist der Thread von 7 Seiten auf 21 gewachsen. Das kann ich nicht alles aufholen. :-?
SMFPortal.de - Deutscher Simple Machines Forum Support
Benutzeravatar
cYbercOsmOnauT
Ehemaliges Teammitglied
Beiträge: 3820
Registriert: 18.02.2004 23:02
Wohnort: Göttingen
Kontaktdaten:

Beitrag von cYbercOsmOnauT »

mgutt hat geschrieben:Nicht? Klaro. Autologin-ID heißt der String und User-ID ist noch drin.

Autologin-ID == md5(pw) aus der Db oder irre ich mich da jetzt?
Auszug aus der sessions.php (Generierung der Autologin-ID):

Code: Alles auswählen

$auto_login_key = dss_rand() . dss_rand();
Und nochmal für alle: Die Lücke die ausgenutzt wurde existiert nicht im vanilla phpBB 2.x. Es wurde durch eine Drittsoftware und einem anderen besonderen Umstand "aufgerissen". Wir könnten Euch exakte Angaben bieten, jedoch, wie schon sehr oft gesagt, behalten wir diese Infos wegen laufender Ermittlungen zurück und nicht weil wir "unsere Fehler nicht zugeben wollen". Wäre letzteres der Fall gewesen, hätte keiner von Euch von der Attacke erfahren und wir die Lücke klammheimlich geschlossen.
Zuletzt geändert von cYbercOsmOnauT am 04.02.2008 21:45, insgesamt 1-mal geändert.
• prof. phpbb-Installation, Reparatur, Rettung nach Hackattacken, sowie PHP/JS Programmierung aller Art
Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu
Antworten

Zurück zu „Community Talk“