Hackangriff durch "DIGITALGRUOP" - Vorgehensweise
Verfasst: 13.11.2005 22:01
Hallo!
Ich will hier erzählen, wie ich gegen einen Hackangriff auf mein Forum vorgegangen bin bzw. was genau passiert ist. Für Vorschläge oder Anmerkungen, wenn ich etwas falsch verstanden oder gar falsch gemacht habe, bin ich natürlich offen.
Also: Die betroffene Version war phpBB2+ basierend auf phpBB 2.0.11 - fällt also in die Kategorie "Selber schuld" - gebe ich schon zu, aber ich hab´ ja auch noch Job und Freundin und Privatleben....
Ende Oktober gab es plötzlich 3 Posts unter meinem Namen und eine PrivateMessage von mir an mich - war natürlich alles nich von mir, sondern von einem Türkischen Hacker bzw. gab er sich als solcher aus:
Zuerst hat er einen Post von mir editiert - hier war auch noch ein Bild mit einer türkischen Flagge zu sehen. Hab ich rausgelöscht, da es direkt auf deren Seite verlinkt war - nicht dass die Jungs beim Ansehen derer Webstatistik nochmals auf mein Forum zurückkommen - 31.10, 16:05:
Ich weißt nicht ob es eine Reaktion auf meine Mail war oder blos so kam - auf alle Fälle erhielt ich dann noch folgende PM, Betreff: "hi pepman" - 03.11, 12:04:
Das verlinkte Bild befand sich übrigens auf folgender Homepage: http://www.mt-hackers.org/
Für mehr als seine IP-Adresse zu bannen und das Forum temporär zu schließen + Backups natürlich war leider keine Zeit meinerseits vorhanden.
IP-Adresse: 212.156.220.253 = dsl.static212156220253.ttnet.net.tr (@Admins/Mods - bitte rauslöschen, sollte die Veröffentlichung der IP nicht erwünscht sein, aber nachdem er kein Guter ist...)
Als nächstes habe ich mir die Zugriffsstatistiken des WebSpace angeschaut: Er kam erstmals 3 Minuten bevor er den ersten Post editierte über folgenden GoogleSuchString zu mir: http://www.google.com.tr/search?q=phpBB ... rt=30&sa=N
Wenn man da die umliegenden Foren ansieht, findet man gleich das ein oder andere gehackte Teil - zB http://www.kcmportal.com
Aber alles was ich fand, war mehr zerstört als mein Forum - bei mir gab es ja nur 3 Posts (davon einer editiert) und eine PrivateMessage.
Nachdem er nur 3 Minuten benötigte um unter meinem Namen zu posten, nehme ich an, dass er die SESSION Sicherheitslücke ausnutzte - da gab es ja einmal ein Mail "Bitte dringend ändern - Adminzugriff möglich". Wenn man weiß wie, ist das anscheinend eine sehr simple Sache...
Stellt sich die Frage, warum er bei mir nicht mehr zerstörte? Ich nehme an es liegt daran, dass ich für das ACP schon immer zusätzlich ein HTTP Passwort auf /admin gesetzt habe. Er konnte sich also als Admin einloggen, kam aber nicht ins ACP. Und einzeln Threads löschen, Beiträge editieren usw. war ihm dann wohl auf Dauer doch zu mühsam. Er konnte ja nichteinmal mein Passwort ändern, da er es ja nicht wusste - und zurücksetzten geht schon wieder nur im ACP.
Hätte er ins ACP gekonnt, hätte er dort die FTP-Zugangsdaten auslesen können und vom FTP das Datenbankkennwort... So meine Vermutung - dann wäre die Sache vermutlich ganz anders ausgegangen.
Nachdem ich also nicht annahm, dass er in der Datenbank oder am FTP herumpfuschte, bin ich wie folgt vorgegangen:
Nachdem ich nur optisch herumgebastelt habe, saugte ich mir gleich das aktuelle FullPackage von phpBB2+ und erledigte den Rest über "update_to_latest.php".
Also habe ich jetzt eine aktuell gepatchte Version.
Natürlich habe ich auch alle Zugangsdaten (FTP, DB, mein Account usw.) gändert. Nachdem ich die neuen Files des Fullpackages über die alten Files legte, habe ich dann auch noch nach alten Überbleibseln am FTP gesucht und gelöscht (nach Datum), wenn sie keine Funktion mehr hatten - zB fand ich auch noch alte Files vom NickPageMOD usw.
Die Datenbank hab ich auch ein bisserl überflogen - zumindest hab´ ich überprüft, ob sich eh kein weiterer User mit Adminrechten eingeschlichen hat. Aber wie gesagt, ich glaube kaum, dass er da was tun konnte (DB + FTP).
Die ein oder andere Frage werde ich aber schon noch haben...
Weiters überlege ich jetzt schon, gleich auf eine aktuelle Betaversion von phpbb2+ umzusteigen - dann hätt´ ich den CrackerTracker auch gleich dabei...
Kann nicht schaden...
Ich will hier erzählen, wie ich gegen einen Hackangriff auf mein Forum vorgegangen bin bzw. was genau passiert ist. Für Vorschläge oder Anmerkungen, wenn ich etwas falsch verstanden oder gar falsch gemacht habe, bin ich natürlich offen.
Also: Die betroffene Version war phpBB2+ basierend auf phpBB 2.0.11 - fällt also in die Kategorie "Selber schuld" - gebe ich schon zu, aber ich hab´ ja auch noch Job und Freundin und Privatleben....
Ende Oktober gab es plötzlich 3 Posts unter meinem Namen und eine PrivateMessage von mir an mich - war natürlich alles nich von mir, sondern von einem Türkischen Hacker bzw. gab er sich als solcher aus:
Zuerst hat er einen Post von mir editiert - hier war auch noch ein Bild mit einer türkischen Flagge zu sehen. Hab ich rausgelöscht, da es direkt auf deren Seite verlinkt war - nicht dass die Jungs beim Ansehen derer Webstatistik nochmals auf mein Forum zurückkommen - 31.10, 16:05:
Dann hat er einen eigenen Thread mit dem Betreff "Liesen" erstellt - ich nehme an er wollte "Lesen" schreiben - 31.10, 16:08:Pepman hat geschrieben:H A C K E D
B Y
D İ G İ T A L G R O U P
Dann hat er in einem x-beliebigen Bereich folgendes noch gepostet - 02.11, 16:26:Pepman hat geschrieben:if i wont to change your index now i can do this but i don't wont to do this
look at this
"Verweis auf den ersten von ihm editierten Post mit der Flagge"
Erst da hab´ ich ihn bemerkt, da es im Büro die Tage recht stressig war - ich hab´ ihm dann ein Mail geschrieben, mit der Bitte nix zu zerstören, wenn ich Zeit habe, werde ich die Updates einspielen - in Englisch natürlch.Pepman hat geschrieben:haloooooooooooooooo :d i hacked again here i like dis site pepman if you give i know what you thing now i hope you tell me stupet but i am not stupet i know your Administration Panel pass but i am good hacker i want to tell you this pepman your site is verry good bat not have security
if you need security for freecom to me pepman Digitalgruop@hotmail.com byes pepman
Ich weißt nicht ob es eine Reaktion auf meine Mail war oder blos so kam - auf alle Fälle erhielt ich dann noch folgende PM, Betreff: "hi pepman" - 03.11, 12:04:
Pepman hat geschrieben:it me Digitalgroup pepman if you wont we can make securit your nice webpage you know what i mean this is my web adress www.awtsecurity.com com my webpage is turkish i know you dont understand and i know you can block my ip but foruget it pepman have nice day byes
Das verlinkte Bild befand sich übrigens auf folgender Homepage: http://www.mt-hackers.org/
Für mehr als seine IP-Adresse zu bannen und das Forum temporär zu schließen + Backups natürlich war leider keine Zeit meinerseits vorhanden.
IP-Adresse: 212.156.220.253 = dsl.static212156220253.ttnet.net.tr (@Admins/Mods - bitte rauslöschen, sollte die Veröffentlichung der IP nicht erwünscht sein, aber nachdem er kein Guter ist...)
Als nächstes habe ich mir die Zugriffsstatistiken des WebSpace angeschaut: Er kam erstmals 3 Minuten bevor er den ersten Post editierte über folgenden GoogleSuchString zu mir: http://www.google.com.tr/search?q=phpBB ... rt=30&sa=N
Wenn man da die umliegenden Foren ansieht, findet man gleich das ein oder andere gehackte Teil - zB http://www.kcmportal.com
Aber alles was ich fand, war mehr zerstört als mein Forum - bei mir gab es ja nur 3 Posts (davon einer editiert) und eine PrivateMessage.
Nachdem er nur 3 Minuten benötigte um unter meinem Namen zu posten, nehme ich an, dass er die SESSION Sicherheitslücke ausnutzte - da gab es ja einmal ein Mail "Bitte dringend ändern - Adminzugriff möglich". Wenn man weiß wie, ist das anscheinend eine sehr simple Sache...
Stellt sich die Frage, warum er bei mir nicht mehr zerstörte? Ich nehme an es liegt daran, dass ich für das ACP schon immer zusätzlich ein HTTP Passwort auf /admin gesetzt habe. Er konnte sich also als Admin einloggen, kam aber nicht ins ACP. Und einzeln Threads löschen, Beiträge editieren usw. war ihm dann wohl auf Dauer doch zu mühsam. Er konnte ja nichteinmal mein Passwort ändern, da er es ja nicht wusste - und zurücksetzten geht schon wieder nur im ACP.
Hätte er ins ACP gekonnt, hätte er dort die FTP-Zugangsdaten auslesen können und vom FTP das Datenbankkennwort... So meine Vermutung - dann wäre die Sache vermutlich ganz anders ausgegangen.
Nachdem ich also nicht annahm, dass er in der Datenbank oder am FTP herumpfuschte, bin ich wie folgt vorgegangen:
Nachdem ich nur optisch herumgebastelt habe, saugte ich mir gleich das aktuelle FullPackage von phpBB2+ und erledigte den Rest über "update_to_latest.php".
Also habe ich jetzt eine aktuell gepatchte Version.
Natürlich habe ich auch alle Zugangsdaten (FTP, DB, mein Account usw.) gändert. Nachdem ich die neuen Files des Fullpackages über die alten Files legte, habe ich dann auch noch nach alten Überbleibseln am FTP gesucht und gelöscht (nach Datum), wenn sie keine Funktion mehr hatten - zB fand ich auch noch alte Files vom NickPageMOD usw.
Die Datenbank hab ich auch ein bisserl überflogen - zumindest hab´ ich überprüft, ob sich eh kein weiterer User mit Adminrechten eingeschlichen hat. Aber wie gesagt, ich glaube kaum, dass er da was tun konnte (DB + FTP).
Die ein oder andere Frage werde ich aber schon noch haben...
Weiters überlege ich jetzt schon, gleich auf eine aktuelle Betaversion von phpbb2+ umzusteigen - dann hätt´ ich den CrackerTracker auch gleich dabei...
Kann nicht schaden...