Diskussion zu Benutzerdaten auf phpBB.de ausspioniert

[issjut]

Denn lese doch noch mal ganz genau was ich in meinem ersten Beitrag geschrieben habe

Ich möchte mich jetzt aber nicht beschweren, aber vielleicht kann dieser Beitrag ja als sachdienstlicher Hinweis zur Aufspürung des Täters dienen

Ich wollte also hier niemandem die Schuld an irgendetwas geben sondern nur darauf hinweisen, dass bei mir seither Spam auftritt und was das für Mails sind! Vielleicht kann man ja anhand der Absender auf den "Dieb" schließen - was weiß ich denn!??

Da hier aber so wie es scheint wohl sowieso Jeder angegriffen wird, der über eine ZUNAHME an Spam-Mails seit dem Datenklau berichtet - da hast Du sicherlich recht - ist dann wohl auch mein Beitrag für die Füße^^.

Mir ist schon klar, dass meine E-Mail auch abseits des Datendiebstahls frei zugänglich ist... aber dass heißt ja noch lange nicht, dass es auch sein könnte, dass die "neuen" Mails etwas damit zu tun haben.


ICH WOLLTE WIE SCHON GESAGT NUR HELFEN!!

Mich würde es nicht wundern, wenn hier bald niemand mehr etwas zu diesem Thema schreiben würde...

Aber dann nehmt doch bitte mal die Bitte um MITHILFE aus der offiziellen Bekanntmachung zum "Datenklau auf phpbb.de" heraus

Eine letzte Sache noch: Ich bin sehr dankbar über den Service der auf dieser Seite geboten wird und mir wurde auch schon sehr oft geholfen!
Da ich über phpbb.de keine wichtigen Bankgeschäfte abwickele ist es mir wie oben auch schon erwähnt auch recht egal ob meine E-Mail nun an andere gegangen ist oder nicht. Fakt ist, dass wenn ich so ein Forum nutze und hier meine Daten hinterlasse, dann muss ich einfach mit so etwas rechnen...

[Pyramide]

Da hier aber so wie es scheint wohl sowieso Jeder angegriffen wird, der über eine ZUNAHME an Spam-Mails seit dem Datenklau berichtet

Es wird nicht "jeder angegriffen", es wurde lediglich darauf hingewiesen, dass die mitgeteilten Informationen praktisch nutzlos sind. Die Polizei wird wohl kaum neue Ermittlungen anstellen aufgrund von Hinweisen wie "ein Benutzer von phpBB.de bekommt Viagra-Spam".

[issjut]

Es wird nicht "jeder angegriffen", es wurde lediglich darauf hingewiesen, dass die mitgeteilten Informationen praktisch nutzlos sind. Die Polizei wird wohl kaum neue Ermittlungen anstellen aufgrund von Hinweisen wie "ein Benutzer von phpBB.de bekommt Viagra-Spam".

Wenn es EIN Benutzer ist, der diese Mails bekommt, dann sicher nicht! Wenn es aber nun mehrere sind?!

Außerdem macht der Ton die Musik! Das Wort "Hinweis" (es wurde darauf hingewiesen) lese ich in Deinem Beitrag zum ersten mal. Die Aussagen, dass "das größte Computerproblem"(...) "fünfzig Zentimeter liest sich dann doch etwas anders!

Aber is gut. Ich bin selbst verantwortlich für die VIAGRA-Mails und gut is!

[kazwo]

Das mag jetzt zwar völlig offtopic sein, aber ich kann mich momentan nicht zurückhalten..

Ich find es schade, wenn man Aussagen von Usern so wertet, dass sie im Namen des Teams und/oder der Seite gewertet werden. Niemand vom Team hat gesagt, dass das Problem vor dem Bildschirm sitzt. Das war ein User.
Du würdest ja wohl auch nicht sauer auf - als Beispiel - deine Fußballmannschaft sein, wenn jemand im Stadion sagt ihm würde deine Nase nicht passen.

Und ich denk das Problem ist eben, dass man schlecht drauf schließen kann warum gerade bei dir die Mails kommen. Ich kann mit Glück sagen, dass ich schon sehr lange keine Spammails mehr bekommen hab (oder sie wurden einfach sehr gut rausgefiltert) und das nahm auch nicht nach dem Spionagefall zu...das könnte zeigen, dass es eben schwierig ist da zu unterscheiden. Das Team ist sicherlich um jeden Hinweis dankbar, nur hilft es kaum jemandem weiter, wenn man Spammails bekommt..die Gründe sind verschieden und die nächste Frage ist dann, wo die Absender sitzen..denn die werden nicht gerade in Berlin Mitte sitzen, wo sie jeder gut finden kann, sondern eher in rechtlich vorteilhafteren Ländern..bzw. werden sie ihre Mails von dort verschicken, so dass das einen auch kaum weiterbringen dürfte..

[issjut]

Ich find es schade, wenn man Aussagen von Usern so wertet, dass sie im Namen des Teams und/oder der Seite gewertet werden. Niemand vom Team hat gesagt, dass das Problem vor dem Bildschirm sitzt. Das war ein User.

Da hast Du natürlich Recht! Es war auch nicht meine Absicht, dass es so rüber kommt als sei dies vom Team gekommen!

Es ist schon klar, dass es ein User war! Davon mal abgesehen, dass genau was Du eben geschrieben hast, nämlich dass ein User diese Aussage getätigt hat und das das Team um jede Hilfe dankbar ist, auch wieder nur von Dir (einem User) gekommen ist und nicht vom Team.

Pyramide hat geschrieben, dass ich "lediglich darauf hingewiesen" wurde, "dass die mitgeteilten Informationen praktisch nutzlos sind"!

Ich hab es ja nun auch verstanden! Meine Info nutzlos und gut ist! Gibt also keinen Grund mehr sich aufzuregen^^

//edit: Ich möchte mich hier nun auch garnich' rumstreiten. Ich bin sehr froh, dass es dieses Board gibt und wollte das Team nicht schlecht machen!

[miccom]

Ich finde deinen Ansatz nicht nutzlos! Nur leider wird der Spam den ein event. Käufer der phpBB.de-E-Mail-Adressen event. loslässt, im rauschen untergehen.

[Lord_Pinhead]

Ich hab jetzt nicht den ganzen Thread gelesen, aber wurde schon erwähnt das es für solche Fälle auch eine Application Firewall getan hätte wie z.b. mod_security im Apache (sofern man Apache nutzt)?
phpBB ist doch leider ein sorgenkind auf einem meiner Server. Die User machen keine Updates weil was sehr unterschiedliche gründe hat. Einerseits sind manche Hacks und Mods einfach in die Source des Forums selbst reingeschrieben worden, ein Modulsystem wie z.B. bei vBulletin oder der Blogsoftware Serendipity wäre da echt genial weil man dann einfach den Programmkern erneuert und die Module funzen trotzdem. So muss der Forenadmin anhand der Patch/Diff Datei die Änderugen händisch einfügen oder die Source updaten und dann jeden Hack einzeln wieder einspielen.

Das automatische updaten oder das Anzeigen im Adminbereich wäre da sicherlich auch eine möglichkeit um die Leute darauf aufmerksam zu machen, manche installieren pbpBB weil Sie es bei Google finden, meinen aber das ein Update unnötig sei.
Ich hab schon sehr lange nicht mehr mit pbpBB gearbeitet, auf rootforum.de arbeiten die Jungs z.B. ohne jeden Hack und immer mit der aktuellsten CVS Version, was auch eine elegante Weise zum Updaten ist.

Für solche Sorgenkinder ist mod_security eigentlich doch sehr gut und mit den gotroot.com Regeln (ausser die IP Blacklists) läuft das ganze ein ganzes Stück sicherer schon Serverseitig.
Ok, nicht jeder hat Zugriff auf die Webserversoftware, aber das ist dann ja nicht die Schuld des Forenadmins. Wenn ich da an Versuche denke Postnuke und Konsorten sicher zu bekommen muss ich doch lachen
PostSentry war so ein Fall. Der Versuch alle Variablen durch ein Sicherheitsmodul zu schieben und damit das übertragen von unbeliebten SQL oder Code Injections zu verhindern.

Anyway, ich finde es gut das die Source von dem Fehler bereinigt wurde und das die Entwickler offen zugeben einen Fehler gemacht zu haben, wenige Entwickler gestehen sich Fehler ein. Wenn ich da an vBulletin denke, die haben teilweise Wochen zum Update gebraucht und es dann still und heimlich durchgezogen, 99% der Anwender wussten nicht das sehr gefährliche Sicherheitslücken in der Software waren.
Das gefährliche bei phpBB war ja auch immer ein Mod einzubauen, von daher sollte man das lassen.

Was mir noch durch den Kopf gegangen ist:
Für MD5 kann man entweder NSA@Home nutzen bzw. Rainbow Tables.

Code: Alles auswählen

~# shasum -a 256 test
4f351efc93965ac67b36c9d4de8ff657ecb0f79cdfb0a7d0ed6160632a930d58  test
~# sha1sum test
d5f9699a2349d13a6b06df2d29d5b053c9d7e39c  test
~# md5sum test
237b3e1b29f5e1b6fbdd0ed4c551ae89  test

Wie man sieht ist MD5 kürzer und ohne Seed ist eine Bitkollision relativ schnell möglich. SHA1 ist etwas größer und hat weniger Bitkollisionen. SHA256 muss man mit einer PHP Klasse realisieren

Wenn ein Cracker jetzt die ganzen User geklaut hat, auch von anderen Foren, dann dürften die innerhalb von Minuten nach dem Einbruch schon entschlüsselt worden sein. Wäre es da nicht sinnvoll soetwas vorzubeugen und die Verschlüsselung auf SHA1 ändern, das spreng zur Zeit die möglichkeiten die man daheim hat und vielleicht wird SHA256 bald in PHP eingebaut damit man wieder ein Schritt weitergeht. Dann muss man wirklich auf BruteForce zurückgreifen und das dauert einige Wochen pro Passwort und ist nicht mehr rentable ausser das man Mailadresse zum Spammen farmen kann.

[Boecki91]

="Lord_Pinhead"Das automatische updaten oder das Anzeigen im Adminbereich wäre da sicherlich auch eine möglichkeit um die Leute darauf aufmerksam zu machen, manche installieren pbpBB weil Sie es bei Google finden, meinen aber das ein Update unnötig sei.

Die Anzeige ob aktuell oder nicht ist vorhanden, sogar schon im phpBB2, z.B. steht es deutlich auf der Startseite des Administrations-Bereiches.

Versions-Information

Dein Forum ist wahrscheinlich nicht auf dem neuesten Stand. Es sind Updates für deine phpBB-Version verfügbar, bitte besuche http://www.phpbb.com/downloads.php, um die aktuellste Version zu erhalten.
Die neueste verfügbare Version ist phpBB 2.0.23. Du verwendest phpBB 2.0.22.

Sollte die Funktion fsockopen() die für die Anzeige nötig ist, deaktiviert sein, wird eine empfehlung für den Newsletter rausgegben, der zeitnah (ca. 1 Tag) über Updates informiert.

Bei phpBB3 stehen diese Infos unter dem Tab "System", wie das ohne fsockopen() ausieht weiß ich nicht da ich mom. Nur Einblick in Systemen mit fsockopen() habe.

[mgutt]

hm

Keine kennt eine Mail Adresse und die habe ich nicht seit ein paar monaten sondern seit ein paar tagen. Mit der adresse habe ich mich nirgend angemeldet oder so. keiner ausser mein chef und 2 - 3 freunde kennen sie... bis heute hatte ich auch noch nie eine spam mail... ist nicht komisch?

Natürlich hängt das mit dem angriff zusammen...

irgendwann ist immer das erstemal wo man spam bekommt

und allein eine suche in google nach deiner email gibt mind. 4 seiten wo du selber in foren deine adresse öffentlich geschrieben hast u.a. auch auf deiner seite

Jan

schön ins fettnäpchen getreten würde ich sagen

Filter darauf einstellen und löschen.

Problem Nr.1: Auf was stellt man den Filter ein, wenn man 90 Emails von 90 verschiedenene Absendern mit 90 verschiedenen Betreffzeilen und 90 verschiedenen Inhalten bekommt?

Ich empfehle nach wie vor policed weight und greylisting. Diese Filter werden auf dem Mailserver hinterlegt. Ich nutze beispielsweise gar keinen Spamfilter auf meinen PCs und habe trotzdem ruhe. Zusätzlich ist die Spamhaus-Datenbank hilfreich.

Wie man sieht ist MD5 kürzer und ohne Seed ist eine Bitkollision relativ schnell möglich. SHA1 ist etwas größer und hat weniger Bitkollisionen. SHA256 muss man mit einer PHP Klasse realisieren

Seed's braucht man bei allen Varianten, um Passwort-Datenbanken vorzubeugen. Daher ist die eingesetzte Verschlüsselung auch uninteressant. Und Bitkollisionen sind rein rechnerische Werte. Ich habe selbst Bruteforcing betrieben und MD5 auf diese Art getestet. Bis 8 Zeichen (weiter bin ich nicht gekommen) gab es nicht eine Kollision bei allen gängig bekannten Zeichen. Es kann zwar sein, dass der MD5 verschlüsselte String von "1" mit "skuiahfklsdnfsadfhuihdf" identisch ist, aber ein Hacker fängt mit "1" an und nicht mit was anderem.

MD5 sollte man aktuell nur zusammen mit Seeds einsetzen um Rückwärtsberechnungen zu vermeiden. Ansonsten gibt es keinen Grund auf MD5 zu verzichten.

Bei so Sachen wie mod_security habe ich insofern ein Problem, wenn ich über die Performance nachdenke. Weiterhin und auch wenn ich mich über jedes Sicherheitslevel positiv äußere, so darf man nicht vergessen, dass die Lücke an sich zu beheben ist. Ansonsten hat man beim nächsten Serverwechsel wieder das gleiche Problem.

[zrs-abschluss-2009]

sind auch andere Foren angrefbar, die man selbst installiert hat und nichts geändert hat?

Ich benütze die Version 3.0.2.

Wie kann man überprüfen, ob sein Forum geknackt worden ist.