Sie sind nicht angemeldet.

Linux-Web owned

renegade

macht was er will

  • »renegade« ist männlich
  • »renegade« ist der Autor dieses Themas

Beiträge: 2 842

Wohnort: Ostfriesland

Beruf: root

  • Nachricht senden

1

31.01.2007, 12:49

Linux-Web owned

Wo ist eigentlich der schöne Thread von dem Typen hin, der mit §igmas Benutzer gepostet hat und vor allem - was ist daraus geworden?
Sokrates (468 v.Chr. - 399 v.Chr.)
"Es ist keine Schande, nichts zu wissen, wohl aber, nichts lernen zu wollen."

Michael

Meister

  • »Michael« ist männlich

Beiträge: 2 107

Wohnort: www.Bayreuth.de

  • Nachricht senden

2

31.01.2007, 14:08

Hat Herbi gelöscht, Update der Board-Software is in Mache ...
Mich würde vor allem interessieren, wer sowas verzapft und was da für eine Motivation dahinter steckt ... aber direkt ansprechen will ch denjengen auch nicht ...

Die "normale" Variante, wenn man jemanden warnen will, wäre eine Mail (dafür habe ich extra eine saisonal wechselnde öffentliche Email-Adresse in meinem Profil) ...
Mit der Demonstration hat derjenige (bzw. waren zwei Rechner i.d. Logs, einer von Server4You und ein Dresdner DSL-Anschluss, könnten latürnich missbrauchte Hosts gewesen sein) bereits juristisches Glatteis betreten, und nur weil kein wirklcher Schaden eingetreten ist kommt die liebe Justiz nicht ins Spiel ...

Michael
Life is like ice cream: enjoy it before it melts!
"If there is (a God), all evidence indicates that He hates me." - Matt Groening

Michael

Meister

  • »Michael« ist männlich

Beiträge: 2 107

Wohnort: www.Bayreuth.de

  • Nachricht senden

3

31.01.2007, 14:19

noch was

Und noch etwas (werde ich nach dem Update auch noch mal als Infomail an alle schicken):

Der Cracker is rgendwie an die Passwort-Hashes gelangt (nicht wirklich nachvollziehbar an welche) und kann (theoretisch) jedes Login erraten!
Nach dem Update ist also eine Aktualisierung der Passwörter ratsam (aber erst dann) ...
Das von ihm genannte Tool kann nur 'Brute Force', d.h. "Raten eines Passwortes -> MD5 -> Vergleich mit Passwort-Hash", eine Methode die bei fast 10k Logins ein wenig unwirtschaftlich ist, dennoch ist es ihm mit dem bloßen Einsatz von Rechenzeit eben möglich ...

Michael
Life is like ice cream: enjoy it before it melts!
"If there is (a God), all evidence indicates that He hates me." - Matt Groening

renegade

macht was er will

  • »renegade« ist männlich
  • »renegade« ist der Autor dieses Themas

Beiträge: 2 842

Wohnort: Ostfriesland

Beruf: root

  • Nachricht senden

4

31.01.2007, 17:24

RE: noch was

Siehste und das ist was mich eigentlich interessiert. Ich meine, es ist zwar bekannt, daß diese Boardversion eine Sicherheitslücke aufweist - nur auf der Herstellerseite war nicht herauszubekommen welche.
Vom Prinzip her scheint mir die ganze Sache recht einfach zu sein - nur wie ist er an die benötigten Daten gekommen?
Ne recht interessante Geschichte - nur schade das das Thema an sich so ernst ist!
Sokrates (468 v.Chr. - 399 v.Chr.)
"Es ist keine Schande, nichts zu wissen, wohl aber, nichts lernen zu wollen."

Michael

Meister

  • »Michael« ist männlich

Beiträge: 2 107

Wohnort: www.Bayreuth.de

  • Nachricht senden

5

31.01.2007, 17:46

> nur wie ist er an die benötigten Daten gekommen?
Das ist ebenfalls ein Punkt der mich ein wenig nervt!
Ich hoste zwar ein paar Kunden die WBBs benutzen, komme mangels eigenem Login (da selbst kein Kunde von Woltlab) an praktisch keine Informationen :(

Ich habe zwar diverse Sicherheits-Mailinglisten aboniert (Bugtraq, etc.), dort ist aber i.d. letzten Wochen nichts bzgl. WBB durchgekommen ...
Ich schätze daher mal der Cracker hat noch weitere Informationsquellen zur Hand bei denen dieser Standard-Mechanismus "Informationen erst nach Bugfix" nicht gegeben ist ;)

Grundsätzlich würde ich aber mal auf ein Script-Kiddie tippen, jemand der eine Lücke selbst erschließt oder gar einen Exploit dazu schreibt verbrät diesen Aufwand nicht so einfach mit einem bloßen (und an sich gut gemeinten) Hinweis!
Jemand der einen Exploit schreibt will mehr ...

Michael
Life is like ice cream: enjoy it before it melts!
"If there is (a God), all evidence indicates that He hates me." - Matt Groening

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

6

31.01.2007, 18:25

Zitat

Original von Michael
Hat Herbi gelöscht, Update der Board-Software is in Mache ...
Mich würde vor allem interessieren, wer sowas verzapft und was da für eine Motivation dahinter steckt ... aber direkt ansprechen will ch denjengen auch nicht ...


warum? versteh ich nicht!
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

renegade

macht was er will

  • »renegade« ist männlich
  • »renegade« ist der Autor dieses Themas

Beiträge: 2 842

Wohnort: Ostfriesland

Beruf: root

  • Nachricht senden

7

31.01.2007, 18:56

@Michael
Habs mittlerweile geschnallt wies gelaufen ist. Google ist da Dein Freund - die richtigen und nicht schwierigen Suchwörter und man findet komplette Anleitungen samt Perlcode.
Sokrates (468 v.Chr. - 399 v.Chr.)
"Es ist keine Schande, nichts zu wissen, wohl aber, nichts lernen zu wollen."

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

8

31.01.2007, 19:00

sql-injection

soll auch bei woltlab 2.3.6 funktionieren.
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

renegade

macht was er will

  • »renegade« ist männlich
  • »renegade« ist der Autor dieses Themas

Beiträge: 2 842

Wohnort: Ostfriesland

Beruf: root

  • Nachricht senden

9

31.01.2007, 19:31

jep
Sokrates (468 v.Chr. - 399 v.Chr.)
"Es ist keine Schande, nichts zu wissen, wohl aber, nichts lernen zu wollen."

Michael

Meister

  • »Michael« ist männlich

Beiträge: 2 107

Wohnort: www.Bayreuth.de

  • Nachricht senden

10

31.01.2007, 19:32

> ... Google ist da Dein Freund ...
na klar, ist alt! Dazu hab ich ein ganzes Buch ;) Hier die HP zum Buch/Autor: http://johnny.ihackstuff.com/

Und zu Deine PN, renegade: doch es ist sogar viel zu einfach, so etwas zu tun!
Aber es gibt auch Gegenmaßnahmen: http://www.phparch.com/shop_product.php?itemid=98
(um nur mal ein - gutes - Beispiel zu nennen, Bücher zum Thema "PHP Sicherheit" gibt es ja inzwischen wie Sand am Meer)

Michael
Life is like ice cream: enjoy it before it melts!
"If there is (a God), all evidence indicates that He hates me." - Matt Groening

renegade

macht was er will

  • »renegade« ist männlich
  • »renegade« ist der Autor dieses Themas

Beiträge: 2 842

Wohnort: Ostfriesland

Beruf: root

  • Nachricht senden

11

01.02.2007, 09:48

Ich habe mich gestern abend noch ne ganze Zeit lang mit dem Thema beschäftigt. Mir war bisher nicht bewusst, wie sehr man auf "ordentliche Programmierung" solcher "Programme" angewiesen ist. Da installiert man mal weben ein Blog / Forum / what ever und freut sih das es funktioniert. Ich habe mir bisher allerdings nie Gedanken darum gemacht ob der Programmierer sich Gedanken zum Thema Sicherheit gemacht hat - und das obwohl ich selbst seit >15 Jahren programmiere.
Da kann man mal sehen wie blauäugig man durch die Welt läuft obwohl man es eigentlich besser weiß!
Sokrates (468 v.Chr. - 399 v.Chr.)
"Es ist keine Schande, nichts zu wissen, wohl aber, nichts lernen zu wollen."

Michael

Meister

  • »Michael« ist männlich

Beiträge: 2 107

Wohnort: www.Bayreuth.de

  • Nachricht senden

12

01.02.2007, 14:08

> Da kann man mal sehen wie blauäugig man durch die Welt läuft ...
Naja, man kommt halt erst drauf wenn man das erste Mal mit dem Thema konfrontiert wird!
Aber es sind auch viele viele Faktoren, beim Programmieren aufpassen, neuerdings kommen auch Code Audits (white & black box tests) sowie Pentests in Mode, System- und Netzwerksicherheit ist ja schon länger ein Thema, und und und ...

Ich arbeite inzwischen mit selbst erstellten Checklisten, das Risiko etwas zu vergessen oder zu übersehen ist mir mei der Menge an Punkten einfach zu groß!

Beim Programmieren setze ich hauptsächlich auf Inline-Dokumentation und fixe Coding-Styles, um Code übersichtlich und damit wartbar zu halten ...

Michael
Life is like ice cream: enjoy it before it melts!
"If there is (a God), all evidence indicates that He hates me." - Matt Groening

Michael

Meister

  • »Michael« ist männlich

Beiträge: 2 107

Wohnort: www.Bayreuth.de

  • Nachricht senden

13

01.02.2007, 17:35

THX to linuxerr habe ich nun das Angriffsmuster, und es auch gleich blockiert! ;)
D.h. ab jetzt kann man wohlgemut sein Passwort ändern, ohne Angst haben zu müssen, dass es wieder gleich wieder erhascht wird :)

Rundmail geht heute Abend noch raus ...

Michael
Life is like ice cream: enjoy it before it melts!
"If there is (a God), all evidence indicates that He hates me." - Matt Groening

Michael

Meister

  • »Michael« ist männlich

Beiträge: 2 107

Wohnort: www.Bayreuth.de

  • Nachricht senden

14

01.02.2007, 21:49

So, die mod_security-Regel greift wunderbar, die Infomail ist raus und das neu erschienene Update der Forensoftware ist auch auf dem Weg :)

Jetzt bleibt nur noch zu sagen, dass bis nach dem erfolgreichen Update nicht nach SQL-Befehlen gesucht werden kann, aber so viele gibt es hier ja auch nicht zu finden ;)

Gute Nacht,
Michael
Life is like ice cream: enjoy it before it melts!
"If there is (a God), all evidence indicates that He hates me." - Matt Groening

NoOne

Profi

  • »NoOne« ist männlich

Beiträge: 803

  • Nachricht senden

15

01.02.2007, 21:57

sind die Passwörter net sowieso mit der crypt() funktion verschlüsselt???

Michael

Meister

  • »Michael« ist männlich

Beiträge: 2 107

Wohnort: www.Bayreuth.de

  • Nachricht senden

16

01.02.2007, 22:38

MD5, aber - schon beschrieben - mit Rateangriff knackbar ...

Michael
Life is like ice cream: enjoy it before it melts!
"If there is (a God), all evidence indicates that He hates me." - Matt Groening
Thema bewerten