Wir Wurden Gehackt!, back to normal?

Um 4:24 hat heute ein User gemeldet, er könne sich nicht mehr einloggen. Ich musste allerdings zur Arbeit eilen und konnte mich zu dem Zeitpunkt nicht darum kümmern.
Als ich gegen 13:00 wieder zuhause war, hatte mir auch Hogie eine Mail geschickt (Danke!), dass offenbar jemand das Board gehackt hätte. Soweit so schlecht, er sollte recht behalten.

Stand der Dinge: Dank täglicher Backups ist jetzt der Stand von gestern wieder eingespielt worden.
Naturgemäß gehen dabei einige Postings verloren, was sich aber kaum verhindern lässt.
Ich rate jedem Mitglied sein Passwort zu ändern! Die Passwörter stehen zwar nur verschlüsselt in der Datenbank, wer aber auf "Nummer Sicher" gehen will, sollte ein neues anfordern.

Ein Hacker (vermutlich Asiate), hat sich gegen 3 Uhr früh über einen Proxy aus Vietnam an der Salvia-Community vergangen. Es gibt wohl eine (mir zumindest) unbekannte Lücke in unserer Forensoftware, über die es dem Angreifer gelang, sich eine Shell über das Admin-Panel einzuschleusen und allerhand Unfug zu treiben: Alle Mitglieder (außer sich selbst) gelöscht, mehrere PHP-Shells platziert, SQL-Code eingeschleust und die temporären Logs gelöscht.

Wie ihr seht, ist das Board wieder online, jedoch besteht das geringe Risiko, dass es wieder gehackt wird, falls die von mir getroffenen Maßnahmen zur Absicherung nicht greifen.
Euch betreffen diese Maßnahmen nur insofern, als es ab sofort nicht mehr erlaubt ist, Avatare oder Profilfotos raufzuladen. Sorry.
Der Server selbst scheint nicht kompromittiert worden zu sein, dank vernünftiger Unix-Rechteverwaltung.

Der Hacker hat eine Nachricht hinterlassen ich solle ich für "Details" kontaktieren, was ich aber nicht getan habe. Vermutlich wollte er bloß Bares, denn wenn es ihm darum gegangen wäre Lücken aufzuzeigen, hätte er das auch tun können ohne die Datenbank zu zerstören.

Ich hoffe auf einen reibungslosen Betrieb,
ElDuderino

ich habs doch gesagt,ein guter Admin macht täglich Backups;)
Gute Arbeit

gott sei dank! ich hatte schon befürchtet dass alles restlos verloren ist! War wohl ein Vietnamese nachdem Goggle folgendes ausspuckt:
It has been hack by a Vietnamese Hacker BigBall, his gmail is [email protected]

Top Admin!!!

Grüße,
karline

Schicken wir dem jetzt nen Trojaner?
Habe schon befürchtet, dass jetzt die große Datendistribution mit Emailadressen und allem erfolgt.

kenne viele boards, doch du bist einer der wenigen guten admins
weiter so

Ich werde einen Monat nicht mehr asiatisch Essen gehen.
DAS habt ihr jetzt davon, ihr Kurzschnidel
Gute Arbeit, Admin

Super, dass es Backups gibt

Mal ein Bericht MEINER letzten Nacht:

Ich wollte um ca. 3:00 ins Bett gehen und habe nochmal ins Board gesehen. Ergebniss: Mein Username is gelöscht und ein Gewisser bigball ist einziger user und Admin. Alle Alarmglocken leuten..

Also ab ins IRC - nur noch N2O da. Er hat das gleiche Problem. Also haben wir ein wenig geredet ect. Um 4:17 kommt das erste mal ein Troja wenn ich auf die Seite gehe:


4:39: Es taucht das erste mal eine (beguggte) Shellkonsole unter dem Forum aus. Commands nimmt das Ding gott sei dank nicht an:


4:49: Das Forum is komplett zu:


ca. 5 Uhr (leider kein screenshot, war etwas im Stress): Über dem Forum tauch eine FUNKTIONIERENDE shell konsole auf. Nach ca. 2 Minuten rumspielen war sie leider wieder weg - Forum abschalten hat Zeitlich nicht hingehaun.

Unter der Konsole stand eine URL von seinem server, von dem Das Script ausgeführt wurde. Genialerweise lagen da auch noch die Scripts mit drauf . Ich habe 2 Scripts gezogen (das verbuggte und das zum admin passwort ändern), falls der Admin es zur schließung der Lücken will

Ich habe dann selbst noch etwas versucht bigball mit den Scripts (erfolglos) rauszuschmeißen, also alle "Attacken", die vom server "www.110mb.com" kommen, bitte ignorieren, das kam von mir

Bigball ist laut Google Recherche ein japanischer Hacker der auch schon ein paar andere Forum lahm gelegt hat. Das übliche Scriptkiddie halt...

Kurz nach 6 Uhr hats mich angekotzt dass ich nix dran ändern kann und ich bin schlafen gegangen

Der Beitrag wurde bearbeitet von Freakyfish am Aug 24 2007, 15:59 Uhr.

irgendwie mag ich die Community hier ich weiß auch nicht warum *g =)

Freaky, gute Arbeit.

Vor allem war es auch eine reife Leistung von Dude. Ich hätte nicht geglaubt, daß das Forum so schnell wieder funktioniert.

los, wir fahren alle nach vietnam oder japan, wo auch immer der jetzt wirklich herkommt und üben mal unsere fähigkeiten mit nem katana

Dude du bist der Beste!

Hoffen wir, dass dieser Sack das nicht noch mal macht...

Bei mir geht der Button "Neue Beiträge" nicht! Gerade eben gings noch, jetz kommt:
Fatal error: Call to undefined function: clean_int_array() in /home/httpd/vhosts/salvia-community.net/httpdocs/forums/sources/search.php on line 84


[EDIT:] Vergessts! Geht wieder!

Der Beitrag wurde bearbeitet von karline am Aug 24 2007, 17:16 Uhr.

Hah, da hast du genau die Sekunden erwischt, in denen ich jetzt an search.php rumgepfuscht habe
Bisschen Löcher kitten wird nicht schaden. Es Könnte kurzzeitig auch bei anderen Dateien zu Fehlermeldungen gekommen sein. Falls die weiter bestehen, bitte in "Support" melden.

@Freakyfish: Thx für die Bilder und den Versuch Schaden abzuwehren.
Am interessantesten wäre es aber zu wissen, wie die Scripts überhaupt auf den Server kamen... Irgendwie übers AdminCP und Emoticon-Upload. Nunja, dieser Weg (und einige andere) ist jedenfalls verschlossen.

Edit: Mittlerweile weiß ich wie. Oje, der Admin ist schuld

Der Beitrag wurde bearbeitet von ElDuderino am Aug 25 2007, 14:11 Uhr.

und ich hab mich schon gewundert, wiso meine Beiträge verschwunden waren...

Gut gemacht! Danke an die Leut´, die das so schnell wieder flott bekommen haben!

"bigBalls"... jaja klar... der probiert anscheinend mit internet-terror etwas zu kompensieren...

miniBalls....

Das erste Script wird von einem externen Server mit PHP und cURL Support ausgeführt. Es ändert über eine Sicherheitslücke ohne Probleme das Admin Passwort ohne dies vorher zu kennen.

Die andere Scripts wurden dann anscheinend über das AdminCP vom IPB in das Board integriert. Wie das genau geht weis ich nicht, ich hab mit IPB außer lesen und Beiträge schreiben noch nicht so viel am Hut gehabt...