wie sicherlich einige von euch mitbekommen haben, wurden mir mal wieder gehackt. Wir dachten eigentlich das die Sache vorbei ist, aber ich schilder euch mal genau was abgelaufen ist.
Vor einigen Wochen ist mir aufgefallen, dass im ACP (Admin Control Panell) ein Fehler ist, somit haben Alex und ich uns das genauer angeschaut und gemerkt, dass ein paar Zeilen Code dazugeschrieben wurden. Wir bemerkten genauso, dass sich jemand auf meinen Account eingeloggt hat (über TOR). Der werte Herr hat ein Plugin aufgespielt, dass wir leider nicht ansehen konnten, jedoch fanden wir auch so raus, was Sache war. Er hat versucht die Userpasswörter im Klartext zu speichern, jedenfalls schien das nur zu funktionieren, wenn man sich manuell einloggt. Die betreffenden User, bzw. der User wurde von uns angeschrieben und sein Passwort direkt geändert. Der Server wurde untersucht und wir fanden nichts. Danach änderten wir alle unsere Passwörter.
Leider hatten wir eine wichtige Sache vergessen...
Wir haben eine Kopie des Forums auf unserem Server laufen, zu Testzwecken. Diese hatte die alten Passwörter. Das Testforum war durch .htaccess geschützt, leider stand das Passwort für Admins/Moderatoren im interenen Bereich des regulären Forums. Somit konnte er weiter Unfug treiben und wir fanden raus wie.
Er spielte auf dem Testforum eine PHP - Shell auf und kam somit auf den Webserver, womit er leider auch Zugriff auf das normale Forum hatte. Siehe da, erster Deface.
Wir saßen danach einige Zeit im TS, Orbital und ich fanden raus, dass er in einige .php Datein einen Code reingeschrieben hatte, mehrfach mit base verschlüsselt. E voilà wir hatten den Code für seine Shell. Natürlich mussten wir nun erstmal alle bereinigen, suchten nach geänderten Datein und durchsuchten diese nach den Änderungen. Nach einiger Zeit waren die Datein bereinigt. Orbital, unser kleiner Schlaufuchs fand dann raus, dass unser Freund, der Hacker, einen seperaten Part hatte, um Datein hochzuladen. Natürlich wurde auch dies behoben. Alles in allem, waren wir erstaunt, wieviel das alles war, um uns auf die Nerven zu gehen, waren jedoch froh das wir es rausgefunden hatten.
So, Heute wieder ein Angriff und mir geht es richtig auf den Sack. Wir sitzen hier mal wieder im TS und suchen, suchen, suchen.
"Mehr wollte ich nicht sagen, denke ich werdet nicht nochmal von mir hören"Soviel dazu, jemand loggte wieder auf DrathMaul's Account ein.
Wir wissen derzeit nicht genau, wie der Kerl immer wieder auf das ACP kommt, aber eine SQL-Injection bei Burning Board? Wäre sehr unwarscheinlich, aber man weis ja nie.
Ich möchte mich auch noch mal zu seinem kleinem Aufruf zu Wort melden.
Sicherlich hätten wir eventuell sagen sollen, dass wir gehackt wurden, sagten aber der betroffenen Person direkt bescheid und beließen es dabei, da wir dachten es wäre nur ein kläglicher Versuch gewesen.
Nach seinem nächsten Hack, wollten wir die Passwörter aller Leute zurücksetzten, jedoch kam der Deface schneller, den Rest habt ihr Oben gelesen.
Das der werte Herr kein Scriptkiddy ist, weis ich, war jedoch mehr als angepisst das er uns so auf die Nerven gehen muss. Dies soll in keinerlei Hinsicht eine Entschuldigung meinerseits sein, nur muss ich mir das Eingestehen.
Für die Leute die mich wieder fragen, woher er denn meine Bankdaten hat - diese standen im internen Bereich des Forums, nur aufgrund dessen weis er nichts über mich. Der Name und die Email standen auch im Impressum.
Sicherlich haben wir eine, nennen wir es mal so, Vermutung wer uns da gehackt hat und denken sogar, dass der erste Versuch von jemand anderem kam, der sich anschließend Hilfe holte. Warum nennen wir die Namen nicht? Weil wir uns dessen nicht 100% sicher sein können und nicht wollen, dass eventuelle Missverständnisse aufkommen. Kann man mit der Zensur seiner pastehtml vergleichen.
So far
//edit:
So meine Freunde, wir haben nun auch rausgefunden warum der Kerl Heute wieder ins System gekommen ist. Er hat sich die Passwörter an seine eMail schicken lassen. Leider haben wir das nicht bemerkt.
0 Kommentare:
Kommentar veröffentlichen