Wie jeder mitbekommen hat, ist das Forum nach einem ziemlich chaotischen Samstag Abend erstmal in den Wartungsmodus versetzt worden. Da wir als Team euch gegenüber die Verpflichtung sehen, transparent und sicher zu arbeiten, möchten wir euch auf diesem Wege den Abend rekonstruieren:
Samstag, 2. September 2017
17:00 Uhr: Metal_Warrior bekommt die erste PN von einem Benutzer. Inhalt: Verkauf der Gulli-DB an das Team des NGB. Die Nachrichten sind kurz und schlecht bis gar nicht verständlich und bedienen sich Links zu PasteBin, die mittlerweile alle wieder down sind. Natürlich war das auch nicht dieser Benutzer, sondern der Angreifer, welcher seinen Account mit Logindaten aus dem G:B übernommen hatte. Nachfolgend gingen weitere PNs ans gesamte Team. Der Kauf wird abgelehnt, die Implikationen aber intern bereits diskutiert.
18:45 Uhr: Dem Angreifer dämmert es, dass sein Hack ungefähr so viel Geld einbringt wie ein rostiger Nagel. Er schreibt nun nicht nur mehr das Team an, sondern alle möglichen älteren User. Soweit wir wissen, war auch das umsonst.
19:30 Uhr: Der Angreifer gibt auf und will nur noch Schaden anrichten. Mehrere übernommene User werden gesperrt, unter Anderem einer, der Zugriff auf einen Teil des Teamforums hatte. Über PNs von übernommenen Accounts versucht der Angreifer, weitere Informationen aus dem Team zu erhalten.
20:00 Uhr: Wir identifizieren einen vermuteten Angriffsvektor, der bei uns am 30.8. ausprobiert wurde, aber nicht funktioniert hat, weil wir die bekannten vBulletin-Lücken gepatcht haben. Gamigo hat das wohl nicht gemacht. Der entsprechende Post wurde bereits mitsamt User entsorgt.
21:30 Uhr: Ein (nicht-administratives) Teammitglied bemerkt die Übernahme seines Accounts und sichert ihn wieder ab. Der angerichtete Schaden wird nach Möglichkeit eingedämmt, weitere User (meist ewig inaktive Altuser) werden auffällig und gesperrt.
22:00 Uhr: Metal_Warrior kann Angriffe über andere Wege als die Website weitestgehend ausschließen. Kein Serverlog zeigt Auffälligkeiten, das Betriebssystem des Servers (und die darauf laufenden Basisdienste) werden daher als sicher eingestuft.
22:40 Uhr: Ankündigung des Gulli-Hacks mit der Empfehlung, die Passwörter zu ändern.
23:40 Uhr: Ein weiteres (moderatives) Teammitglied wird als übernommen identifiziert und gesperrt. Leider blieb diesem wohl genug Zeit, Internas (Kontaktadressen von Teammitgliedern etc.) zu kopieren. Glück für uns: Fast alles sind Tarnidentitäten Vielleicht hat er auch nur die Shoutbox mitgelesen und sich daran ergötzt. Mal sehen...
Sonntag, 3. September 2017
00:00 Uhr: Alle Passwörter von Teammitgliedern werden resettet, weil nicht alle Mitglieder gerade greifbar sind und nicht sicher ist, dass nicht noch jemand sein Passwort vom Gulli recycled hat. Parallel wird auf dem Server weiter nach Einbruchsspuren geforscht. Außer ein paar Chinesen-Scripts, die man immer sieht, ist aber nichts Auffälliges dabei.
01:00 Uhr: Der Beschluss wird gefasst, alle Userpasswörter zu resetten. D. h. alle User müssen die "Passwort-Vergessen"-Methode anwenden. Wer jetzt noch ein Gulli-Passwort einsetzt, dem ist nicht mehr zu helfen.
01:25 Uhr: Das Forum wird in den Wartungsmodus geschaltet. Wir müssen schlafen.
10:00 Uhr: Die ersten von uns haben ausgeschlafen und sind wieder am Ball. Der 1337-HaXX0r scheint mehr ein ScriptKiddie gewesen zu sein, das eine offene Vulnerability bei Gulli ausgenutzt hat. Authentifikationsversuche am Server sind unterblieben (oder waren aus dem Grundrauschen nicht herauszulesen), erfolgreich war keiner.
14:00 Uhr: Alle Userpasswörter werden resettet. Dazu wird eine Mail an alle User versendet und der Logintext umgebaut.
14:20 Uhr: Das Board geht wieder online. Der Krisenfall ist damit beendet.
Take-Home-Messages:
1. Passwörter auf mehreren Seiten zu verwenden ist fahrlässig und kann auch die Sicherheit anderer gefährden.
2. Besteht die Möglichkeit, dass mehrere User gehackt wurden, besser gleich die nukleare Option nutzen und alle Passwörter resetten.
3. Der Hack einer anderen Website kann die eigene gefährden, wenn der Userstamm ähnlich ist, auch wenn man selbst alles richtig gemacht hat.
4. Tarnidentitäten sind super.
5. Einen Adminstab mit vielen Spezialisierungen zu haben ist besser als nur ein Admin, der alles kann.
Hier gehts zum Feedback.
P.S.: Kudos an drfuture, Lokalrunde, electric.larry, thom53281, TheOnly1, poesie_noire, Larius und dexter (und alle, die ich grad vergessen hab) für aktives Suchen, mitformulieren, Aufräumen etc. in den letzten ca. 15 Stunden.
Samstag, 2. September 2017
17:00 Uhr: Metal_Warrior bekommt die erste PN von einem Benutzer. Inhalt: Verkauf der Gulli-DB an das Team des NGB. Die Nachrichten sind kurz und schlecht bis gar nicht verständlich und bedienen sich Links zu PasteBin, die mittlerweile alle wieder down sind. Natürlich war das auch nicht dieser Benutzer, sondern der Angreifer, welcher seinen Account mit Logindaten aus dem G:B übernommen hatte. Nachfolgend gingen weitere PNs ans gesamte Team. Der Kauf wird abgelehnt, die Implikationen aber intern bereits diskutiert.
18:45 Uhr: Dem Angreifer dämmert es, dass sein Hack ungefähr so viel Geld einbringt wie ein rostiger Nagel. Er schreibt nun nicht nur mehr das Team an, sondern alle möglichen älteren User. Soweit wir wissen, war auch das umsonst.
19:30 Uhr: Der Angreifer gibt auf und will nur noch Schaden anrichten. Mehrere übernommene User werden gesperrt, unter Anderem einer, der Zugriff auf einen Teil des Teamforums hatte. Über PNs von übernommenen Accounts versucht der Angreifer, weitere Informationen aus dem Team zu erhalten.
20:00 Uhr: Wir identifizieren einen vermuteten Angriffsvektor, der bei uns am 30.8. ausprobiert wurde, aber nicht funktioniert hat, weil wir die bekannten vBulletin-Lücken gepatcht haben. Gamigo hat das wohl nicht gemacht. Der entsprechende Post wurde bereits mitsamt User entsorgt.
21:30 Uhr: Ein (nicht-administratives) Teammitglied bemerkt die Übernahme seines Accounts und sichert ihn wieder ab. Der angerichtete Schaden wird nach Möglichkeit eingedämmt, weitere User (meist ewig inaktive Altuser) werden auffällig und gesperrt.
22:00 Uhr: Metal_Warrior kann Angriffe über andere Wege als die Website weitestgehend ausschließen. Kein Serverlog zeigt Auffälligkeiten, das Betriebssystem des Servers (und die darauf laufenden Basisdienste) werden daher als sicher eingestuft.
22:40 Uhr: Ankündigung des Gulli-Hacks mit der Empfehlung, die Passwörter zu ändern.
23:40 Uhr: Ein weiteres (moderatives) Teammitglied wird als übernommen identifiziert und gesperrt. Leider blieb diesem wohl genug Zeit, Internas (Kontaktadressen von Teammitgliedern etc.) zu kopieren. Glück für uns: Fast alles sind Tarnidentitäten Vielleicht hat er auch nur die Shoutbox mitgelesen und sich daran ergötzt. Mal sehen...
Sonntag, 3. September 2017
00:00 Uhr: Alle Passwörter von Teammitgliedern werden resettet, weil nicht alle Mitglieder gerade greifbar sind und nicht sicher ist, dass nicht noch jemand sein Passwort vom Gulli recycled hat. Parallel wird auf dem Server weiter nach Einbruchsspuren geforscht. Außer ein paar Chinesen-Scripts, die man immer sieht, ist aber nichts Auffälliges dabei.
01:00 Uhr: Der Beschluss wird gefasst, alle Userpasswörter zu resetten. D. h. alle User müssen die "Passwort-Vergessen"-Methode anwenden. Wer jetzt noch ein Gulli-Passwort einsetzt, dem ist nicht mehr zu helfen.
01:25 Uhr: Das Forum wird in den Wartungsmodus geschaltet. Wir müssen schlafen.
10:00 Uhr: Die ersten von uns haben ausgeschlafen und sind wieder am Ball. Der 1337-HaXX0r scheint mehr ein ScriptKiddie gewesen zu sein, das eine offene Vulnerability bei Gulli ausgenutzt hat. Authentifikationsversuche am Server sind unterblieben (oder waren aus dem Grundrauschen nicht herauszulesen), erfolgreich war keiner.
14:00 Uhr: Alle Userpasswörter werden resettet. Dazu wird eine Mail an alle User versendet und der Logintext umgebaut.
14:20 Uhr: Das Board geht wieder online. Der Krisenfall ist damit beendet.
Take-Home-Messages:
1. Passwörter auf mehreren Seiten zu verwenden ist fahrlässig und kann auch die Sicherheit anderer gefährden.
2. Besteht die Möglichkeit, dass mehrere User gehackt wurden, besser gleich die nukleare Option nutzen und alle Passwörter resetten.
3. Der Hack einer anderen Website kann die eigene gefährden, wenn der Userstamm ähnlich ist, auch wenn man selbst alles richtig gemacht hat.
4. Tarnidentitäten sind super.
5. Einen Adminstab mit vielen Spezialisierungen zu haben ist besser als nur ein Admin, der alles kann.
Hier gehts zum Feedback.
P.S.: Kudos an drfuture, Lokalrunde, electric.larry, thom53281, TheOnly1, poesie_noire, Larius und dexter (und alle, die ich grad vergessen hab) für aktives Suchen, mitformulieren, Aufräumen etc. in den letzten ca. 15 Stunden.
Zuletzt bearbeitet: