• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Gulli-Hack und Auswirkungen aufs NGB

Status
Für weitere Antworten geschlossen.

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
Wie jeder mitbekommen hat, ist das Forum nach einem ziemlich chaotischen Samstag Abend erstmal in den Wartungsmodus versetzt worden. Da wir als Team euch gegenüber die Verpflichtung sehen, transparent und sicher zu arbeiten, möchten wir euch auf diesem Wege den Abend rekonstruieren:


Samstag, 2. September 2017

17:00 Uhr: Metal_Warrior bekommt die erste PN von einem Benutzer. Inhalt: Verkauf der Gulli-DB an das Team des NGB. Die Nachrichten sind kurz und schlecht bis gar nicht verständlich und bedienen sich Links zu PasteBin, die mittlerweile alle wieder down sind. Natürlich war das auch nicht dieser Benutzer, sondern der Angreifer, welcher seinen Account mit Logindaten aus dem G:B übernommen hatte. Nachfolgend gingen weitere PNs ans gesamte Team. Der Kauf wird abgelehnt, die Implikationen aber intern bereits diskutiert.

18:45 Uhr: Dem Angreifer dämmert es, dass sein Hack ungefähr so viel Geld einbringt wie ein rostiger Nagel. Er schreibt nun nicht nur mehr das Team an, sondern alle möglichen älteren User. Soweit wir wissen, war auch das umsonst.

19:30 Uhr: Der Angreifer gibt auf und will nur noch Schaden anrichten. Mehrere übernommene User werden gesperrt, unter Anderem einer, der Zugriff auf einen Teil des Teamforums hatte. Über PNs von übernommenen Accounts versucht der Angreifer, weitere Informationen aus dem Team zu erhalten.

20:00 Uhr: Wir identifizieren einen vermuteten Angriffsvektor, der bei uns am 30.8. ausprobiert wurde, aber nicht funktioniert hat, weil wir die bekannten vBulletin-Lücken gepatcht haben. Gamigo hat das wohl nicht gemacht. Der entsprechende Post wurde bereits mitsamt User entsorgt.

21:30 Uhr: Ein (nicht-administratives) Teammitglied bemerkt die Übernahme seines Accounts und sichert ihn wieder ab. Der angerichtete Schaden wird nach Möglichkeit eingedämmt, weitere User (meist ewig inaktive Altuser) werden auffällig und gesperrt.

22:00 Uhr: Metal_Warrior kann Angriffe über andere Wege als die Website weitestgehend ausschließen. Kein Serverlog zeigt Auffälligkeiten, das Betriebssystem des Servers (und die darauf laufenden Basisdienste) werden daher als sicher eingestuft.

22:40 Uhr: Ankündigung des Gulli-Hacks mit der Empfehlung, die Passwörter zu ändern.

23:40 Uhr: Ein weiteres (moderatives) Teammitglied wird als übernommen identifiziert und gesperrt. Leider blieb diesem wohl genug Zeit, Internas (Kontaktadressen von Teammitgliedern etc.) zu kopieren. Glück für uns: Fast alles sind Tarnidentitäten :D Vielleicht hat er auch nur die Shoutbox mitgelesen und sich daran ergötzt. Mal sehen...


Sonntag, 3. September 2017

00:00 Uhr: Alle Passwörter von Teammitgliedern werden resettet, weil nicht alle Mitglieder gerade greifbar sind und nicht sicher ist, dass nicht noch jemand sein Passwort vom Gulli recycled hat. Parallel wird auf dem Server weiter nach Einbruchsspuren geforscht. Außer ein paar Chinesen-Scripts, die man immer sieht, ist aber nichts Auffälliges dabei.

01:00 Uhr: Der Beschluss wird gefasst, alle Userpasswörter zu resetten. D. h. alle User müssen die "Passwort-Vergessen"-Methode anwenden. Wer jetzt noch ein Gulli-Passwort einsetzt, dem ist nicht mehr zu helfen.

01:25 Uhr: Das Forum wird in den Wartungsmodus geschaltet. Wir müssen schlafen.

10:00 Uhr: Die ersten von uns haben ausgeschlafen und sind wieder am Ball. Der 1337-HaXX0r scheint mehr ein ScriptKiddie gewesen zu sein, das eine offene Vulnerability bei Gulli ausgenutzt hat. Authentifikationsversuche am Server sind unterblieben (oder waren aus dem Grundrauschen nicht herauszulesen), erfolgreich war keiner.

14:00 Uhr: Alle Userpasswörter werden resettet. Dazu wird eine Mail an alle User versendet und der Logintext umgebaut.

14:20 Uhr: Das Board geht wieder online. Der Krisenfall ist damit beendet.


Take-Home-Messages:

1. Passwörter auf mehreren Seiten zu verwenden ist fahrlässig und kann auch die Sicherheit anderer gefährden.
2. Besteht die Möglichkeit, dass mehrere User gehackt wurden, besser gleich die nukleare Option nutzen und alle Passwörter resetten.
3. Der Hack einer anderen Website kann die eigene gefährden, wenn der Userstamm ähnlich ist, auch wenn man selbst alles richtig gemacht hat.
4. Tarnidentitäten sind super.
5. Einen Adminstab mit vielen Spezialisierungen zu haben ist besser als nur ein Admin, der alles kann.


Hier gehts zum Feedback.

P.S.: Kudos an drfuture, Lokalrunde, electric.larry, thom53281, TheOnly1, poesie_noire, Larius und dexter (und alle, die ich grad vergessen hab) für aktives Suchen, mitformulieren, Aufräumen etc. in den letzten ca. 15 Stunden.
 
Zuletzt bearbeitet:

Lokalrunde

Schneehasen-Administrator
Teammitglied

Registriert
13 Juli 2013
Beiträge
74.545
Ort
im Tiefschnee
Calling MSX!

Wir sind gerne bereit, jedem weiterzuhelfen. Aber gerade bei Dir haben wir jetzt das Problem, dass wir Dich unter Deiner neuen E-Mail-Adresse einfach nicht erreichen können (wir kommen nicht durch, weil der E-Mail-Provider nicht will). Wäre schön, wenn Du das liest und uns eine kurze Mail schreibst und uns eine alternative Adresse mitteilen würdest.

Danke!


Hat sich erledigt, er hat sich gemeldet.
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
Oben