Ergebnis 1 bis 2 von 2

Thema: Gulli-Hack und Auswirkungen aufs NGB

  1. #1
    Defender of Freedom

    Administrator

    Avatar von Metal_Warrior
    Registriert seit
    Aug 2013
    Ort
    /dev/mapper/home
    Beiträge
    6.500
    ngb:news Artikel
    7

    Gulli-Hack und Auswirkungen aufs NGB

    Wie jeder mitbekommen hat, ist das Forum nach einem ziemlich chaotischen Samstag Abend erstmal in den Wartungsmodus versetzt worden. Da wir als Team euch gegenüber die Verpflichtung sehen, transparent und sicher zu arbeiten, möchten wir euch auf diesem Wege den Abend rekonstruieren:


    Samstag, 2. September 2017

    17:00 Uhr: Metal_Warrior bekommt die erste PN von einem Benutzer. Inhalt: Verkauf der Gulli-DB an das Team des NGB. Die Nachrichten sind kurz und schlecht bis gar nicht verständlich und bedienen sich Links zu PasteBin, die mittlerweile alle wieder down sind. Natürlich war das auch nicht dieser Benutzer, sondern der Angreifer, welcher seinen Account mit Logindaten aus dem G:B übernommen hatte. Nachfolgend gingen weitere PNs ans gesamte Team. Der Kauf wird abgelehnt, die Implikationen aber intern bereits diskutiert.

    18:45 Uhr: Dem Angreifer dämmert es, dass sein Hack ungefähr so viel Geld einbringt wie ein rostiger Nagel. Er schreibt nun nicht nur mehr das Team an, sondern alle möglichen älteren User. Soweit wir wissen, war auch das umsonst.

    19:30 Uhr: Der Angreifer gibt auf und will nur noch Schaden anrichten. Mehrere übernommene User werden gesperrt, unter Anderem einer, der Zugriff auf einen Teil des Teamforums hatte. Über PNs von übernommenen Accounts versucht der Angreifer, weitere Informationen aus dem Team zu erhalten.

    20:00 Uhr: Wir identifizieren einen vermuteten Angriffsvektor, der bei uns am 30.8. ausprobiert wurde, aber nicht funktioniert hat, weil wir die bekannten vBulletin-Lücken gepatcht haben. Gamigo hat das wohl nicht gemacht. Der entsprechende Post wurde bereits mitsamt User entsorgt.

    21:30 Uhr: Ein (nicht-administratives) Teammitglied bemerkt die Übernahme seines Accounts und sichert ihn wieder ab. Der angerichtete Schaden wird nach Möglichkeit eingedämmt, weitere User (meist ewig inaktive Altuser) werden auffällig und gesperrt.

    22:00 Uhr: Metal_Warrior kann Angriffe über andere Wege als die Website weitestgehend ausschließen. Kein Serverlog zeigt Auffälligkeiten, das Betriebssystem des Servers (und die darauf laufenden Basisdienste) werden daher als sicher eingestuft.

    22:40 Uhr: Ankündigung des Gulli-Hacks mit der Empfehlung, die Passwörter zu ändern.

    23:40 Uhr: Ein weiteres (moderatives) Teammitglied wird als übernommen identifiziert und gesperrt. Leider blieb diesem wohl genug Zeit, Internas (Kontaktadressen von Teammitgliedern etc.) zu kopieren. Glück für uns: Fast alles sind Tarnidentitäten Vielleicht hat er auch nur die Shoutbox mitgelesen und sich daran ergötzt. Mal sehen...


    Sonntag, 3. September 2017

    00:00 Uhr: Alle Passwörter von Teammitgliedern werden resettet, weil nicht alle Mitglieder gerade greifbar sind und nicht sicher ist, dass nicht noch jemand sein Passwort vom Gulli recycled hat. Parallel wird auf dem Server weiter nach Einbruchsspuren geforscht. Außer ein paar Chinesen-Scripts, die man immer sieht, ist aber nichts Auffälliges dabei.

    01:00 Uhr: Der Beschluss wird gefasst, alle Userpasswörter zu resetten. D. h. alle User müssen die "Passwort-Vergessen"-Methode anwenden. Wer jetzt noch ein Gulli-Passwort einsetzt, dem ist nicht mehr zu helfen.

    01:25 Uhr: Das Forum wird in den Wartungsmodus geschaltet. Wir müssen schlafen.

    10:00 Uhr: Die ersten von uns haben ausgeschlafen und sind wieder am Ball. Der 1337-HaXX0r scheint mehr ein ScriptKiddie gewesen zu sein, das eine offene Vulnerability bei Gulli ausgenutzt hat. Authentifikationsversuche am Server sind unterblieben (oder waren aus dem Grundrauschen nicht herauszulesen), erfolgreich war keiner.

    14:00 Uhr: Alle Userpasswörter werden resettet. Dazu wird eine Mail an alle User versendet und der Logintext umgebaut.

    14:20 Uhr: Das Board geht wieder online. Der Krisenfall ist damit beendet.


    Take-Home-Messages:

    1. Passwörter auf mehreren Seiten zu verwenden ist fahrlässig und kann auch die Sicherheit anderer gefährden.
    2. Besteht die Möglichkeit, dass mehrere User gehackt wurden, besser gleich die nukleare Option nutzen und alle Passwörter resetten.
    3. Der Hack einer anderen Website kann die eigene gefährden, wenn der Userstamm ähnlich ist, auch wenn man selbst alles richtig gemacht hat.
    4. Tarnidentitäten sind super.
    5. Einen Adminstab mit vielen Spezialisierungen zu haben ist besser als nur ein Admin, der alles kann.


    Hier gehts zum Feedback.

    P.S.: Kudos an drfuture, Lokalrunde, electric.larry, thom53281, TheOnly1, poesie_noire, Larius und dexter (und alle, die ich grad vergessen hab) für aktives Suchen, mitformulieren, Aufräumen etc. in den letzten ca. 15 Stunden.
    Geändert von Metal_Warrior (05.09.17 um 17:50 Uhr) Grund: Ehre, wem Ehre gebührt - und eine Klarstellung bzgl. der übernommenen Teamaccounts
    GCM/IT/S/O d-(--) s+:- a? C++(+++) UL+++(++++)$ P L+++>++++ W++ w@$ M--$ PS+(++) PE(-) Y+(++) PGP++(+++) t+ 5(+) R* !tv b+(++++) DI(++) G++ e+>++++ h(--) y?
    Das Ende ist nahe: Dem Harleyschen Kometen folgt der Gammablitz beim Scheißen.

  2. #2
    Schneehase/Humor-Diktator

    Administrator

    Avatar von Lokalrunde
    Registriert seit
    Jul 2013
    Ort
    im Tiefschnee
    Beiträge
    64.590
    ngb:news Artikel
    535

    Re: Gulli-Hack und Auswirkungen aufs NGB

    Calling MSX!

    Wir sind gerne bereit, jedem weiterzuhelfen. Aber gerade bei Dir haben wir jetzt das Problem, dass wir Dich unter Deiner neuen E-Mail-Adresse einfach nicht erreichen können (wir kommen nicht durch, weil der E-Mail-Provider nicht will). Wäre schön, wenn Du das liest und uns eine kurze Mail schreibst und uns eine alternative Adresse mitteilen würdest.

    Danke!


    Hat sich erledigt, er hat sich gemeldet.
    Für diesen Beitrag bedanken sich CEO, Metal_Warrior, m.d.u., Verbogener, MSX
    Geändert von Lokalrunde (03.09.17 um 21:58 Uhr)
    ║ ► ♫ ZehnVorne - Die ngb-Bar ♫ ◄ ║ ► Lokalrundes Fun-Blog: wieder online ◄ ║
    The cold never bothered me anyway

    “Every autumn now my thoughts return to snow. Snow is something I identify myself with. Like my father, I am a snow person.” (Charlie English)


Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •