usa-reise.de Forum

Autor Thema: Hackerangriff auf Forum  (Gelesen 1528 mal)

0 Mitglieder und 3 Gäste betrachten dieses Thema.

Elmar

  • Gold Member
  • *****
  • Beiträge: 827
    • eausmuc on tour
Hackerangriff auf Forum
« am: 23.03.2008, 14:40 Uhr »
Hallo

Ich hoffe, hier kann das nicht passieren!
Vor ein paar Tagen war plötzlich ein Outdoorforum nicht mehr am Netz. Jetzt hat sich herausgestellt dass die Site gehackt
wurde.

http://outdoorseiten.wordpress.com/2008/03/

Gruß Elmar

eausmuc on tour

Florida: 1990 `91 `95 `97 `99 `00 `01 `02 `03 `04 `05 `06 `07 `08 ´10 NO: `93 SW `07 ´09 `12 ´13 ´14 `15 ´17

In-Tim

  • Platin Member
  • *****
  • Beiträge: 1.987
Re: Hackerangriff auf Forum
« Antwort #1 am: 23.03.2008, 16:10 Uhr »
Das kann hier auch passieren. Ein gibt keine 100% sichere Software, besonders nicht wenn es eine für jedermann verfügbare Software ist, wie Boardsysteme.
Übrigens: Die neue Hauptseite basiert auch auf Joomla.
07-10 | 30 US-States; EU,NO,SE,MK
11-13 | SE,NO,DK,FR,SP | AU,TH,SGP,SA,IN,IDN,VAE | USA:CA,AZ
2014 | UK,SP,MK,AT,CH | VAE,MA,IDN,RU | USA:WA,OR,CA,NV,AZ;
2015 | EU,BY | USA:NY,DC,CA,NV,UT,ME,NH,VT,RI,CT,NJ | CAN:QC,NB

EDVM96

  • Forever West!
  • Moderator
  • Diamond Member
  • *****
  • Beiträge: 9.586
Re: Hackerangriff auf Forum
« Antwort #2 am: 24.03.2008, 11:40 Uhr »
Übrigens: Die neue Hauptseite basiert auch auf Joomla.
Ach echt? Man liest ja immer wieder unschöne Dinge über kritische Sicherheitslücken bei Joomla...  :?

Elmar

  • Gold Member
  • *****
  • Beiträge: 827
    • eausmuc on tour
Re: Hackerangriff auf Forum
« Antwort #3 am: 24.03.2008, 11:45 Uhr »
Ich war da schon leicht überrascht. Dass es Angriffe auf PC´s gibt hört man ja häufiger. Aber ganze Websites hacken?
Ich war eigentlich der Meinung, dass das nicht geht, (Professioneller Aufbau, kein Windoof usw)
Allerdings kenne ich mich mit Computern auch nicht gut aus. :verwirrt:
Gruß Elmar

eausmuc on tour

Florida: 1990 `91 `95 `97 `99 `00 `01 `02 `03 `04 `05 `06 `07 `08 ´10 NO: `93 SW `07 ´09 `12 ´13 ´14 `15 ´17

EDVM96

  • Forever West!
  • Moderator
  • Diamond Member
  • *****
  • Beiträge: 9.586
Re: Hackerangriff auf Forum
« Antwort #4 am: 24.03.2008, 11:52 Uhr »
Ich war eigentlich der Meinung, dass das nicht geht, (Professioneller Aufbau, kein Windoof usw)
-> Einbrüche in Linux-Webserver am häufigsten  :wink:

Jack Black

  • Gast
Re: Hackerangriff auf Forum
« Antwort #5 am: 24.03.2008, 13:25 Uhr »
Das Prinzip ist immer das gleiche und ich kann nicht begreifen, dass die Entwickler solcher CMS-Portale (wie Joomla usw.) nicht daraus lernen. Man muss es schon deutlich sagen, aber die Hacks beruhen immer auf schweren Sicherheitslücken, die die Programmierer fast schon fahrlässig in Ihre Software einbauen.

Logischerweise werden vermehrt Linux-Server gehackt, denn auf diesen laufen in aller Regel die PHP-basierten Produkte (Microsoft bietet mit ASP eine andere Sprache als PHP an, die bei weitem nicht so verbreitet ist wie PHP), die als sog. "GPL" (= freie Software mit Quellcode) ausgeliefert wird.

Da haben es Hacker ganz besonders einfach, denn sie brauchen nicht nach Passwörtern o.ä. zu fahnden, sondern sie studieren den Quellcode der Softwareprodukte und suchen gezielt die Schwachstellen, die eigentlich immer die gleichen sind (und deswegen nenne ich solche Programmierer "fahrlässig") und die eigentlich einfach zu vermeiden sind.

Der Kerntrick ist immer der gleiche: wer schon einmal ein Portal besucht hat, dem wird auffallen, dass die URLs im Browser oft "merkwürdig" lang sind, da stehen nicht nur die Domain- und Seitennamen drin, sondern da werden auch sog. "Parameter" mit übergeben, welche von einem zentralen Script ausgewertet werden und welches dann entscheidet, welcher Content angezeigt wird. Und genau beim "Zusammenbau" aus diesen Parametern wird sträflich geschludert - weil die Programmierer nur bestimmte Inhalte erwarten und außergewöhnliche Zeichenkombinationen nicht mit der nötigen Sorgfalt ignorieren. Das ist jetzt für den Laien schwer vorstellbar, aber es ist je nach Lücke möglich, komplette Teilscripts via solcher Parameter an das System zu übergeben, diese werden dann (leider) nicht ignoriert, sondern sträflich zusammengebaut und ausgeführt.

Meistens kommt dann noch dazu, dass viele Server falsch konfiguriert sind, dass der "Apache-Prozess" (das ist die eigentliche Serversoftware) mit viel zu hohen Rechten ausgestattet wird, obwohl er das eigentlich gar nicht bräuchte, und dann passiert das Unglaubliche, die "untergejubelten" Programmzeilen werden ausgeführt und durch die zu hohen Berechtigungen von Apache auf dem Webserver werden dann eine Art "Viren" eingeschmuggelt, nämlich kleinen Scripte auf der Serverplatte geschrieben, die ihrerseits dann wieder via Apache ausgeführt werden (der immer noch zu hohe Berechtigungen hat) und so kommt eins zum anderen und irgendwann ist das System gehackt und kaputt.

Das unfassbare daran: man braucht kein einziges Passwort zu knacken (das ist das, was so schwer zu verstehen ist), man benutzt einfach "um die Ecke" die UserID von Apache um den Server in die Knie zu zwingen.

Sicherlich stimmt es, dass es keine fehlerfreie Software gibt, aber diese o.g. Mechanismen sind so dermaßen ausgelatscht und bekannt, dass es nicht sein darf, dass immer wieder Programmiere diese Fehler neu machen. Es gibt in PHP sogar inzwischen eigenständige Funktionen, die die Parameterwerte "bereinigen" - nur: sie werden eben nicht benutzt. Und da hört mein Verständnis auf.

Ist so eine Lücke erst einmal aufgespürt, ist der Schaden gewaltig: weil inzwischen die Software auf x Rechnern installiert ist und jeder Admin nun gezwungen ist, ein Update einzuspielen. Jeder, der selbst eine eigene Seite führt, weiß aber, wie lästig, fehlerträchtig und unangenehm das ist. Denn im Vergleich zum Privat-PC, wo eine Software auch mal in die Binsen gehen darf, ist es auf einem Online-System für alle Beteiligten außerordentlich ärgerlich, wenn der Betrieb still steht. Und deswegen sind viele Server noch Monate und Jahre lang angreifbar, nachdem der Hack eigentlich schon längst bekannt und behoben wurde.

Warum machen Hacker sowas? Weil es ihnen Spass macht - Geld gibt es dafür nicht.

Grüße
Rainer

Quasan

  • Bronze Member
  • *****
  • Beiträge: 236
    • Homepage
Re: Hackerangriff auf Forum
« Antwort #6 am: 24.03.2008, 14:23 Uhr »
Hallo,

Warum machen Hacker sowas? Weil es ihnen Spass macht - Geld gibt es dafuer nicht.
ohoh, taeusche dich da mal nicht. Was Du recht ausfuehrlich beschreibst - Skripte auf den Server laden und ausfuehren - wird oft von Leuten gemacht die Bot-Netze (IRC) betreiben. Das faellt (haeufig) erstmal gar nicht auf, da der Prozess - sinniger Weise - als "/usr/sbin/httpd" o. ae. in der Prozessliste erscheint und nichts weiter macht, als sich zu einem IRC-Server zu verbinden. Diese Bot-Netze werden durchaus als Dienstleistung verkauft um z. B. DDoS-Angriffe zu fahren.

*klugscheissmodusan* Skripte auf einen Server laden laesst sich in den seltesten Faellen unterdruecken, da ein Webspace - der vom Webserver nicht beschreibbar ist (bestimmte Bereiche zumindest) - oft einfach unbrauchbar fuer die Anwendung ist. Und da ist es dann auch egal, ob der Server-Prozess als root oder 08/15 User (was wohl zu >= 99% zutreffen ist) laeuft - schreiben koennen = schreiben koennen. *klugscheissmodusaus*

Gruss,
Volker
www.vd-online.net
Unix is user friendly ... it's just picky about it's friends.

Jack Black

  • Gast
Re: Hackerangriff auf Forum
« Antwort #7 am: 24.03.2008, 15:18 Uhr »
*klugscheissmodusan* Skripte auf einen Server laden laesst sich in den seltesten Faellen unterdruecken, da ein Webspace - der vom Webserver nicht beschreibbar ist (bestimmte Bereiche zumindest) - oft einfach unbrauchbar fuer die Anwendung ist. Und da ist es dann auch egal, ob der Server-Prozess als root oder 08/15 User (was wohl zu >= 99% zutreffen ist) laeuft - schreiben koennen = schreiben koennen. *klugscheissmodusaus*

Es wird sehr off-topic - aber was Du schreibst, ist nicht ganz richtig. Serverprozesse können und dürfen auf bestimmte Stellen des Webspace schreiben dürfen (für Uploads beispielsweise) - aber diese Stellen dürfen NICHT direkt für HTTP Requests freigegeben sein - was sie aber leider oft sind (sprich: sie gehören zum Scope des DocumentRoots oder eines Alias etc.). Das DARF NICHT sein.

Es gibt massenhaft Hostservices mit unzulänglich konfigurierten Servern. Der Loomes-Hoster ist vor wenigen Jahren mal gehackt worden, die hatten die Passwortdateien (MySQL-Backups) in Textformat unter dem DocumentRoot liegen - unverschlüsselt. Doofheit muss bestraft werden.

Wobei ich im vorliegenden Fall dabei bleibe, das Grundübel liegt in den Scripts, deren Sourcecode frei verfügbar ist. Und es ist nahezu immer die eval()-Funktion oder der 'e'-Modifier in preg_Funktionen, der letztendlich den Code ausführt, weil es "so schön zu programmieren ist"...

Grüße
Rainer

Elmar

  • Gold Member
  • *****
  • Beiträge: 827
    • eausmuc on tour
Re: Hackerangriff auf Forum
« Antwort #8 am: 24.03.2008, 15:25 Uhr »
@ jackblack

Danke für Deine ausführliche Erklärung. Ich habe zwar kein Wort verstanden.........  :verwirrt:aber trotzdem.
Anmerkung: Bei o.g. Forum war es nicht das erste Mal dass sie gehackt wurden, vor ein paar Wochen ist es anscheinend schonmal passiert!?
Gruß Elmar

eausmuc on tour

Florida: 1990 `91 `95 `97 `99 `00 `01 `02 `03 `04 `05 `06 `07 `08 ´10 NO: `93 SW `07 ´09 `12 ´13 ´14 `15 ´17

mannimanta

  • Diamond Member
  • *****
  • Beiträge: 3.352
  • USA Reisevirus - nicht heilbar....
Re: Hackerangriff auf Forum
« Antwort #9 am: 24.03.2008, 20:29 Uhr »
Überrascht mich nicht.
Ich bin noch in einem anderen Forum Mitglied (LAN -Partys) :wink:
dort wurde das Forum vor ein paar Wochen auch gehackt.
Alle Passwörter waren auf einmal nicht mehr gültig.

Allerdings hatte sich der Hacker kurz danach gemeldet und erklärt, er wolle nur auf die
Sicherheitslücke aufmerksam machen.

Datenverluste gab es nicht.

Gruss,
Manni

In-Tim

  • Platin Member
  • *****
  • Beiträge: 1.987
Re: Hackerangriff auf Forum
« Antwort #10 am: 24.03.2008, 23:13 Uhr »
Korrekt Rainer, aber das Problem liegt ja nun nicht darin, dass die Software OpenSource ist, schließlich wird auch nahezu jede andere Software gehacked oder gecrackt. Dadurch, dass jeder den Sourcecode einsehen kann werden Sicherheitslücken auch von gutwilligen Leuten gesehen und behoben. Auch der Apache ist an sich eine nahezu uneinnehmbare Festung, wenn man ihn richtig kofiguriert. Und man muss die Software immer auf dem aktuellen Stand halten, was sicher nur ein Bruchteil der Admins macht. Den jeder passt sich so ein Portal wie Joomla an seine eigenen Bedürfnisse an, installiert Module und Plugins etc.. Da werden Updates schnell kritisch und führen zu Inkompatibilitäten, weshalb es vernachlässigt wird.

Am Ende bleibt die Erkenntniss, dass eigentlich jeder Computer gehacked werden kann, wenn der Hacker es will und man selbst nicht gerade ein Sicherheits-Experte ist. Vermeiden sollte man gegen "Laien" zu verlieren, die mit einer einfachen Anleitung aus dem Internet in das eigene System gelangen. Dagegen helfen schon simple regelmäßige Updates.
07-10 | 30 US-States; EU,NO,SE,MK
11-13 | SE,NO,DK,FR,SP | AU,TH,SGP,SA,IN,IDN,VAE | USA:CA,AZ
2014 | UK,SP,MK,AT,CH | VAE,MA,IDN,RU | USA:WA,OR,CA,NV,AZ;
2015 | EU,BY | USA:NY,DC,CA,NV,UT,ME,NH,VT,RI,CT,NJ | CAN:QC,NB

Jack Black

  • Gast
Re: Hackerangriff auf Forum
« Antwort #11 am: 25.03.2008, 00:26 Uhr »
Korrekt Rainer, aber das Problem liegt ja nun nicht darin, dass die Software OpenSource ist, schließlich wird auch nahezu jede andere Software gehacked oder gecrackt.

Nicht so einfach alles durcheinanderschmeißen: selbstverständlich liegt es bei Joomla und Konsorten daran, dass es OpenSource ist. Diese Art von Hacken unterscheidet sich gewaltig von der Art "hacken", die richtigerweise eigentlich "cracken" heißen muss, nämlich das Umgehen und knacken von kopiergeschützter Software resp. das aushebeln von Aktivierungsmechanismen.

Das ist etwas ganz anderes als die gezielte Attacke auf ein Internetportal, welches auf einem Remoterechner läuft. Die dazu notwendigen Requests, die an den Server gesandt werden, sind ohne Sourcecodekenntnisse definitiv nicht zu bestimmen. Ein Crack dagegen wird in aller Regel durch Disassemblierung und Patchen des Maschinencodes erreicht - eine vollkommen andere Welt und ein ganz anderer Anspruch.

Dass letztendlich auch ein fehlerhaft konfigurierter Apache mit eine Voraussetzung für den Erfolg eines Server-Hackers ist, hatte ich ja ohnehin schon geschrieben. Aber würde die vorliegende Software nicht im Source, sondern als unlesbarer Maschinencode ausgeliefert, wäre diese Form von Hacken ungleich schwerer als das Umgehen einer Schlüsseleingabe o.ä.

Und das Problem der regelmäßigen Updates bei Onlineportalen hatte ich eigentlich auch schon abgehandelt - das geht nicht einfach so hopplahopp wie auf dem Heim-PC. Meistens geht eine Kleinigkeit schief, ist irgendeine Tabelle geändert worden, muss irgendein Patch richtig installiert werden - und schon steht das Portal still: der Alptraum eines jeden Webadmins. Deswegen scheuen viele Admins den regelmäßigen Upgrade - und entfernen sich damit immer weiter vom aktuellen Stand. Man darf nicht vergessen, dass die meisten Webseitenbetreiber technische Laien sind und bei dem geringsten Problem auf Hilfe von Dritten angewiesen ist. Das alles führt dann dazu, dass Updates speziell auf Webservern wesentlich seltener eingespielt werden als auf dem heimischen PC.

Grüße
Rainer