DEB gestern hacked!!

Hi,
das DEB ist gestern gehackt worden und nun kam gerade eine Stellungsnahme der Hacker im DEB, ich denke das soll keinem vorenthalten werden!!

Zitat von Anonpress;1727573

Wie die Admins rumlügen.
Wirklich dreist.

Ihr wolltet ein Statement?
Hier habt ihr es:

Hallo.

Ihr habt um ein Statement von uns gebeten und ihr sollt es bekommen.

Als wir gesehen haben wie unfähig die Adminstration ist, haben wir 2 Optionen offen gehabt:
Option 1) Eine PN schreiben um euch auf die vielen Lücken im VBulletin hinzuweisen.
Option 2) Chaos stiften

Option 1 viel weg, da es bestimmt lange gedauert hätte die Administration
a) davon zu überzeugen, dass das Forum vuln ist
b) den Admins zu erklären, wie sie die ganzen Addons fixxen.
c) EIN ILLEGALES FORUM WELCHES IP ADRESSEN SPEICHERT GEHÖRT BESTRAFT !!!!
d) siehe 5 Zeilen weiter unten
Tipp dazu: VSa Modstats würde ich ebenso deinstallieren benutzt lieber die "Log Funktion" direkt im "debadmin"
Wir hätten erneuten Zugriff.

Aber erstmal ein paar andere Dinge.
Die Admins sind alles andere Vertrauenswürdig. Nicht nur das sie jede IP von den Usern loggen, nein,
sie können sich mit einem einfach Plugin in eure Accounts einloggen und eure Privaten Nachrichten lesen
hier der Beweis:
http://picbox.im/image/5046e4157f-2a.png
Addonlink: Admin Log In As User - vBulletin.org Forum
Sowas geht GARNICHT!!! Und wenn ihr durch dieses Vertrauensmissbrauch Stammuser verliert geschieht euch das ganz recht.
Schon mies was eure Admins mit euch anstellen.

Wir stellen 2 Bedingung:
1. DEAKTIVIERT DEN IP LOG!!!!
2. DEINSTALLIERT "ADMIN LOGIN AS USER" !!!! (ratet mal wieso es "Private Nachrichten" heißt...das ihr das auch direkt über die Datenbank könntet ist uns bewusst jedoch nicht so einfach)
Wir sind sogar so nett und erklären euch weiter unten wie es geht.

Ja das haben wir.
Das komplette Backup ist 4.326.300 Bytes (4,3GB) groß.
Es bleibt vorerst bei uns. Darauf geben wir euch unser Wort. Es werden weder Spamemails verschickt oder irgendwelche Dinge damit angestellt. Eure User haben nichts zu befürchten, zumal ein Forenbackup vor Gericht sowieso kein offizielles Beweisstück ist, weil man diese einfach verändern/faken/... kann.
Geht ihr aber auf die oben genannten Bedingungen nicht ein, machen wir die Datenbank+Anhänge public (jedoch ohne Usertabelle & IP's).
Und falls ihr denkt wir merken es nicht und ihr könnt uns verarschen, habt ihr euch geschnitten
Man sollte halt keine 20 Addons installieren.
Das ist keine Erpressung, sondern ein Versprechen.

Zu den Anhängen: Schreibt uns eine PN wieviel €€€ euch diese Wert sind Schon doof wenn man kein FTP-Backup macht.
(Was war das noch mit der Inkompetenz der Admins???)

Kommen wir zum letzten Punkt:
[How-To] IP Log komplett deaktivieren

1. Unter "vBulletin-Einstellungen" zu "Allgemeines" navigieren & dort "Anmeldeversuche beschränken" auf "Nein" stellen.
Weil sonst ein User bewusst 5x ein falsches Passwort eingeben kann und somit jeder User für 15Minuten ausgesperrt wäre (weiter unten die Erklärung dazu)

nun geben wir jedem User die IP 127.0.0.1 (Kein Sicherheitsrisiko)

2. /includes/class_core.php und folgendes suchen (Deshalb Anmelde versuche nicht beschränken)

Code

function fetch_ip() { return $_SERVER['REMOTE_ADDR']; }

mit folgendem ersetzen:

Code

function fetch_ip() { return "127.0.0.1"; }

Außerdem folgendes suchen:

Code

else if (isset($_SERVER['HTTP_FROM'])) { $alt_ip = $_SERVER['HTTP_FROM']; } return $alt_ip;

und mit folgendem ersetzen:

Code

else if (isset($_SERVER['HTTP_FROM'])) { $alt_ip = $_SERVER['HTTP_FROM']; } return "127.0.0.1";

in der register.php folgendes suchen:

Code

$userdata->set('ipaddress', IPADDRESS);

und mit folgendem ersetzen:

Code

$userdata->set('ipaddress','');

Optional kann man ZUSÄTZLICH (nicht stattdessen) folgendes Addon installieren (nicht vuln - kein Sicherheitsrisiko)
Download: PruneIPs_v0.6.1.zip | xup.in
Bild: http://www.abload.de/img/settings5ie5.png

[How-To] VORHANDENE IP's aus der Datenbank löschen

1. To remove IPs from the User registration:
UPDATE user SET ipaddress='';

2. To remove all IPs from posts:
UPDATE post SET ipaddress='';

3. To remove all IP's from Adminlog:
UPDATE adminlog SET ipaddress = '';

4. ..... Moderatorlog:
UPDATE moderatorlog SET ipaddress = '';

... selbsterklärend
UPDATE adv_gallery_images SET ipaddress =''; (falls installiert)
UPDATE adv_gallery_posts SET ipaddress=''; (falls installiert)

Suche-IP's löschen: UPDATE search SET ipaddress='';

um dies im cron (z.B alle 10 Minuten) durchlaufen zu lassen: folgende .php im /includes/cron ordner ablegen:

Spoiler anzeigen

PHP

/*============================================================================*\
|| # Basic Cron Script                                                      # ||
\*============================================================================*/


error_reporting(E_ALL & ~ E_NOTICE);


global $vbulletin;


//Main Script
 
  $log = "";


  //Erase all post ip addresses
  $SQL = "UPDATE " . TABLE_PREFIX . "post 
  SET ipaddress = '' 
  WHERE ipaddress != '' ";
 
  //RUn query above
  $vbulletin->db->query_write($SQL); 
  
  $aff = $vbulletin->db->affected_rows();
  $log .= "$aff Post IP Addresses Cleared. 
"; 




  //Erase all user ip addresses
  $SQL = "UPDATE " . TABLE_PREFIX . "user 
  SET ipaddress = '' 
  WHERE ipaddress != '' ";
 
  //RUn query above
  $vbulletin->db->query_write($SQL); 
  
  $aff = $vbulletin->db->affected_rows();
  $log .= "$aff  User IP Addresses Cleared. 
"; 




  $log .= "IP purge Complete.";
  log_cron_action($log, $nextitem);


?>

Alles anzeigen

Das wars auch schon.
Wir geben euch dafür bis heute Abend um 20Uhr Zeit

Außerdem solltet ihr per Cron alle 10 Minuten die access.log leeren lassen oder am besten gleich chmod 000.

Ein Tipp an die mit Doppeltaccounts:

Die Admins haben ein Addon installiert welches "Multiple Account Detection" heißt, um eure Doppelaccounts ausfindig zu machen.

Man kann es umgehen ... aber zu erklären wie, ist unfair den Admins gegenüber.
@Admins: Falls ihr wissen wollt wie man trotz des "umgehen" eine 99% Trefferquote landen kann (ohne IP log) einfach melden.

Ihr seht also, dass wir gewiss unsere Gründe hatten Chaos zu stiften und nicht per PN mit den Admins zu diskutieren.

- Dieser Post sollte weder gelöscht noch editiert werden, es sei denn wir erhalten eine PN mit einem triftigen Grund wieso wir gewisse Teile löschen sollen.
- Die Bedingungen sollten lieber erfüllt werden

King Regards

cr0wn & paradox2k {CyTEAM}

P.S: Danke das ihr (viele Teammember) so blöd ward und eure komplette Adresse per PN verschickt habt.
Solltet ihr versuchen uns zu verarschen oder uns an die Wäsche zu gehen, so werden wir sämtliche Adressen ohne Vorwarnung publizieren.

An eurer Stelle würden wir "HTML: Erlaubt" im VBulletin deaktivieren. Hohes Sicherheitsrisiko

Alles anzeigen

Gestern wurde wir von einem Hacker heimgesucht der sich hier etwas beweisen musste. Ausgenutzt wurde hier eine Schwachstelle in einem Plugin (acarde auch bekannt als spielhalle) Darüber wurde mein Passwort ermittelt wodurch der Hacker vollen zugriff auf das Forum bekam.

Auf diese weise konnte er tun und lassen was er wollte und das leider unbemerkt.
Dabei hatte er zudem zugriff auf unsere Datenbank und auch die Möglichkeit ein Backup zu laden. Ob er ein komplettes Backup bekommen hat ist unklar. Das DEB hat eine sehr große Datenbank wo es bei solche art wie Backups zu Abbrüchen kommt. Heraus finden möchten Wir es denke Ich alle nicht und falls er ein Backup besitzt, er es für sich behält.

Wie viele mitbekommen haben, waren Wir zunächst auch wieder Online. Wir waren zu voreilig und konzentrierten und nur auf das File System und Systemlogs um die Spuren zu folgen. Dabei haben Wir das wichtigste übersehen und zwar 2 angelegte Zugänge mit komplette Admin rechte. Während Wir das Forum weiterhin versuchten abzusichern, hatte unser freund die Gunst der Stunde genutzt und musste sich erneut beweise. Dabei zerstörte er während ein wichtigen file Transfer vom Datei System zur Datenbank wichtige Tabellen. Hier war es uns leider nicht möglich diese zu rekonstruieren da er komplette Tabellen löschte. Wir waren daher gezwungen ein Backup einzuspielen welchen vom 29.1 um 5 Uhr morgens ist. Somit ist der Verlust zu verkraften. Was jedoch bitter ist, unsere Anhänge und alben wurden dabei zerstört. Unsere Datenbase hingegen ist in Takt. Wir haben jetzt gründlich nach Hinterlassenschaften gesucht und beseitigt.

In diesem sinne Danke, wenn du uns auf die Sicherheitslücke hinweisen wolltest, die kam an. Eine PN hätte es aber auch getan.

Digital Eliteboard - Das DEB wurde gehackt

Das die IP Adressen geloggt werden wurden, auf das wurde im Statement nicht eingegangen.

Cu
Verbogener

Scheint wohl so, als ob Anonpress echt Ahnung von der Materie hat. Auch wenn man seine anderen Beiträge im DEB liest.

AW: DEB gestern hacked!!

http://cr0wn.me

Website mit Stellungnahme

AW: DEB gestern hacked!!

Zitat von mandy28;491056

Man sollte auch mal den ganzen Thread hier lesen , den link gibts schon in post 5

Mein fail, sorry. Hatte den Link irgendwie überlesen

Gesendet von meinem HTC Desire S mit Tapatalk 2