Wie geht es weiter mit den Hacks der letzten Zeit?

  • Moin zusammen,

    ich will hier keine Diskussion lostreten, aber es ist für mich schon ein Stück weit relevant, welche Entwicklung es in diesem Bereich gibt. Es handelt sich ja nicht um "Ausnahmen" oder 1 - 2 betroffene Boards. Weiß überhaupt jemand, wie viele Boards tatsächlich kompromittiert sind? Gibt es bereits neue Erkenntnisse über das Einfallstor? Gibt es sonstige Informationen, die ich als Betreiber wissen müsste? Ich bin schon paranoid und check 3x täglich alle Dateien...

    Ich möchte einfach nur Informationen haben und nicht, dass hier über irgendeine Seite oder eine Person hergezogen wird!

  • Untersuchung aktueller Vorfälle von kompromittierten Foren

    Wir stehen mit einigen Kunden in Kontakt, deren Foren kompromittiert wurden, mit dem Ziel die Zugangsdaten von Benutzern zu erbeuten. Der Angreifer hat dabei einige Dateien verändert, mit dem Ziel Passwörter bei der Eingabe im Klartext abzufangen und zusätzlich eine Hintertür (engl. "backdoor") geschaffen, um sich zu einem späteren Zeitpunkt erneut Zugriff zu verschaffen. Die jetzt veröffentlichten Updates überschreiben die modifizierten Dateien restlos mit der jeweiligen Originalfassung.

    Die erbeuteten Passwörter wurden in der dafür eigenes vom Angreifer angelegten Spalte logToken in der Datenbanktabelle wcf1_user abgelegt. Das Update entfernt diese Daten, in dem etwaig hinterlegte Werte mit der Zeichenkette compromised überschrieben werden. Bei Benutzern, die nicht betroffen sind, ist der Wert einfach leer.

    Sollten Sie Fragen dazu haben oder Hilfe benötigen, wenn Ihre Seite ebenfalls betroffen war, so wenden Sie sich bitte direkt an uns, wir helfen Ihnen gerne weiter.

    Wie hat der Angreifer Zugriff erlangt?

    Die Untersuchungen der betroffenen Seiten deuten bislang stark darauf hin, dass sich der Angreifer, mit Hilfe von zuvor anderweitig gestohlenen Zugangsdaten, direkt an die Administrationsoberfläche angemeldet hat. Wir können es nicht genug betonen: BITTE VERWENDEN SIE NICHT DIE SELBEN PASSWÖRTER AUF UNTERSCHIEDLICHEN WEBSITES! SIE GEFÄHRDEN DAMIT SICH UND IHRE COMMUNITY!

    Das gabs mit der letzten Version als Zusatztext.

    „If you can only do one thing, hone it to perfection. Hone it to the utmost limit!“ – Zenitsu Agatsuma

  • Hi,

    2FA + länge Passwörter für alle Logins und ACP per .htaccess schützen. Das alles bringt jedoch nix wenn Datenbank und Webspace/Server/Emails nicht ausreichend gesichert sind :)

    ┌П┐(◉_◉)┌П┐

    2 Mal editiert, zuletzt von TeRRible__KHONS (14. Mai 2020 um 07:27)

  • 2FA + länge Passwörter für alle Logins und ACP per .htaccess schützen. Das alles bringt jedoch nix wenn Datenbank und Webspace/Server/Emails nicht ausreichend gesichert sind :)

    Die längeren Passwörter dann natürlich auch nicht mehrmals irgendwo verwenden und auch den lokalen Client (PC, Handy etc.) im Auge behalten.

    Bringt nichts, wenn man alles absichert, aber der PC mit Sicherheitsupdates hinterherhinkt o.ä.

  • Ich nutze für jede Webseite ein eigenes, zufällig generiertes passwort und nutze bei mir im Forum das Plugin für 2FA.

    Leider schützt dieses nicht das ACP und mein Passwort alleine reicht weiterhin aus, um ins ACP zu gelangen.

    Es wäre sehr hilfreich 2FA im WoltLab Suite Core mitzuliefern, um insbesondere das ACP besser zu schützen.

    Eine simple, optionale TOTP Lösung würde schon ausreichen.

  • Wenn du das Plugin von Hanashi nutzt, dieses schützt auch das ACP

    Genau das nutze ich. Da TOTP bei mir bisher immer nur nicht im ACP abgefragt wurde, ging ich davon aus, dass dieses auch nicht geschützt war.

    Gut zu wissen, dass es anders ist. Danke für die Info! :)

    Das ist für WSC 5.3 vorgesehen.

    Das klingt super!

  • Das ist dir wahrscheinlich nicht aufgefallen weil du bereits im Frontend verifiziert warst, dann wirds nicht nochmals im ACP abgefragt, wenn du aber das ACP im Direktlink aufrufst (kannst du im Inkognito-Modus testen) wirst du nach dem Code gefragt :)

    ┌П┐(◉_◉)┌П┐

  • Naja. Es waren die Zugangsdaten. Die Kombination aus Benutzername, Passwort und Berechtigung. Verwendet man lediglich einen Benutzer, mit dem man sich nicht nur selbst authentifiziert, sondern mit dem man außerdem auch administrative Aufgaben durchführt, und dem man deshalb dauerhaft administrative Rechte einräumt, ist der Zugang natürlich stärker gefährdet, und man sollte ihn beispielsweise nicht in einem öffentlichen WLAN verwenden.

  • Hallo zusammen,

    für mich besteht "maximale Sicherheit" immer aus mehreren Techniken und Optionen. Halt wie bei einem Haus auch. Ein Riegel alleine schützt nie, ebenso auch nicht nur die Alarmanlage.

    Da wir ja alle wissen, dass es eine "100%ige Sicherheit" nie geben wird und kann, gilt es also, es dem Eindringlich so sehr zu erschweren wie irgend möglich.

    Dazu gehören für mich u.a.:

    • korrekte .htaccess Konfiguration
    • das Schützen eines ACPs mit eigenem .htaccess-Schutz
    • so wenig Leuten wie irgend möglich höhere Rechte verleihen, 5 Admins mit nahezu vollen Rechten machen ein Forum nicht gerade "sicherer".... ;)
    • Software (auch die eigene) möglichst stets auf dem aktuellen Stand halten, das verhindert schon sehr vieles!
    • auch auf seinem/seinen lokalen Rechner/n sichere Passwörter verwenden, Sicherheits-Software aktuell halten und auch in anderer Hinsicht nicht "seinen Kopf ausschalten"
    • möglichst nicht mit seinem Admin-Account von fremden Rechnern (oder I-Net Cafés etc.) aus einloggen (ganz wichtig!)
    • und nicht zuletzt: Eine sichere Server-Umgebung benutzen und falls Kenntnisse dazu fehlen (ist bei den Meisten so!), das jemanden pflegen lassen, der wirklich was davon versteht. Im Zweifelsfall den Hoster selbst

    Zusätzlich sollte man immer im Hinterkopf behalten, dass jedes zusätzliche Plugin/Add-on, jeder Drittanbieter-Software oder eigenes Gecode ein System instabil, anfällig und ggf. hochgradig unsicher machen kann!

    Auch das sollte man auf das wirklich Nötige beschränken und nicht "jeden Sche...." installieren, der sich in irgendeinem "Store" befindet.

    Das macht man beim privaten Handy und Google-Play ja schließlich auch nicht.

    Das alles hat bei mir unterm Strich dazu geführt, dass seit Anbeginn des (öffentlichen) Internets noch keine meiner jemals betreuten Plattformen gehacked oder anderweitig ernsthaft angegriffen wurde (worauf ich tatsächlich auch ein kleines bisschen stolz bin).

    Ich habe mich tatsächlich bisher immer nur um gehackte Fremdforen gekümmert die mich zur Hilfe riefen, bei denen dann fast immer jegliche Sicherheits-Tipps und das logische Denken sträflich ignoriert wurden.

    Und wo auf meine Nachfragen anch dem letzten DB-Backup meistens sowas kommt wie "Öhm... Backup?? Wattn datt? Wo findet man denn sowas?" und ähnliche Antworten.

    Tja lieber Betreiber, da kann man im Zweifelsfall dann auch nicht mehr helfen. "Aus Luft was zaubern" kann auch jemand mit den besten Kenntnissen leider nicht....

    Gruß

    Jörg

    (Jaydee)

  • Meiner Meinung nach wurden Benutzerdaten irgendwo gestohlen und der Angreifen hat versucht wo die Benutzerdaten gleich waren, dort wo er Zugriff erhalten hat weil die Benutzerdaten gleich waren hat er ganz easy übers ACP ein vorhandenes Paket mit seinem Schadecode geupdated.

    ┌П┐(◉_◉)┌П┐

    • Offizieller Beitrag

    Die allgemeine Empfehlung ganz unabhängig von den genannten Hacks kann eigentlich nur lauten: Ein sicheres Kennwort für ALLE Accounts, die Zugriff auf die kritischen Funktionen (z.B. Pakete installieren) der Administrationsoberfläche haben. Unter KEINEN Umständen sollte ein solches Kennwort - z.B. für die Anmeldung auf einer Drittseite - wiederverwendet werden.

    Zusätzlichen Schutz können die folgenden Maßnahmen bieten:

    • So wenig wie möglich Personen sollten Zugriff auf die Administrationsoberfläche haben.
    • Gesonderter Administrator-Account, der selbst nicht für die Nutzung des Forums genutzt wird.
    • Aktivierung des Hauptkennworts.
    • Nutzung der WoltLab Cloud. Dort sind versteckte Änderungen an PHP-Dateien per se unmöglich und es können nur geprüfte Pakete aus dem Plugin-Store installiert werden.

    Marcel Werk
    WoltLab CEO

  • Aber wie kann man nur den Administratorzugang (!) einfach auf anderen Plattformen verwenden? Wenn ihr euch lange Passwörter schlecht merken könnt, dann verwendet doch einfach einen weiteren Benutzer und verpasst dem ein sicheres Passwort. Dann müsst ihr auch nicht so sehr aufpassen, auf welchen System und in welchen Netzen ihr euch mit eurem Benutzer anmeldet. Der ist dann einfach nur ein normaler Benutzer. Mit maximal noch Moderatorenrechten.

    PS: Hat sich „leicht“ mit Marcels Antwort überschnitten aber da kann ich gleich noch etwas ergänzen... ^^

    Gesonderter Administrator-Account, der selbst nicht für die Nutzung des Forums genutzt wird.

    Und der heißt natürlich nicht Administrator und taucht auch weder in der Team-Liste noch in der Benutzer-Online-Liste auf.

  • Eben, es gibt eine ganze Reihe an Sicherheitsvorkehrungen (siehe mein Beitrag oben). Und das ist nur ein ganz kleiner Teil "meiner Tipps", manche "versteckte Riegel" verrate ich nicht öffentlich. :D

    Denn das lesen ja auch wieder genau die Falschen und freuen sich über Hinweise, worauf sie zu achten haben bzw. was sie noch alles umgehen müssen.

    Das ALLERWICHTIGSTE ist und bleibt - egal ob an Web-Systemen oder zuhause am eigenen PC:

    NIE DEN KOPF AUSSCHALTEN!

    Man kann es gar nicht oft genug betonen.... (und trotzdem erlebt man es nahezu täglich neu bei unterschiedlichen Leuten). Und das sind nicht unbedingt nur die, die auch blind dem Navi folgen und auf irgendwelchen Kuhweiden landen.

    Gruß

    Jörg

    (Jaydee)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!