Reiner: Datenkonsolidierung

... würde die Bahn wohl das nennen, was man zur Zeit live auf http://www.wolfgang-schaeuble.de/ miterleben kann.

lg
Reiner

  1. ... würde die Bahn wohl das nennen, was man zur Zeit live auf http://www.wolfgang-schaeuble.de/ miterleben kann.

    lg
    Reiner

    das ist ja mal zu geil.. herlizchen glueckwunsch zum Hacker, der das geschafft hat.. die sind ja auch selber dumm. wenn sie keine Sicherheitsupdates machen..
    ich goenns dem SChaeuble mal so richtig.

    1. hi,

      das ist ja mal zu geil.. herlizchen glueckwunsch zum Hacker, der das geschafft hat.. die sind ja auch selber dumm. wenn sie keine Sicherheitsupdates machen..

      Ist nicht das erste mal und ich denke auch nicht das letzte mal.

      mfg

      --
      echo '<pre>'; var_dump($Malcolm_Beck`s); echo '</pre>';
      array(2) {
        ["SELFCODE"]=>
        string(74) "ie:( fl:) br:> va:? ls:? fo:) rl:| n4:# ss:{ de:? js:} ch:? sh:( mo:? zu:("
        ["Meaningful"]=>
        string(?) "Der Sinn des Lebens ist deinem Leben einen Sinn zu geben"
      }
      1. das ist ja mal zu geil.. herlizchen glueckwunsch zum Hacker, der das geschafft hat.. die sind ja auch selber dumm. wenn sie keine Sicherheitsupdates machen..

        Ist nicht das erste mal und ich denke auch nicht das letzte mal.

        Nein ein CMS XY ZeroDay fällt allen in den Rücken, den unliebsamen Politikern, wie ihren Möchtegern Kritikern.

        mfg Beat;

        --
        ><o(((°>           ><o(((°>
           <°)))o><                     ><o(((°>o
      2. hi,

        »» das ist ja mal zu geil.. herlizchen glueckwunsch zum Hacker, der das geschafft hat.. die sind ja auch selber dumm. wenn sie keine Sicherheitsupdates machen..

        Ist nicht das erste mal und ich denke auch nicht das letzte mal.

        stimmt

        1. hi,

          stimmt

          „Da der Herr Bundesinnenminister gerne möglichst viele Informationen über die Rechner der Bürger erlangen möchte, ist es mehr als Recht, daß der Bürger seinerseits auch über die neuesten Pläne informiert bleibt und sichergestellt ist, daß diese immer zugänglich sind!“

          FULL ACK! ;)

          Ich finde es immer wieder Lustig, dass es gerade seine Seite erwischt. Nach dem letzten Angriff hatte ich angenommen, dass das Kompetente Team, dass für diesen kleinen zwischenfall verantwortlich ist, ausgewechselt wird; anscheinend habe ich mich getäuscht.

          mfg

          --
          echo '<pre>'; var_dump($Malcolm_Beck`s); echo '</pre>';
          array(2) {
            ["SELFCODE"]=>
            string(74) "ie:( fl:) br:> va:? ls:? fo:) rl:| n4:# ss:{ de:? js:} ch:? sh:( mo:? zu:("
            ["Meaningful"]=>
            string(?) "Der Sinn des Lebens ist deinem Leben einen Sinn zu geben"
          }
          1. Hallo Malcolm!

            Ich finde es immer wieder Lustig, dass es gerade seine Seite erwischt. Nach dem letzten Angriff hatte ich angenommen, dass das Kompetente Team, dass für diesen kleinen zwischenfall verantwortlich ist, ausgewechselt wird; anscheinend habe ich mich getäuscht.

            Der gehört ja nicht umsonst zu den »Konservativen« ;)

            Viele Grüße aus Frankfurt/Main,
            Patrick

            --
            _ - jenseits vom delirium - _

               Diblom   [link:hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash]
            J'ai 10 ans! | Achtung Agentur! | Nichts ist unmöglich? Doch! | Heute schon gegökt?
    2. das ist ja mal zu geil.. herlizchen glueckwunsch zum Hacker, der das geschafft hat.. die sind ja auch selber dumm. wenn sie keine Sicherheitsupdates machen..

      Das Security-Bulletin für die ausgenutzte Sicherheitslücke ist kurz vor dem "Hack" veröffentlicht worden - nicht jeder liest 24 Stunden am Tag alle Updatenews - das ist aber nicht das Problem.

      Ums nochmal zusammenzufassen: Die sind nicht dumm, weil sie kein Sicherheitsupdate machen sondern "dumm", weil sie viele Do-Not's gemacht haben - diese Sicherheitslücke ist nur dann kritisch, wenn man eben viele extra Fehler macht.

      Vorgehensweise:

      • Der Bug erlaubt es die Konfigurationsdatei auszulesen (nur zu lesen).
      • Damit erhält man den Hash des Passworts für das Install-Tool sowie die Klartextzugangsdaten zum Datenbankserver
        -- Wenn die Verbindung von ausser halb (nicht nur localhost) erlaubt ist, hat man schon jetzt gewonnen. Falls nicht, weier zum nächsten Schritt:
      • Dieser Hash konnte, weil der Klartext sehr trivial ist, binnen Minuten in einer Rainbow-Table gefunden werden (es gibt Genug Online-Rainbow-Table-Liste (wie etwa passcracking.com).
      • Das File ENABLE_INSTALL_TOOL (welches nicht vorhanden sein solle - man erhält einen unübersehbaren, knallgelben Hinweis im Backend, wenn man es vergessen sollte) war vorhanden, somit konnte man sich mit den gewonnenen Daten in diesem einloggen.
      • Im Install-Tool kann man sich einen neuen Admin-Account für das tatsächliche Backend erzeugen.
      • Mit diesem Admin-Account kann man sich nun bequem einloggen.
      • Nun kann man prinzipiell schon Artikel ändern oder ähnliches.

      Wenn man möchte, kann man sich nun eine Extension installieren (Quixplorer, phpMyAdmin) und damit die komplette Datenbank mit sämtlichen Zugangsdaten auslesen (als md5-Hashes) oder bestehende Systemextensions (php-Files) manipulieren - z.B. ein kleiner Hook im Registrierformular, welcher beim Abschicken eine Kopie an den Angreifer schickt - somit hat man seinen privaten "E-Mail-Adressen + Zugangsdaten"-Harvester.

      Jetzt klaut man sich noch die Zugangsdaten eines echten Admin-Accounts und verwischt anschließend seine Spuren indem man alles rückgängig macht: die Änderungen aus dem TYPO3-Log entfernen, Extensions deinstallieren, den neuen Zusatzbenutzer entfernen.

      Die einzig verwertbaren Spuren bleiben im Log des Webservers, aber wenn das Ganze geschickt gemacht wurde, fällt das niemandem auf. Sowie ein winziger Rest auf das entfernen der phpMyAdmin-Extension (wenn die schon installiert war, bleibt nichtmal das) und der Logeintrag für das login des Admins (dessen Account man sich ausgeborgt hat).

      Darum:
      a) Install-Tool deaktiveren (wer das aktiviert lässt, handelt ohnehin grob fahrlässig).
      b) getrennte Passwörter für Install-Tool, Administrator-Account und Datenbank - alphanummerisch, Groß-/Kleinschreibung sowie eine entsprechende länge. 8 Stellen sind für Passwörter die nicht versalzen als md5-Hash vorliegen einfach zu wenig und besonders beim Install-Tool-Password oder beim Datenbankpassword ist es egal ob das Password 10 oder 100 Stellen hat, das gibt man ohnehin nur sehr selten ein und wenn kann mans per copy&paste aus einer Dokumetation rauskopieren.
      c) das Login des (der) Admin-Benutzers auf eine IP-Adresse (oder einen Adressbereich beschränken).