PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!



Alpha10
12.09.2014, 02:13
Hallo zusammen,

bei mir war heute ein Hacker unterwegs folgender Ablauf:

Neuer User meldet sich an, nach Accountaktivierung werden bei diesem User 900 Milliarden Gutgeschrieben und zwar vom Admin!!!

Danach hat sich dieser User selbst für Auszhalung frei geschaltet (Alle user sind am Anfang gesperrt) und sich dann sofort alles ausgezahlt was auf dem EF zu holen war, glücklicherweise nur 1,5 Milliarden. Das alles in etwa 3 Minuten

Die einzige logische Erklährung die ich habe: Dieser User muss ins Adminforce gekommen sein. Wie soll er sich sonst selbst für Auszahlung frei schalten?!

Anscheinend sind solche Sachen schon bekannt, denn kaum ein Admin lässt noch viele Lose auf dem EF-Account. JETZT weiss ich auch warum!

Hat noch jemand Ratschläge und Tipps zu diesem Problem? Es nimmt mir wirklich die Lust meine Seite weiter zu betreiben! Adminforce ist mit username und sicherem Kennwort geschützt, habe ich natürlich auch schon geändert. gibt es noch eine möglichkeit den Adminforce zugriff auf eine IP zu begrenzen?

rene_1992
12.09.2014, 02:57
Ich habe mein Adminforce zwar Lokal also nur von meinem Pc aus komme ich darauf aber das könnte dir vielleicht helfen: https://www.google.de/?gws_rd=ssl#q=.htaccess

Alpha10
12.09.2014, 04:16
Ich gestehe es war ein Fehler das Adminverzeichniss nicht zusätzlich mit einem PW zu schützen, ich habe mich auf das "sichere" login verlassen. Dies habe ich jetzt nachgeholt und das komplette Verzeichniss PW-geschützt. Ich glaube aber nicht das dies das einzige Problem ist. ich bin zu jeder Information zu diesem "Hack" dankbar. Auch andere betroffene Admins können gerne Ihre Erfahrung mitteilen!

Parl
13.09.2014, 14:28
Kommt darauf an, welche Addons bzw Änderungen am VMS vorgenommen wurden. Meistens werden ja Schwachstellen in Addons ausgenutzt, um sich Zugang zur Datenbank zu verschaffen, wo die Adminforce Daten dann im Klartext drinstehen. Das beste wäre in deinem Fall, die Accesslogs durchzuwälzen, welchen Weg der Angreifer genommen hat, woher er gekommen ist und auf welchen Dateien er unterwegs war etc.

MFG

Alpha10
13.09.2014, 19:28
Er hat natürlich einen Proxy genutz und eine slowakiche und russiche IP gehabt. Laut Klamm hat er meine Lose sofort in EBesucher getauscht, bevor sein Konto gesperrt wurde.

Das Problemm war hier sicher bzw. hoffentlich nur der einfache Passwortschutz vom Adminforce. Schafft man es die Verbindung zur Datenbank zu unterbrechen, dann ist ein Login ohne Daten möglich, mann ist sofort im Adminforce, habe mich selber gewundert und das durch Zufall endeckt. Es brauch z.B. nur die tabelle mit den Admindaten beschädigt sein und schon ist man ohne Login im Adminforce.

Ich habe jetzt vom Serverseitig alle wichtigen Verzeichnisse mit einem Zusätzlichen Passwort gesichert, hilfreich wäre auch das setzten eines IP Filters, denn ich glaube man braucht gar keine Klamm-User aus Russland...

Alpha10
17.09.2014, 17:50
Noch als Ergänzung für geschädigte oder Leute die noch ein neues VMS1 aufsetzten, es gibt noch jede Menge Slots von diversen Shops welche den Minus-Bug enthalten, hab mich gerade mal 999 Billionen gewinnen lassen, Cool!!!

Also nicht einfach drauf los installieren in der Hoffnung wird schon funktionieren, eher umgekehrt an die Sache rangehen, sucht euch einen erfahrenen VMS Menschen eures vertrauens. Wobei das mit dem vertrauen über das Internet auch so eine Sache ist.^^



Ansonsten auch wenn es schon "Ur-Alt" ist von mir mal ein generelles --!!Dankeschön!!-- an die Entwickler vom VMS! :)

marcaust
17.09.2014, 19:27
Noch ein Tip: In jedem Addon nachschauen ob jede Usereingabe (alles was mit $_POST oder $_GET an das Script übergeben wird) auch ordentlich gesichert ist.
Jede ungesicherte Usereingabe ist ein Angriffspunkt von dem aus man auf die Datenbank zugreifen kann. Da das Admin Passwort als Klartext in der Datenbank steht (zumindest in den mir bekannten Versionen) kann man das als User auslesen und hat dann freien Zugang ....

breaker
27.12.2014, 16:19
Noch ein Tip: In jedem Addon nachschauen ob jede Usereingabe (alles was mit $_POST oder $_GET an das Script übergeben wird) auch ordentlich gesichert ist.
Jede ungesicherte Usereingabe ist ein Angriffspunkt von dem aus man auf die Datenbank zugreifen kann. Da das Admin Passwort als Klartext in der Datenbank steht (zumindest in den mir bekannten Versionen) kann man das als User auslesen und hat dann freien Zugang ....

Wenn das Admin-Pass schon im Klartext in der Datenbank steht, werden POST/GET-Vars auch nicht geprüft, ich tippe mal, das auch Vars ungefiltert in der DB abgefragt werden, oder SQL-Querys sogar so Highlights wie "where user = $_GET[user]" enthalten

winni1
28.12.2014, 14:27
Ich hab da nu folgendes Problem
27.12.14 19:49:26 - 424.000.000 ID 401020 Auszahlung
Keiner Darf mehr als 50mio auszahlen.
Dieser User hat es zum Acc geschafft mit nur 25mio auszahlung Offiziel dürfen aber 50 mio

401020 - Madam - 2.62.52.38 - /intern/startseite - 27.12.2014 - 19:45:19 - Referer: http://www.winnis-losewelt.de/index.php?content=/intern/lo-gin
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:45:27 - Referer: http://www.winnis-losewelt.de/module/Shoutbox/ausgabe.php
401020 - Madam - 2.62.52.38 - /intern/startseite - 27.12.2014 - 19:46:15 - Referer: http://www.winnis-losewelt.de/?content=/intern/lo-gin
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:23 - Referer:
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:23 - Referer:
usw bis
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:42 - Referer: http://www.winnis-losewelt.de/?content=/nickpage&id=355993
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:42 - Referer:
usw bis
401020 - Madam - 2.62.52.38 - /intern/support - 27.12.2014 - 19:46:55 - Referer: http://www.winnis-losewelt.de/?content=/nickpage&id=315899
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:55 - Referer:
401020 - Madam - 2.62.52.38 - /konto/buchungen - 27.12.2014 - 19:46:56 - Referer: http://www.winnis-losewelt.de/?content=/intern/support
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:57 - Referer:
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:57 - Referer:
401020 - Madam - 2.62.52.38 - /intern/support - 27.12.2014 - 19:46:58 - Referer: http://www.winnis-losewelt.de/?content=/nickpage&id=315899
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:58 - Referer:
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:59 - Referer:
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:59 - Referer:
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:47:01 - Referer:
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:47:01 - Referer:
401020 - Madam - 2.62.52.38 - /intern/support - 27.12.2014 - 19:47:03 - Referer: http://www.winnis-losewelt.de/?content=/intern/support
401020 - Madam - 2.62.52.38 - /intern/support - 27.12.2014 - 19:47:05 - Referer: http://www.winnis-losewelt.de/?content=/intern/support&neueanfrage=1
401020 - Madam - 2.62.52.38 - /intern/support - 27.12.2014 - 19:47:18 - Referer:
ingesammt 164zeilen bis zum Loseklau

Refback: 0 %
Angemeldet: 27.12.2014 19:44
Letzter Login: 27.12.2014 19:46
Letzte Aktivität: 28.12.2014 11:24
Letzte IP: 2.62.52.38
ForcedKlicks: 0 0,00 Lose
Betteln: 0 0,00 Lose

Buchungsliste leer

Ef danach auch leer

Adminforce doppelt gesichert stellenweise 14 stellige pass, daten zum EF zugang AUCH schon lange rausgenommen.

2.62.52.38 27.12.2014 19:45

IP Address 2.62.52.38
Country Code RU
Country RUS
Country Russian Federation
Allocated Oct-08-2010
Registry ripencc
Net block 2.60.0.0 - 2.63.255.255
HEXADECIMAL 23C0000 - 23FFFFF
OCTAL 217000000 - 217777777
Numeric 37,486,592 - 37,748,735
Hosts in block 262,144

Wo sollte ich in sachen sicherheit noch was machen den EF LEER LASSEN bedeutet die User schimpfen. Das problem jetzt es ist schon das zweite mal. Und bei klamm kommt nix zurück außer lose seien in Ebesucher umgewandelt und weiterverkauft da geht nix zu machen. Die zweite Meldung bei Klamm steht noch aus.
EF Tresor scheint sicher aber das Konto ist angreifbar nur wie erkenne ich nicht mal aus den Logs.

Kraemer84
28.12.2014, 15:44
Hast du den Ip Schutz von Klamm.de ? also das man nur von deiner Server Ip aus auszahlen kann ? Hast du mal deine Addons geprüft das auch alle Angaben die von einem User gemacht werden können, escapet werden ? im schlimmsten Fall würd ich echt den Server komplett neu aufsetzen und komplett alle Passwörter ändern

winni1
28.12.2014, 16:16
Ip Schutz habe ich gerade bei klamm gesehn werde mich drann ausprobiren. Passwörter hab ich alle geändert. So wie es aussieht kann derjenige direkt mit der datenbank da der account ein fake ist oder ne vorgabe. Laut Logs sind buchungen von meiner domain nicht drinn. Meine Seite schreibt jeden seine Logs sortiert mit.
Server und DB sind hoffendlich gut gesichert passwörter wieder neu server selber immer uptodate.
Komisch hier kommt es mir so vor als ob man ne finte legt und derjenige direkt bei klamm möglichkeiten sieht obwohl da auch gute und lange passwörter zur sicherung da sind.
Trotzalledem werde ich erstmal ip schutz erstellen wobei ich nicht glaube das es geht der user kennt das schon deshalb den fakeaccount bei mir.

breaker
28.12.2014, 17:10
Ip Schutz habe ich gerade bei klamm gesehn

Und wo? Wie nennt sich die Datei?

Kraemer84
28.12.2014, 17:34
Das ist keine Datei

du kannst im Ef konto deine Ip Adresse hinterlegen das jede Auszahlung nur von deiner Server Ip abgefragt wird sowie fügst du deiner Klamm.php Schnittstelle noch folgende Zeile hinzu



$trans_error[1096] = "Fehler - IP-Adresse nicht auf Whitelist!";

breaker
28.12.2014, 20:25
Ähnliches habe ich mir schon gedacht...aber was macht das für ein Sinn? Die Server-IP ändert sich doch nicht, wenn da jemand aus RU im Admin ist und die Auszahlung macht. Ich denke eher, es wird ein potenzielles Sicherheitsloch in der Session sein, fehlerhafte Prüfung auf Systemrechte (falls es sowas im Script überhaupt gibt) ist auch möglich.

Diesen "Patch" von Klamm halte ich für unwirksam, der greift nur dann, wenn jemand die Logindaten gestohlen hat und von einem fremden Server/Rechner aus die Überweisung machen will, aber nicht, wenn der Server der gleiche bleibt, der da eingetragen wurde.

Kraemer84
28.12.2014, 21:01
Naja der Adminforce wurde aber jetzt mit htaccess richtig abgesichert und die zugangsdaten allgemein wurden ja geändert .. Ein Zugriff in den Adminforce sollte ja nicht mehr möglich sein. Zudem hieß es ja die Ef daten sind aus dem Adminforce entfernt .. Wenn jetzt noch Auszahlungen funktionieren dann eben von einem anderen Server ..

breaker
29.12.2014, 09:50
Ist damit nicht ein Sicherheitsloch nur umgangen? Also...wenn da jemand sensible Daten stehlen kann, scheint es doch ein Sicherheitsloch zu geben...wieso fixt man dieses nicht, anstatt ein komischen Patch zu bringen?

DJschatz27
30.12.2014, 17:47
Tach

Ich würde bei sowas wenn man unsiucher ist nur manuelle Buchungen vornehmen bau dir eine Datei wo sich user eintragen können für eine az mit xxx summe und du zahlst sie der reine nach aus ist auf jedenfall ne lösung und sicherer als so