VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Hallo zusammen,
bei mir war heute ein Hacker unterwegs folgender Ablauf:
Neuer User meldet sich an, nach Accountaktivierung werden bei diesem User 900 Milliarden Gutgeschrieben und zwar vom Admin!!!
Danach hat sich dieser User selbst für Auszhalung frei geschaltet (Alle user sind am Anfang gesperrt) und sich dann sofort alles ausgezahlt was auf dem EF zu holen war, glücklicherweise nur 1,5 Milliarden. Das alles in etwa 3 Minuten
Die einzige logische Erklährung die ich habe: Dieser User muss ins Adminforce gekommen sein. Wie soll er sich sonst selbst für Auszahlung frei schalten?!
Anscheinend sind solche Sachen schon bekannt, denn kaum ein Admin lässt noch viele Lose auf dem EF-Account. JETZT weiss ich auch warum!
Hat noch jemand Ratschläge und Tipps zu diesem Problem? Es nimmt mir wirklich die Lust meine Seite weiter zu betreiben! Adminforce ist mit username und sicherem Kennwort geschützt, habe ich natürlich auch schon geändert. gibt es noch eine möglichkeit den Adminforce zugriff auf eine IP zu begrenzen?
AW: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Ich habe mein Adminforce zwar Lokal also nur von meinem Pc aus komme ich darauf aber das könnte dir vielleicht helfen: https://www.google.de/?gws_rd=ssl#q=.htaccess
AW: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Ich gestehe es war ein Fehler das Adminverzeichniss nicht zusätzlich mit einem PW zu schützen, ich habe mich auf das "sichere" login verlassen. Dies habe ich jetzt nachgeholt und das komplette Verzeichniss PW-geschützt. Ich glaube aber nicht das dies das einzige Problem ist. ich bin zu jeder Information zu diesem "Hack" dankbar. Auch andere betroffene Admins können gerne Ihre Erfahrung mitteilen!
AW: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Kommt darauf an, welche Addons bzw Änderungen am VMS vorgenommen wurden. Meistens werden ja Schwachstellen in Addons ausgenutzt, um sich Zugang zur Datenbank zu verschaffen, wo die Adminforce Daten dann im Klartext drinstehen. Das beste wäre in deinem Fall, die Accesslogs durchzuwälzen, welchen Weg der Angreifer genommen hat, woher er gekommen ist und auf welchen Dateien er unterwegs war etc.
MFG
AW: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Er hat natürlich einen Proxy genutz und eine slowakiche und russiche IP gehabt. Laut Klamm hat er meine Lose sofort in EBesucher getauscht, bevor sein Konto gesperrt wurde.
Das Problemm war hier sicher bzw. hoffentlich nur der einfache Passwortschutz vom Adminforce. Schafft man es die Verbindung zur Datenbank zu unterbrechen, dann ist ein Login ohne Daten möglich, mann ist sofort im Adminforce, habe mich selber gewundert und das durch Zufall endeckt. Es brauch z.B. nur die tabelle mit den Admindaten beschädigt sein und schon ist man ohne Login im Adminforce.
Ich habe jetzt vom Serverseitig alle wichtigen Verzeichnisse mit einem Zusätzlichen Passwort gesichert, hilfreich wäre auch das setzten eines IP Filters, denn ich glaube man braucht gar keine Klamm-User aus Russland...
AW: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Noch als Ergänzung für geschädigte oder Leute die noch ein neues VMS1 aufsetzten, es gibt noch jede Menge Slots von diversen Shops welche den Minus-Bug enthalten, hab mich gerade mal 999 Billionen gewinnen lassen, Cool!!!
Also nicht einfach drauf los installieren in der Hoffnung wird schon funktionieren, eher umgekehrt an die Sache rangehen, sucht euch einen erfahrenen VMS Menschen eures vertrauens. Wobei das mit dem vertrauen über das Internet auch so eine Sache ist.^^
Ansonsten auch wenn es schon "Ur-Alt" ist von mir mal ein generelles --!!Dankeschön!!-- an die Entwickler vom VMS! :)
AW: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Noch ein Tip: In jedem Addon nachschauen ob jede Usereingabe (alles was mit $_POST oder $_GET an das Script übergeben wird) auch ordentlich gesichert ist.
Jede ungesicherte Usereingabe ist ein Angriffspunkt von dem aus man auf die Datenbank zugreifen kann. Da das Admin Passwort als Klartext in der Datenbank steht (zumindest in den mir bekannten Versionen) kann man das als User auslesen und hat dann freien Zugang ....
Re: AW: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Zitat:
Zitat von
marcaust
Noch ein Tip: In jedem Addon nachschauen ob jede Usereingabe (alles was mit $_POST oder $_GET an das Script übergeben wird) auch ordentlich gesichert ist.
Jede ungesicherte Usereingabe ist ein Angriffspunkt von dem aus man auf die Datenbank zugreifen kann. Da das Admin Passwort als Klartext in der Datenbank steht (zumindest in den mir bekannten Versionen) kann man das als User auslesen und hat dann freien Zugang ....
Wenn das Admin-Pass schon im Klartext in der Datenbank steht, werden POST/GET-Vars auch nicht geprüft, ich tippe mal, das auch Vars ungefiltert in der DB abgefragt werden, oder SQL-Querys sogar so Highlights wie "where user = $_GET[user]" enthalten
Re: AW: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Ich hab da nu folgendes Problem
27.12.14 19:49:26 - 424.000.000 ID 401020 Auszahlung
Keiner Darf mehr als 50mio auszahlen.
Dieser User hat es zum Acc geschafft mit nur 25mio auszahlung Offiziel dürfen aber 50 mio
401020 - Madam - 2.62.52.38 - /intern/startseite - 27.12.2014 - 19:45:19 - Referer: http://www.winnis-losewelt.de/index..../intern/lo-gin
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:45:27 - Referer: http://www.winnis-losewelt.de/module...ox/ausgabe.php
401020 - Madam - 2.62.52.38 - /intern/startseite - 27.12.2014 - 19:46:15 - Referer: http://www.winnis-losewelt.de/?content=/intern/lo-gin
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:23 - Referer:
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:23 - Referer:
usw bis
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:42 - Referer: http://www.winnis-losewelt.de/?conte...page&id=355993
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:42 - Referer:
usw bis
401020 - Madam - 2.62.52.38 - /intern/support - 27.12.2014 - 19:46:55 - Referer: http://www.winnis-losewelt.de/?conte...page&id=315899
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:55 - Referer:
401020 - Madam - 2.62.52.38 - /konto/buchungen - 27.12.2014 - 19:46:56 - Referer: http://www.winnis-losewelt.de/?content=/intern/support
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:57 - Referer:
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:57 - Referer:
401020 - Madam - 2.62.52.38 - /intern/support - 27.12.2014 - 19:46:58 - Referer: http://www.winnis-losewelt.de/?conte...page&id=315899
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:58 - Referer:
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:59 - Referer:
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:59 - Referer:
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:47:01 - Referer:
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:47:01 - Referer:
401020 - Madam - 2.62.52.38 - /intern/support - 27.12.2014 - 19:47:03 - Referer: http://www.winnis-losewelt.de/?content=/intern/support
401020 - Madam - 2.62.52.38 - /intern/support - 27.12.2014 - 19:47:05 - Referer: http://www.winnis-losewelt.de/?conte...&neueanfrage=1
401020 - Madam - 2.62.52.38 - /intern/support - 27.12.2014 - 19:47:18 - Referer:
ingesammt 164zeilen bis zum Loseklau
Refback: 0 %
Angemeldet: 27.12.2014 19:44
Letzter Login: 27.12.2014 19:46
Letzte Aktivität: 28.12.2014 11:24
Letzte IP: 2.62.52.38
ForcedKlicks: 0 0,00 Lose
Betteln: 0 0,00 Lose
Buchungsliste leer
Ef danach auch leer
Adminforce doppelt gesichert stellenweise 14 stellige pass, daten zum EF zugang AUCH schon lange rausgenommen.
2.62.52.38 27.12.2014 19:45
IP Address 2.62.52.38
Country Code RU
Country RUS
Country Russian Federation
Allocated Oct-08-2010
Registry ripencc
Net block 2.60.0.0 - 2.63.255.255
HEXADECIMAL 23C0000 - 23FFFFF
OCTAL 217000000 - 217777777
Numeric 37,486,592 - 37,748,735
Hosts in block 262,144
Wo sollte ich in sachen sicherheit noch was machen den EF LEER LASSEN bedeutet die User schimpfen. Das problem jetzt es ist schon das zweite mal. Und bei klamm kommt nix zurück außer lose seien in Ebesucher umgewandelt und weiterverkauft da geht nix zu machen. Die zweite Meldung bei Klamm steht noch aus.
EF Tresor scheint sicher aber das Konto ist angreifbar nur wie erkenne ich nicht mal aus den Logs.
Re: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Hast du den Ip Schutz von Klamm.de ? also das man nur von deiner Server Ip aus auszahlen kann ? Hast du mal deine Addons geprüft das auch alle Angaben die von einem User gemacht werden können, escapet werden ? im schlimmsten Fall würd ich echt den Server komplett neu aufsetzen und komplett alle Passwörter ändern
Re: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Ip Schutz habe ich gerade bei klamm gesehn werde mich drann ausprobiren. Passwörter hab ich alle geändert. So wie es aussieht kann derjenige direkt mit der datenbank da der account ein fake ist oder ne vorgabe. Laut Logs sind buchungen von meiner domain nicht drinn. Meine Seite schreibt jeden seine Logs sortiert mit.
Server und DB sind hoffendlich gut gesichert passwörter wieder neu server selber immer uptodate.
Komisch hier kommt es mir so vor als ob man ne finte legt und derjenige direkt bei klamm möglichkeiten sieht obwohl da auch gute und lange passwörter zur sicherung da sind.
Trotzalledem werde ich erstmal ip schutz erstellen wobei ich nicht glaube das es geht der user kennt das schon deshalb den fakeaccount bei mir.
Re: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Zitat:
Zitat von
winni1
Ip Schutz habe ich gerade bei klamm gesehn
Und wo? Wie nennt sich die Datei?
Re: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Das ist keine Datei
du kannst im Ef konto deine Ip Adresse hinterlegen das jede Auszahlung nur von deiner Server Ip abgefragt wird sowie fügst du deiner Klamm.php Schnittstelle noch folgende Zeile hinzu
PHP-Code:
$trans_error[1096] = "Fehler - IP-Adresse nicht auf Whitelist!";
Re: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Ähnliches habe ich mir schon gedacht...aber was macht das für ein Sinn? Die Server-IP ändert sich doch nicht, wenn da jemand aus RU im Admin ist und die Auszahlung macht. Ich denke eher, es wird ein potenzielles Sicherheitsloch in der Session sein, fehlerhafte Prüfung auf Systemrechte (falls es sowas im Script überhaupt gibt) ist auch möglich.
Diesen "Patch" von Klamm halte ich für unwirksam, der greift nur dann, wenn jemand die Logindaten gestohlen hat und von einem fremden Server/Rechner aus die Überweisung machen will, aber nicht, wenn der Server der gleiche bleibt, der da eingetragen wurde.
Re: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Naja der Adminforce wurde aber jetzt mit htaccess richtig abgesichert und die zugangsdaten allgemein wurden ja geändert .. Ein Zugriff in den Adminforce sollte ja nicht mehr möglich sein. Zudem hieß es ja die Ef daten sind aus dem Adminforce entfernt .. Wenn jetzt noch Auszahlungen funktionieren dann eben von einem anderen Server ..
Re: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Ist damit nicht ein Sicherheitsloch nur umgangen? Also...wenn da jemand sensible Daten stehlen kann, scheint es doch ein Sicherheitsloch zu geben...wieso fixt man dieses nicht, anstatt ein komischen Patch zu bringen?
Re: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Tach
Ich würde bei sowas wenn man unsiucher ist nur manuelle Buchungen vornehmen bau dir eine Datei wo sich user eintragen können für eine az mit xxx summe und du zahlst sie der reine nach aus ist auf jedenfall ne lösung und sicherer als so