Seite 1 von 4 123 ... LetzteLetzte
Ergebnis 1 bis 10 von 36

Thema: FAKE: Sicherheitssystem vom Scriptkaufhaus....

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Erfahrener Benutzer
    Registriert seit
    22.07.2006
    Beiträge
    273

    Ausrufezeichen FAKE: Sicherheitssystem vom Scriptkaufhaus....

    Hi

    Das eben per Newsletter vom Scriptkaufhaus angebotene angebliche Sicherheitssystem für das VMS ist in wirklichkeit ein Angriff auf die Zugangsdaten (Datenbank, Adminforce, Serverdaten, htaccess, etc.).
    Diese werden ausgelesen, per Mail verschickt und so getan als würde man Dateien verändern (was tatsächlich aber nicht geschieht).

    Also Vorsicht vor diesem Update: http://scriptkaufhaus.de/?site=details&id=1529

    Wenn man die nach dem Kauf zugeschickte security.php im Editor öffnet fallen einem als erstes die vielen Base64 verschlüsselten Elemente auf.
    In dem Augenblick sollten Grundsätzlich immer die Alarmglocken klingeln.

    Aus genau dem Grund sollte man immer schauen das man keine Verschlüsselten Scripte installiert (Sorry an die Ehrlichen die nur ihren Code schützen wollen aber es geht nicht anders wie man sieht).

    Grüße
    Marc

  2. #2
    Erfahrener Benutzer
    Registriert seit
    28.12.2008
    Beiträge
    275

    Sicherheitslücke VMS1 ( Achtung )

    Hab ich grad im Klammforum gelesen

    Zitat Zitat von saitho Beitrag anzeigen
    Heyho,

    ich muss euch vor einem vermeintlichen Sicherheitssystem fürs VMS1 warnen...
    Vor etwa 40 Minuten erreichte mich folgender Newsletter aus dem Scriptkaufhaus:

    Hallo,

    aufgrund vermehrter Hackangriffe auf VMS1-Systeme haben wir ein Sicherheitssystem zum günstigen Preis programmiert. Dieses findet ihr hier:

    http://scriptkaufhaus.de/?site=details&id=xxxx

    Es ist nur auf SKH zu finden da exklusiv.

    Euer
    SCB-Media
    Ich habe mir das Script gekauft und angesehen. Hierbei werden die Daten aus dem Adminpanel an eine Mailadresse geschickt, die sicherlich R. gehört (alair und so)
    Übermittelt werden sowohl die MySQL-Logindaten als auch der Adminzugang.
    http://www.klamm.de/forum/7121369-post1120.html

  3. #3
    Erfahrener Benutzer Avatar von NeoGriever
    Registriert seit
    26.03.2011
    Ort
    Waldbröl
    Beiträge
    245

    AW: Sicherheitslücke VMS1 ( Achtung )

    Hm. da werd ich in meinen vmsr-installer wohl doch einen datei-viewer einbauen müssen. Derzeit sind sämtliche Dateien darin base64 verschlüsselt im installer untergebracht.

    Aber ist schon krass. Warum ist es ausm Shop noch nich entfernt? Es ist ein eindeutiger Hack-Versuch. Und das noch ganz öffentlich. o.o
    VMS-R Downloads | VMS-R Supportbereich | E-Mail | Facebook: VMS-R | ICQ: 413-432-780 | MSN: vmsr@hotmail.de



  4. #4
    Neuer Benutzer
    Registriert seit
    28.06.2013
    Beiträge
    19

    Ausrufezeichen AW: Sicherheitslücke VMS1 ( Achtung )

    Zitat Zitat von NeoGriever Beitrag anzeigen
    Hm. da werd ich in meinen vmsr-installer wohl doch einen datei-viewer einbauen müssen. Derzeit sind sämtliche Dateien darin base64 verschlüsselt im installer untergebracht.
    Hallo NeoGriever,
    auch das halte ich für sehr gefährlich, da es eine Sicherheit vorgaukeln kann, die nicht gegeben ist.
    Konkret: Falls jemand eine manipulierte VMS-R-Distributionsdatei verschickt, könnte sehr einfach eine schadhafte Datei (à la VMS-Sicherheitsdatei aus Skriptkaufhaus) eingebaut sein; beim Betrachten wird jedoch der Inhalt eines anderen base64-Strings angezeigt. Dies lässt sich nur überprüfen, indem man die Codestruktur bis zur tatsächlich angezeigten Quelle zurückverfolgt, was je nach Aufwand des Schädigenden schon recht mühselig werden kann. Beim FWX ist das schon sehr mühselig, was ein Grund ist, weshalb ich meine vor langer Zeit erworbene FWX-Lizenz nicht auf einem Produktivsystem zum Einsatz bringen würde, weil es viel zu viel Aufwand bedeutet, da alles auf Sicherheitslücken zu prüfen (man kann natürlich glauben, das alles sicher ist; irgend jemand wird einem das schon versprechen ). Wenn das VMS-R denselben Weg geht, hat sich das für mich auch erledigt, da es keine für mich erkennbar zwingende Notwendigkeit zur base64-Codierung gibt.

    Mir ist auch nicht klar, was dagegen spricht, die jetzt als base64-Strings vorliegenden Dateien als zB Textdateien abzulegen (wenn sie nicht als php-Dateien vorliegen sollen) und bei der Installation zu inkludieren.

    Sämtliche in den Installationsdateien enthaltenen Prüfverfahren (CRC-Summe etc. pp.) können manipuliert sein (was selbstverständlich auch bei nicht codiertem Code der Fall sein kann). Daher ist lesbarer Quell- resp. php-Code m. E. schon die beste/einfachste Methode für die an der Installation Interessierten, den Code nachzuvollziehen.

    VG

  5. #5
    Moderator Avatar von Worka
    Registriert seit
    21.05.2007
    Beiträge
    973

    AW: Sicherheitslücke VMS1 ( Achtung )

    Warum nicht einfach den Base64 kodierten String kopieren, in einem der zahlreichen online Base64 Decodern eingeben und den dekodierten String prüfen?
    Wer in der Lage ist ein Addon auf Lücken zu prüfen, für den stellt das doch keine Hürde dar.

    Ich verstehe das Problem ansich, bin aber überrascht, dass jetzt so viel Kritik daran aufkommt.
    StGB § 328 Absatz 2.3: Mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe wird bestraft, wer eine nukleare Explosion verursacht.

  6. #6
    Neuer Benutzer
    Registriert seit
    28.06.2013
    Beiträge
    19

    AW: Sicherheitslücke VMS1 ( Achtung )

    Zitat Zitat von Worka Beitrag anzeigen
    Warum nicht einfach den Base64 kodierten String kopieren, in einem der zahlreichen online Base64 Decodern eingeben und den dekodierten String prüfen?
    Wer in der Lage ist ein Addon auf Lücken zu prüfen, für den stellt das doch keine Hürde dar.
    Das ist richtig. Es geht aber vor allem NICHT um diejenigen, die das können, sondern um diejenigen, die sich auf das System verlassen. Und mit den codierten Teilen ist für mögliche Angreifer eine weitere Tür sehr weit geöffnet.

    VG

  7. #7
    Erfahrener Benutzer Avatar von DJschatz27
    Registriert seit
    19.12.2009
    Beiträge
    617

    AW: FAKE: Sicherheitssystem vom Scriptkaufhaus....

    na traurig das solche shops noch hackbar sind und es webbys gibt die sowas einfach kaufen ohne zu fragen für was das gut sein soll

    ich habs mir extra nicht gekauft das ich nicht glaube das es was gutes ist weil ja nicht viel im text steht also finger weg von dem mist

  8. #8
    Erfahrener Benutzer
    Registriert seit
    22.07.2006
    Beiträge
    273

    AW: FAKE: Sicherheitssystem vom Scriptkaufhaus....

    Zitat Zitat von NeoGriever Beitrag anzeigen
    Hm. da werd ich in meinen vmsr-installer wohl doch einen datei-viewer einbauen müssen. Derzeit sind sämtliche Dateien darin base64 verschlüsselt im installer untergebracht.

    Aber ist schon krass. Warum ist es ausm Shop noch nich entfernt? Es ist ein eindeutiger Hack-Versuch. Und das noch ganz öffentlich. o.o
    Ich denke mal der Shop Betreiber ist in Urlaub und weiß noch nichts von seinem "Glück"...

    Ist es wirklich eine gute Idee deinen vmsr-installer zu verschlüsseln? Gerade wo "Angriffe" dieser Art schon zum Standard gehören (auch bei großen Blog, Foren, CMS, etc. wird das mit der selben Methode versucht). Diese Angriffe schaffen ein extremes Misstrauen allen Scripten gegenüber die nur Ansatzweise verschlüsselt sind. Nichts gegen dich aber du must für dich entscheiden was wichtiger ist. Der Verschlüsselte Code oder doch eher das Vertrauen der User....

    Zitat Zitat von DJschatz27 Beitrag anzeigen
    na traurig das solche shops noch hackbar sind und es webbys gibt die sowas einfach kaufen ohne zu fragen für was das gut sein soll

    ich habs mir extra nicht gekauft das ich nicht glaube das es was gutes ist weil ja nicht viel im text steht also finger weg von dem mist
    Naja, ich hab das auch ohne zu fragen gekauft, allerdings mit dem Hintergedanken mir anzuschauen was sich dahinter verbirgt ;-))

    Wie schon oben geschrieben. auch wenn mir die Ehrlichen Progger da leid tun: FINGER WEG SOBALD WAS IM QUELLTEXT VERSCHKÜSSELT IST
    in 80% der mir bekannten Fälle war da leider nichts gutes drin.

  9. #9
    Erfahrener Benutzer Avatar von NeoGriever
    Registriert seit
    26.03.2011
    Ort
    Waldbröl
    Beiträge
    245

    AW: FAKE: Sicherheitssystem vom Scriptkaufhaus....

    Ich verschlüssel die Daten ja nicht aus Schutz vor Hackern, sondern der Einfachheit halber, da man in Base64 "verpackte" größere, binäre Dateien ganz einfach in eine Variable als String stecken kann. Dadurch gibt es das VMSR ja als 1-Datei-Installationspaket.

    Den Datei-Viewer werde ich wohl separat dazubauen, sodass der "Kunde" mit diesem das Installationspaket "durchleuchten" kann. Beliebige Einträge aufzeigen/base64 entschlüsseln, durchgänge auflisten usw. Dürfte nicht so schwer sein.

    Interessant, dass der Preis jetzt auf 15.000.000 Lose angehoben wurde. o.o
    Geändert von NeoGriever (06.08.2013 um 13:05 Uhr)
    VMS-R Downloads | VMS-R Supportbereich | E-Mail | Facebook: VMS-R | ICQ: 413-432-780 | MSN: vmsr@hotmail.de



  10. #10
    Gesperrt
    Registriert seit
    09.11.2010
    Beiträge
    126

    AW: FAKE: Sicherheitssystem vom Scriptkaufhaus....

    nach einer mail von mir was dieses script den genau macht bekamm ich volgende antwort
    Es ist nur auf SKH zu finden da exklusiv. Natürlich schützt es auch gegen SQL Injections, es werden alle Dateien darauf überprüft durch einen automatischen Algorithmus. Erste Lizenz für 1 Mio. Lose, danach je verkaufter Lizenz 1 Mio. mehr bis 30 Mio. Lose.
    also scheinen ja schon ein paar drauf reingefallen zu sein und die tage ist das geheule wieder gross wie unsicher das vms doch ist

Seite 1 von 4 123 ... LetzteLetzte

Ähnliche Themen

  1. FAKE Email 08.12.2013
    Von Lokutos im Forum Ankündigungen (erledigt)
    Antworten: 0
    Letzter Beitrag: 09.12.2013, 00:02
  2. Schlechter Perso-Fake
    Von Gremlin im Forum Talk, talk, talk...
    Antworten: 5
    Letzter Beitrag: 15.10.2009, 21:38
  3. *Achtung* fake tool für autmatischen ForcedKlicks
    Von DimpleX im Forum Talk, talk, talk...
    Antworten: 22
    Letzter Beitrag: 13.04.2009, 14:56
  4. erkaufe Ebesucher.de Fake Browser
    Von d1s2 im Forum Sonstiges
    Antworten: 2
    Letzter Beitrag: 26.08.2007, 21:35

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •