DreamCarisma Ausfall nach Angriff

Wie einige von euch sicherlich schon mitbekommen haben, ist DreamCarisma seit gestern Abend gegen 21:45 zum Opfer eines Hackangriffs geworden.

Dabei handelte es sich um eine SQL-Injection, wodurch Änderungen in der Datenbank durchgeführt wurden.

Es gibt 2 gute Nachrichten:
1. Es wurden keine Dateien auf dem Server verändert und die zwei erstellten Hacker-Dateien wurden gelöscht.
2. In der Datenbank wurden nur wenige Stellen verändert und konnte problemlos wiederhergestellt werden - auch die Zugangsdaten zur DB wurden erneuert.

Allerdings gibt es einen Harken.
Dadurch, dass die Hacker Zugang auf die Datenbank hatten, muss man davon ausgehen, dass nicht nur einige Einträge für die Foren-Einstellung verändert wurden, sondern auch die Userdaten ausgelesen wurden.
Unteranderem zählt dazu auch euer Passwort.

BITTE LESEN !!!

Die Passwörter werden in der Datenbank md5 verschlüsselt.

Um das eindeutige Passwort erkennen zu können, muss es wieder entschlüsselt werden, was bei langen Passwörtern aus viele Zahlen/Buchstaben/Zeichen länger dauert als bei kurzen einfachen Passwörtern.

Deshalb mein Rat an euch:
Ändert aus Sicherheitsgründen euer Passwort !!!
Vor allem wenn ihr auf mehreren Seiten dasselbe benutzt.

Das ist echt mist ,wenn sowas passiert ...ich werde gleich mein passwort verändern ,weil ich so wie du geschrieben hast immer das gleiche passwort gebrauche .
Hoffe die hacker haben nicht zuviel angerichtet

Ganz schön übel. Diese verdammten A...löcher!! Dann werd ich mir mal ein neues PW zulegen.

Derzeit ist MD5 nur bezüglich der Kollisions-Angriffe geknackt. Deswegen besteht noch keine akute Gefahr für Passwörter, die als MD5-Hash gespeichert wurden, diese Kollisionen sind eher eine Gefahr für digitale Signaturen.

Jaja ändert mal.

@diejenigen, die überall nur das selbe Pw verwenden, selber schuld! Nicht böse gemeint, aber man kann den Traffic unter gewissen voraussetzungen auch mitschneiden, und DreamCarisma nutzt z.B. kein SSL somit werden alle Daten auch die Passwörter zwischen euch und dem Server im Klartext übertragen.

Heißt wenn ihr jetzt Angst habt, das irgendeiner sich die Arbeit macht von Dreamcarisma ne Passwortdatei die MD5 verschlüsselt ist, bzw. Passwörter die MD5 verschlüsselt sind, und in einer Datei stehen zu entschlüsseln, macht ihr euch an falscher Stelle Gedanken um eure Sicherheit im Netz.
Noch ärmer sind diejenigen, die Passwörter benutzen, welche einfach nur zu simpel sind (nur Zahlen, oder Wörter egal welcher Sprache die existieren, oder auch Kominationen daraus).

Moinsen Alle zusammen,
wie meine Oma immer sagte:"Es gibt Solche,und es gibt Strolche".Habe meine Passwörter auch gerade geändert.
Für den HACKER>> ÄTSCH

Ja,

habe nun auch ein kniffligeres PW erstellt..... so ne verdammte schei*e, was bewegt jemanden nun dazu gerade unsere Community seite zu hacken verdammt.... als ob wir großartig interessant wären für die Welt oder den Gulli.


Gruß
D€

Mein Passwort für das Forum hier wurde geändert (nicht von mir), sprich ich konnte mich nicht mehr einlogen. Erst nachdem ich mir ein neues md5-hash erstellt habe und in die Datenbank kopiert hatte.

Der Angriff ging auch nicht aus meinem Forum-Account aus.

Falls es wem interessiert, erkläre ich den Vorfall mal etwas genauer.

Der Angriff erfolge durch eine Hecker-Datei die vorher auf meinem Server geladen wurde.
Diese Datei enthilt wohl einen Code, der die Zuagangsdaten für die Datenbank (DB) suchte und ausließ.
Diese wurden dem Hacker übermittel und konnt sich nun mit Hilfe der Hacker-Datei eine SQL-Injection durchführen.
Sprich über die URL-Eingabe mit den Zugangsdaten der DB konnten somit bestimmte Befehle an die DB übermittelt werden, z.B. wie in diesem Fall die Eingabe zum Anzeigen der Tabellen in der DB, sowie das Verändern von Tabelleninhalten.

Es wurden z.B. alle Forentitel verändert, sodas beim Aufrufen einer Seite mit einem verändertem Forumtitel auf eine Hackerseite weitergeleitet wurde

Da ich zu diesem Zeitpunkt hier online war und das somit schnell mitbekommen hatte, hatte ich auch schnell auf dem Server nach unseriösen Dateien gesucht und fand auch wie gesagt 2, mit denen die SQL-Injection durchgeführt wurde - laut den Log-Files vom Server.

Ebenfalls aus den Log-Files entnehmen, konnte ich, dass zwei IP gleichzeitig am Werk waren.

PS: Das Upload-Verzeichnis steht bis auf weiteres auch erst einmal nicht mehr zur Verfügung.

carisma hat am 02.12.2009, 22:10:Mein Passwort für das Forum hier wurde geändert (nicht von mir), sprich ich konnte mich nicht mehr einlogen. Erst nachdem ich mir ein neues md5-hash erstellt habe und in die Datenbank kopiert hatte.

Und denkst du die haben jetzt dein altes Pw? In der Kürze der Zeit? Nee Franz ich bin der Meinung das ich dann davon wüsste, wenn des schon gehen sollte.

Schmanta hat am 02.12.2009, 22:17:

carisma hat am 02.12.2009, 22:10:Mein Passwort für das Forum hier wurde geändert (nicht von mir), sprich ich konnte mich nicht mehr einlogen. Erst nachdem ich mir ein neues md5-hash erstellt habe und in die Datenbank kopiert hatte.

Und denkst du die haben jetzt dein altes Pw? In der Kürze der Zeit? Nee Franz ich bin der Meinung das ich dann davon wüsste, wenn des schon gehen sollte.

Hab ja nicht gesagt das sie es in der kurzen Zeit geknackt hätten (zumal es wirklich lang war ), aber geändert haben sie es dennoch, auch wenn es mit sicherheit ein neuer md5-Hash war den sie nur eingedragen hatten, allerding habe ich das aus den Log-Files noch nicht entnehmen können - 28,5 MB Text (109270 Zeilen) sind eben nicht wenig.

Sauerei sowas, wie feige muss man sein um sich an einer Homepage zu vergreifen? Lachhaft eigentlich. Hauptsache es funzt wieder alles.

Naja solang es jetzt wieder geht ist ja alles paletti. Und die Forenmitglieder müssen mal wieder ein neues PW anlegen, find ich auch nicht so schlecht! Wirds im allgemeinen etwas sicherer.

Finds schlimm das viele das noch so machen das sie überall die gleichen PW´s nehmen und das viellei noch am Arbeitsplatz/Schreibtisch aufgeschrieben ist....
Und dabei hat DC nicht mal so extreme Passwort-Anforderungen.. wenn ich da bei mir auf Arbeit dran denke was man da alles beachten muss *lol*

Ich finds schön das der Admin das ganze schnell wieder in den Griff bekommen hat. Es gibt immerhin auch Foren die mit sowas untergehen...

mfg Watte

EDIT: Außerdem worüber such ich denn den perfekten Cari für meinem Mann wenns das hier nemmer gibt *g*

bist dir sicher das des erst gegen 21.15 war?
ich hab ja so mein geregelten tagesablauf-komm um kurz vor 4 heim,pc an und schnell hier reinschauen...sollte also so zwischen halb 5/5 sein.
da war die seite nicht erreichbar und irgendne fehlermeldung kam das die seite umgeleitet wird da der server nicht antwortet (oder so)
sowohl aufm mozilla als auch aufm IE kam ich net rein.

freeeak hat am 03.12.2009, 16:44:bist dir sicher das des erst gegen 21.15 war?
ich hab ja so mein geregelten tagesablauf-komm um kurz vor 4 heim,pc an und schnell hier reinschauen...sollte also so zwischen halb 5/5 sein.
da war die seite nicht erreichbar und irgendne fehlermeldung kam das die seite umgeleitet wird da der server nicht antwortet (oder so)
sowohl aufm mozilla als auch aufm IE kam ich net rein.

22:45 Uhr ca. (am 01.12.09) - voll und ganz online hab ich das hier dann wieder am 02.12.09 kurz vor 21 Uhr gegeben.

weil ich war ja selber noch den Abend vorher hier aktiv im Forum unterwegs und erst als ich auf einen Beitrag von Carisma146 wegen dem Kalenderbilder antworten wollte kam erst das Hackerproblem zum vorschein.

Und laut Log-Files kam der Hacker (evtl. auch nur ein Hackerbot) von der MS-Suchmaschine (Bing.com) um 21:15:13 Uhr.
Die Häcker-Datei gibt es laut der Log-File seit 21:17:33 Uhr.
In der Log-File vom 30.11.2009 gibt es keine Anzeichen - von der Datei, genausowenig von der IP oder sonstigem.