Boardunity & Video Forum

Boardunity & Video Forum (https://boardunity.de/)
-   Forensoftware (https://boardunity.de/forensoftware-f5.html)
-   -   WBB2 gehacked - suche nach sicherem Forum (https://boardunity.de/wbb2-gehacked-suche-sicherem-forum-t5695.html)

Nebelkraehe 28.02.2008 02:44

WBB2 gehacked - suche nach sicherem Forum
 
Der Titel sagt eigentlich alles.
Da der Hacker ziemlich motiviert zu sein scheint, wird er wohl beim Umzug auf einen neuen Server und ein neues Board mit von der Partie sein.

Das alte war ein Burning Board 2.3.3.

Gibt es was halbwegs sicheres?

Wulfnoth 28.02.2008 06:22

Wenn du Sicherheitsupdates nicht einspielst wird keine andere Software sicherer sein. Man muss sein Projekt schon pflegen.

Titus 28.02.2008 09:26

für updatefaule Admins ist glaube ich zur Zeit das wBB3 noch das Beste, da der automatische Updater wenig Hirnschmalz braucht und sich mal nebenbei ausführen lässt :D

alternativ ist glaube ich auch das Viscacha mit so einer Technik erweiterbar und hätte den "Vorteil" einen geringeren Bekanntheitsgrad zu haben, weswegen sich das gemeine Skriptkiddie ohne die bebilderten Hackanleitungen schwer tun wird ;)

Nebelkraehe 28.02.2008 12:46

Der Admin war nicht ich.
Ich war bisher nur normaler User, der das Board jetzt notgedrungen übernimmt weil der Admin nach den Hackerangriffen keine Lust mehr hat. Deshalb wäre ich auch begeistert wenn die Software kostenlos wäre. Vielen Dank für den Tipp mit Vischara, das seh ich mir mal an.

P@trick 28.02.2008 14:21

Forensoftware Vergleich =)

Dono 28.02.2008 17:43

Hi,
mit dem Viscacha kann man nur updates von erweiterung etc beziehen. aber in der nächsten Version wird das Updaten viel einfacher gemacht.
Aber mit der Sicherheit steht es bei dem Viscacha gut, vorallem weil es noch relativ unbekannt ist. Das VB ist auch relativ gut, was die Sicherheit angeht.
Wenn du einmal gehackt worden bist, dann wirst du zumidest von dem einem "Hacker" nicht noch mal "gehackt".
Dono

LonelyPixel 29.02.2008 19:11

Ach ja, zum Thema Sicherheit… Ich habe heute damit angefangen, Gegenmaßnahmen für Cross-Site-Request-Forgery-Angriffe (CSRF) ins Unclassified NewsBoard einzubauen. Funktioniert vorerst sehr gut gegen das unbeabsichtigte Veröffentlichen oder Verändern von Beiträgen, ist aber noch nicht fälchendeckend umgesetzt. Welche andere Forensoftware hat das eigentlich noch?

Nebelkraehe 29.02.2008 20:29

@Dono wir wurden vier Mal gehackt. Da hatte scheinbar jemand Freude.

Wie ist es mit dem SMF, ich habe gehört, das soll auch relativ sicher sein?

rellek 29.02.2008 22:03

.....

Dono 29.02.2008 22:22

Hi,
weil ihr öfters gehackt worden seit, lässt sich daraus schliesen, das er das aus einem bestimmtem Grund macht, und wahrscheindlich nicht so viel ahnung hat. Also einfach eine Version hollen wo keine sicherheitslücken bekannt sind, und wenn sie schnell gefixt werden z.B. Viscacha, Vbuletin etc.
Dono

Nebelkraehe 01.03.2008 20:45

Najaaa... ein Grund für den Umzug ist ja auch, dass es keine funktionierende Sicherung vom Forum gibt. Ich sehe, wie sich die ersten Zehennägel aufrollen. ^^
Ich werde versuchen, alles besser zu machen ;)

Danke für eure Bemühungen!

LonelyPixel 02.03.2008 11:51

Wieso gibt es keine funktionierende Sicherung? Dann mach doch einfach eine. Das geht unabhängig von der Software ungefähr so: Datenbank-Sicherung mit phpMyAdmin, Dateisicherung mit FTP. Wiederherstellung geht mit denselben Werkzeugen, nur in die andere Richtung. Außerdem ist eine Sicherung zum Schutz vor Verlust doch eigentlich Aufgabe des Server-Betreibers, der meist automatisiert täglich alle Benutzerdaten sichert.

Nebelkraehe 02.03.2008 13:15

Es gibt keine weil ich nicht der Admin bin und der Admin keine gemacht hat.
Es gibt jetzt eine, die aber nicht wirklich funktioniert, weil ich sie (ich werde das Forum übernehmen, damit es nicht geschlossen wird) erst nach dem Angriff machen konnte. - es ist Werbung eingebaut und das ACP funktioniert nicht mehr. Außerdem dürfte der Einbrecher einige/alle Passwörter haben. Die Forensoftware kann ich auch nicht mal eben nachkaufen (Admin hat sie auch nicht mehr wg. Festplattencrash), bin auch kein Profi so dass ich die Dateien selbst reparieren könnte. Deshalb sehe ich im Moment keine andere Möglichkeit, als das Forum ganz neu aufzusetzen.
Schade um User und Beiträge (290/30.000), aber hm, nunja.

Gestern bin ich auf die Möglichkeit eines Konverters gestoßen. Welche Daten/Dateien werden da mit übertragen? Wenn ich den H. und die Werbung dann mit an Bord habe, macht der Aufwand ja wenig Sinn. Dann lieber ganz neu anfangen.

Vielen Dank für die Geduld ;)

LonelyPixel 02.03.2008 15:12

Ich würd bei der Gelegenheit u.U. auch den Webhosting-Anbieter wechseln, wenn der dir kein Backup anbieten kann.

So ein Zufall… weißt du eigentlich, wie selten Festplatten kaputt gehen? ;) Ich vermute, dass es viel öfter vorkommt, dass der Benutzer vor dem Bildschirm grob fahrlässig alle Dateien löscht.

Es gibt oft die Möglichkeit, Daten aus einer existierenden Forendatenbank in ein neues Programm zu übertragen. Ob es so einen Konverter gibt, hängt vom bisher verwendeten und auch vom neuen Forum ab. Denn für genau diese Kombination muss es den Konverter geben. Und von diesem Konverter hängt es dann ab, welche Daten in welcher Qualität übertragen werden. Es kann sein, dass manche Angaben nachher fehlen, oder Zuordnungen falsch sind, oder es gar nicht funktioniert. Musst du halt suchen und selbst ausprobieren. Frag das am besten beim Hersteller/Support/Community des Forums nach, das du dann verwenden möchtest.

Titus 02.03.2008 15:14

nun, Werbung lässt sich ja normal löschen (wenn JScript in den Beschreibungen der Foren ist einfach im Browser JS deaktivieren) und zumindest vom SMF müsste es einen Converter geben fürs wBB2 (Viscacha hat im übrigen auch einen)

IDR brauchst du da auch nur die DB und evtl die Dateiangänge/Avatare wenn die unterstützt werden

Je nach Zustand des aktuellen Boards und Wichtigkeit der Themen kann man auch überlegen die alten Daten als ein Archiv zu erstellen und im neuen Board wirklich neu zu starten

rellek 02.03.2008 20:47

.....

Nebelkraehe 02.03.2008 21:56

LonelyPixel: Jap, Webhostinganbieter-Wechsel ist bereits beantragt.
Hmm... ich glaube, ich würde auch von einem Festplattencrash erzählen, wenn ich das versemmelt hätte. Einen Konverter gibt es, den werde ich nach dem Umzug dann ausprobieren. Habe mich auch schon im entsprechenden Forum angemeldet und nachgefragt.

Titus: Das mit dem Löschen hatte ich bis vorhin irgendwie nicht hinbekommen. Das ACP funktioniert nicht mehr vollständig, und wenn ich die entsprechende Datei direkt geändert habe bekam ich beim Seitenaufruf eine Fehlermeldung, dass xyz nicht mit dem Cache übereinstimmt o.ä.. Jetzt bin ich soweit, dass die Werbung weg ist und ich nur noch im Fuß eine kleine Fehlermeldung habe. Brauche eben ein wenig weil ich noch nicht so viel Erfahrung habe. Außerdem habe ich erst seit ein paar Tagen die entsprechenden Rechte.
Das mit dem Archiv ist auch mein Notfallplan.

rellek: Daran hatte ich ehrlich gesagt noch garnicht gedacht:

Sehr geehrte Damen und Herren,

ich bin zwar nicht die Person, die einen Vertrag mit Ihnen abgeschlossen hat, aber ich habe ein Forum übernommen, dessen Besitzer das wohl mal getan hat. Würden Sie mir bitte einen Mitgliederaccount einrichten?

Mit freundlichen Grüßen
usw.

rellek 02.03.2008 22:51

.....

Acyd Burn 06.03.2008 19:38

Zitat:

Zitat von LonelyPixel (Beitrag 44381)
Ach ja, zum Thema Sicherheit… Ich habe heute damit angefangen, Gegenmaßnahmen für Cross-Site-Request-Forgery-Angriffe (CSRF) ins Unclassified NewsBoard einzubauen. [...] Welche andere Forensoftware hat das eigentlich noch?

phpBB3, standardmäßig (die Form Tokens die im Template eingefügt werden). Ich glaube SMF, IPB, vBulletin (und bestimmt auch andere) haben dies auch. Ist inzwischen Standard (oder sollte es zumindest sein).

LonelyPixel 07.03.2008 11:15

Naja, Referer Checks sind ja auch noch notwendig, sonst liest das Formular diesen Form Token einfach per JavaScript ein, wenn die beiden Seiten unter derselben Second-Level-Domain liegen (was öfter vorkommt, als man denkt).

Acyd Burn 07.03.2008 19:12

Zitat:

Zitat von LonelyPixel (Beitrag 44498)
Naja, Referer Checks sind ja auch noch notwendig, sonst liest das Formular diesen Form Token einfach per JavaScript ein, wenn die beiden Seiten unter derselben Second-Level-Domain liegen (was öfter vorkommt, als man denkt).


Wenn du das implementierst dann achte auf 2 Dinge:

1. Einige betreiben Foren die für einige Bereiche z.B. SSL einsetzen, zudem vielleicht über verschiedene subdomains erreichbar sind.
2. Referer kann man faken, oder einfach vom Browser nicht setzen lassen.

LonelyPixel 07.03.2008 21:14

Zitat:

Zitat von Acyd Burn (Beitrag 44517)
1. Einige betreiben Foren die für einige Bereiche z.B. SSL einsetzen, zudem vielleicht über verschiedene subdomains erreichbar sind.

Allerdings sollte sich die verwendete Domain oder der SSL-Status nicht zwischen dem Formular und der Aktion einer „kritischen“ Funktion ändern, also Beitrag absenden, Foren löschen etc. (Ach nee, SSL ist mir sowieso egal, hauptsache die Domain passt.)

Zitat:

2. Referer kann man faken, oder einfach vom Browser nicht setzen lassen.
Das ist zum Glück kein Problem in diesem Fall, sonst gäbe es gegen CSRF tatsächlich keine Lösung. In diesem Szenario wird ja der Browser einer regulären Benutzers verwendet, der vom Angreifer (normalerweise) nicht manipuliert werden kann. In meinen Tests wurde auch bei XmlHttpRequest-Aufrufen der Referer übertragen. Also entweder er kommt korrekt an, oder gar nicht, weil ihn z.B. ein Privacy-Filter blockiert. Wenn ein Benutzer aber seinen eigenen Browser selbst so manipuliert, dass ein bestimmter CSRF-Angriff möglich wird, ist er ja praktisch selbst der Verursacher – und das könnte er auch einfacher haben.

Rake 10.03.2008 15:30

Zitat:

Zitat von LonelyPixel (Beitrag 44519)


Das ist zum Glück kein Problem in diesem Fall, sonst gäbe es gegen CSRF tatsächlich keine Lösung. In diesem Szenario wird ja der Browser einer regulären Benutzers verwendet, der vom Angreifer (normalerweise) nicht manipuliert werden kann.

Das stimmt so nicht. Z.B. kann der Referrer via meta refresh unterdrückt werden - das ist durchaus im Ramen eines CSRF.

~H

LonelyPixel 10.03.2008 16:52

Zitat:

Zitat von Rake (Beitrag 44534)
Das stimmt so nicht. Z.B. kann der Referrer via meta refresh unterdrückt werden - das ist durchaus im Ramen eines CSRF.

Oh, du hast Recht. – Aber nun, so kann man ja keine POST-Formulare absenden. (Hab das grade mal ausprobiert.) Zumindest das kann man damit ein Stück zuverlässiger gegen diese Angriffe absichern.

vasiliylange 28.09.2008 23:05

Ich empfehle Ihnen auf keinen Fall eine OpenSource Forum-Software zu nehmen. Bei kommerzieller Software ist der Source-Code nicht frei verfügbar und deswegen werden dort nicht so heufig Sicherheitslücken gefunden.

Oder Sie nehmen einen Forum-Hoster, der auf eigener Software basiert. Wir haben mit communityhost.de gute erfahrung gemacht. Allerdings haben Sie bei solchen Hoster keinen direkten Zugriff auf alle Daten und das ist aus meiner sicht ein entscheidender Nachteil.


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:40 Uhr.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25