Results 1 to 10 of 10

Thread: Wir sind wieder da!

  1. #1
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,730
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3730

    Wir sind wieder da!

    Nach einer etwas längeren Down-Phase melden wir uns wieder zurück.

    Um allen Möglichst einfach Antworten zu können was genau passiert ist, hier ein kleines Gespräch mit unserem Technischen Admin, danke an dieser Stelle dafür.

    Redaktion: Was genau ist passiert?

    TechAdmin: Es hat sich ein unbekannter Zutritt auf unseren Server verschafft und in einige Dateien ein Java Script implementiert.

    Redaktion: Ist dadurch ein Schaden entstanden?

    TechAdmin: Ja und Nein. Wir haben durch dieses Java Script unseren Pagerank und alle Backlinks verloren. Dadurch ist im Prinzip ein Jahr Search Engine Optimization arbeit im Arsch. Das Forum selber ist unversehrt und es fehlt auch nichts.

    Redaktion: Sind irgendwelche sensiblen Daten mitgenommen worden?

    TechAdmin: Nein. Es wurden weder Backups noch die Datenbank kopiert. Das heißt der Angreifer hat nichts. Selbst wenn er die Datenbank mitgenommen hätte, unser PN´s und IP´s werden verschlüsselt gespeichert. Somit hätte er damit nichts anfangen können.

    Redaktion: Müssen die Benutzer irgendwas befürchten?

    TechAdmin: Kommt drauf an. Da eben ein Schadscript installiert wurde, was bei aufrufen unserer Seite ausgeführt wurde, kann es passiert sein das bei dem User Trojaner oder Spyware installiert wurde. Bei sowas ist es deshalb auch ratsam sowas wie "No Script" installiert zu haben, alle Benutzer die dies in ihrem FireFox installiert haben, müssen sich keine Gedanken machen.

    Redaktion: Was hatte der Angreifer für ein Ziel?

    TechAdmin: Wir können mit ziemlicher Sicherheit sagen, das es sich bei dem Angreifer nicht um jemand von einem Tracker handelt, den sonst wäre die Datenbank mitgenommen worden. Wir vermuten entweder eine andere Leecher-Site dahinter, die uns aus Google vertreiben wollte oder wir sind zufällig in diesen Angriff geraten, da zahlreiche andere Seiten auf ähnliche Art und Weise gehackt wurden und mit diesem Script infiziert wurden.
    Auffällig ist es auch, das nicht nur das Board infiziert wurde, sondern auch andere PHP Anwendungen die teilweise nicht mal Public sind. Das lässt darauf schließen das der Angriff nicht geplant war und es einfach nur Ziel war bei möglichst vielen Benutzern das Schadscript ausführen zu können.

    Redaktion: Sonst noch etwas wichtiges was du den Usern sagen möchtest?

    TechAdmin: Es sollte der Rechner auf Trojaner und Spyware überprüft werden. Ich weiß nicht in wie weit die Anti-Virus Programme gegen dieses Script gerüstet sind. Server Betreiber sollten auf´s strengste Ihre Seiten überwachen auf Unregelmäßigkeiten. Betroffen sind alle Nutzer die am 1.05.08 zwischen 10:58 und 23:00 Uhr Online waren und kein Programm zur Unterbindung von Java Scripts installiert haben. Die Seite www.sb-innovation.de selber kann erlaubt gewesen sein, es wurde eine zusätzlich geladen welche sich "orentraff.cn" nennt. Wer diese erlaubt hat, sollte seinen Computer einmal eingehender Untersuchen.

    Redaktion: Wird so etwas noch mal vorkommen?

    TechAdmin: Das weiß man nie genau. Vermutlich werden wir in den nächsten Monaten sowieso unseren Server ausserhalb von Deutschland verlagern. Ich bin aber stehts bemüht darum das unseren Benutzern die höchst mögliche Sicherheit gewährt ist.

    Redaktion: Wir danken für dieses ausführliche Gespräch.

    TechAdmin: Dito.

    English translation:

    Editorial staff: What exactly has happened?

    TechAdmin: An unknown person got admission to our server and implemented Java script in some files. Editorial staff: Has a damage originated from it? TechAdmin: Yes and no. We have lost our pagerank and all baking links because of this Java Scrip. A year of Search engine Optimization effort was for nothing. The forum itself is unscathed and complete.

    Editorial staff: Have some sensitive data been taken?

    TechAdmin: No. Neither backups nor databanks were copied. This means the attacker has nothing. Even if he had taken the data bank, all PM's and IP's are encrypted. Therefore he couldn't have used the data in any way.

    Editorial staff: Must the users fear something?

    TechAdmin: It depends on it. As a Schadscript was installed which was executed on access to the site, it is possible that users got some trojans or spyware. Therefore, it's very advisable to have installed No Script. Users, who had installed this addon don't have to worry.

    Editorial staff: What did the attacker have for a purpose?

    TechAdmin: We can say with considerable assurance that the attack was not coordinated of a tracker, otherwise, the data bank would have been taken. We suppose either another Leecher site behind it which wanted to expel us from Google, or accidentially got attacked, because numerous other sides were hacked in a similar way and were infected with this Script. It is also remarkable that not only the Board, but also other PHP applications, which are partially not even public, got infected. This allows us to conclude that the attack was not planned and that the actual target was to infect as much users with the Schadscript.

    Editorial staff: Anything else important what you would like to say to the users?

    TechAdmin: The pc should be checked for Trojan and Spyware. I do not know to what extent the antivirus programs are prepared against this Script. Server operators should supervise their sites carefully on irregularities. All users which were online on 1.05.08 between 10:58 and 23:00 o'clock and have installed no program to the prevention of Java Scripts are concerned. The side www.sb-innovation.de can have been permitted, as the Schadscript needed access to "orentraff.cn". Everyboy who has permitted this, should examine their computer carefully.

    Editorial staff: Will such a thing happen once more?

    TechAdmin: One never knows this exactly. Presumably we will move our servers outside from Germany during the next months. However, I am always doing my very best to grant the users the maximum security.

    Editorial staff:
    Thank you for this detailed interview.

    TechAdmin: You're welcome.
    Weitere Fragen können hier gerne gepostet werden, ich werde versuchen diese so gut es geht zu beantworten.

    In diesem Sinne,

    SB-Innovation


    Thanks

  2. Who Said Thanks:

    - (06.05.08) , Tornado (05.05.08) , mikado (05.05.08) , SKAndal (04.05.08) , hitman (04.05.08) , $chm0ddad0$e (04.05.08) , Anyway (04.05.08) , fromas (04.05.08) , LongbowArcher (04.05.08) , Tiberius (04.05.08) , shoulder (04.05.08)

  3. #2

    Hallo

    Also ich bin neu hier??Gibts bei euch kein BEreich zum Vorstellen??
    Thanks

  4. #3
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,730
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3730
    Quote Originally Posted by DerFuchs--1 View Post
    Also ich bin neu hier??Gibts bei euch kein BEreich zum Vorstellen??
    Gibts hier: http://www.sb-innovation.de/showthread.php?threadid=476

    Eigentlich gehört das hier nicht hin...


    Thanks

  5. #4

    Join Date
    03.01.08
    Location
    Bavaria
    P2P Client
    Vuze, uSerenity
    Posts
    64
    Activity Longevity
    0/20 19/20
    Today Posts
    0/5 sssssss64
    In eurer kleinen Mitteilung während der Downzeit habt ihr geschrieben, dass man alle Passwörter ändern sollte.

    Weiss jemand darüber Bescheid, ob solche Skripte die im Browser gespeicherten Passwörter auslesen können?

    Und welche Soft ist zu empfehlen, um nach Trojanern/Spyware zu suchen - neben der handelsüblichen Antiviren-Software?
    Thanks

  6. #5
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,730
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3730
    Quote Originally Posted by Ultraviolet View Post
    In eurer kleinen Mitteilung während der Downzeit habt ihr geschrieben, dass man alle Passwörter ändern sollte.

    Weiss jemand darüber Bescheid, ob solche Skripte die im Browser gespeicherten Passwörter auslesen können?

    Und welche Soft ist zu empfehlen, um nach Trojanern/Spyware zu suchen - neben der handelsüblichen Antiviren-Software?
    Wir sind gerade dabei das Script auszuwerten. Kann aber noch ein wenig dauern. Sobald wir genau wissen was es gemacht hat, werdet ihr informiert.

    Mfg

    Rebound


    Thanks

  7. #6

    Join Date
    06.08.07
    Location
    A Black Hole
    P2P Client
    sbi stuff
    Posts
    359
    Activity Longevity
    1/20 20/20
    Today Posts
    0/5 ssssss359
    thanks for the info guys, nice to see you back online and got it all fixed...

    I changed my password to an other around 128 bit pw.
    Thanks

  8. Who Said Thanks:

    Rebound (04.05.08)

  9. #7

    Join Date
    11.04.08
    Location
    Erde
    P2P Client
    Shareaza
    Posts
    17
    Activity Longevity
    0/20 19/20
    Today Posts
    0/5 sssssss17
    wer ist denn dann eigentlich der Admin vom Board und auf welchem Server liegen denn die Datenbanken ? sollte ja dann kein Problem gewesen sein diese mitzunehmen
    Last edited by FranzFrombach; 04.05.08 at 20:32.
    Thanks

  10. #8
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,730
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3730
    Quote Originally Posted by FranzFrombach View Post
    wer ist denn dann eigentlich der Admin vom Board und auf welchem Server liegen denn die Datenbanken ? sollte ja dann kein Problem gewesen sein diese mitzunehmen
    Der Admin möchte im Hintergrund bleiben und nicht genannt werden, wir respektieren dies und geben deshalb auch keine Informationen diesbezüglich heraus.

    Der Angreifer hatte es auf die Datenbanken aber nicht abgesehen, sondern scheinbar nur darauf, möglichst viele User mit dem Script zu schaden.

    Mfg

    Rebound


    Thanks

  11. #9
    Endymion
    Wie sieht's im Mac Bereich aus - sind ja eigentlich Virensicher - also z.B Safari etc.

  12. #10
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,730
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3730
    Mac ist nicht betroffen. Die Schadscripte sind aussschließlich für Windows geschrieben und zeigen bei anderen Betriebssystem keinerlei Wirkung.

    Mfg

    Rebound


    Thanks

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •