mboost-dp1

Shellsec

Hacket dansk hackerforum er oppe igen

- Via ShellSec - , indsendt af thimon

I tirsdags måtte det danske hackerforum Shellsec konstatere, at de var blevet hacket, hvilket har ført til, at deres database er blevet hentet af en eller flere ukendte gerningsmænd.

Umiddelbart efter siden blev kompromitteret, valgte stifteren af siden, Morph3s, at tage forummet offline, da antagelsen var, at der blev udnyttet et sikkerhedshul i forumsoftwaren MyBB.

Forummet er nu online igen, men denne gang hos en ny host, da MyBB ikke længere mistænkes for at have et hul, men at fejlen derimod var hos den host, som blev anvendt tidligere.

Morph3s skrev:
Vi har dog efter lang tids søgen kigget stort set alt igennem og kan konkludere at der med 99% sikkerhed er tale om en sikkerheds fejl hos vores host. […] Vi har kigget hele MyBB igennem og kan ikke finde nogle tegn på backdoors.

Det er usikkert hvem angriberne er, men Morph3s er ret sikker på hvor angrebet stammer fra, uden dog at ville oplyse dette.





Gå til bund
Gravatar #51 - Mort
30. jun. 2013 10:37
albani (45) skrev:
han har da lige hacket newz? hvis jeg klikke på forum her på siden nu kommer jeg til shellsec.org ....


Han har ikke hacket noget som helst. Han har ikke fået adgang til noget på newz som folk ikke bør have adgang til, han kan ikke ændre på noget, han har ikke adgang til brugere eller lignende.

Det eneste han har gjort, er at udnytte at ikke alle posting features (Som nævnte brugerkategorier) er beskyttet mod at indsætte javascript.

Det er da irriterende, ja, men det er ikke et hack.
Gravatar #52 - csstener(^,^)
30. jun. 2013 10:54
albani (45) skrev:
han har da lige hacket newz? hvis jeg klikke på forum her på siden nu kommer jeg til shellsec.org ....
det eneste han gjore var at lave en forum kategori med
<script>window.location.assign("http://www.shellsec.org/")</script>
det er ikke helt at hacke newz og det er noget vi alle sammen kan gøre hvis vi ville
Gravatar #53 - Scavy
30. jun. 2013 21:21
csstener (52) skrev:
det eneste han gjore var at lave en forum kategori med
<script>window.location.assign("http://www.shellsec.org/")</script>
det er ikke helt at hacke newz og det er noget vi alle sammen kan gøre hvis vi ville

Jo, men havde han været ude på at lokke nogle brugernavne og koder ud af folk så kunne han have dirigeret brugeren over på en side der lign. newz.dk til forveksling med en besked om at brugeren var nødt til at logge ind igen.

Så potentielt kan det være skadeligt nok, hvis man har de rette hensigter og brugeren er tilpas uforsigtig.
Gravatar #54 - Ronson ⅍
30. jun. 2013 21:34
Det er vel et hack at man finder en måde at bruge noget på som ikke var meningen?
Gravatar #55 - Mort
1. jul. 2013 06:17
Ronson (54) skrev:
Det er vel et hack at man finder en måde at bruge noget på som ikke var meningen?


Vi kan komme ud i lange diskutioner om hvad ordet
hack betyder.

I stedet for at diskutere ordets betydning, skal vi så ikke bare være enige om at der ikke er brudt ind i noget, der har ikke været overtaget kontrol over nogen servere, der har ikke været brud på sikkerheden og det eneste han har opnået er at indsætte noget javascript på et forum.
Gravatar #56 - majcherek128
1. jul. 2013 07:42
#55 Jeg vil nu give #53 ret, og vil sige at det bestemt er et brud på sikkerheden. Nej, ikke et brud på serverens sikkerhed, men bestemt et brud på brugerens sikkerhed.
Som #53 selv er inde på, så kunne han have udnyttet chancen til at lokke brugernavn og password ud af folk, eller han kunne også bare have indsat ondsindet kode som udnyttede en såbarhed i browseren (eller plugins).

Desuden ved vi stadigvæk ikke om der har været brudt ind i newz.dk's database, og hvem det i så fald var, eftersom at newz vælger ikke at kommentere på sagen.
De har jo nok IP begræsning på adgang til den eksterne SQL server, men mon ikke at det også kan brydes (spoofing?).
Gravatar #57 - Rainmeter
1. jul. 2013 07:59
majcherek128 (56) skrev:
Desuden ved vi stadigvæk ikke om der har været brudt ind i newz.dk's database, og hvem det i så fald var, eftersom at newz vælger ikke at kommentere på sagen.
De har jo nok IP begrænsning på adgang til den eksterne SQL server, men mon ikke at det også kan brydes (spoofing?).


Roligt det sjælendt folk kaster en sten igennem ruden for at dirke en lås op.
Gravatar #58 - majcherek128
1. jul. 2013 08:24
Rainmeter (57) skrev:

Roligt det sjælendt folk kaster en sten igennem ruden for at dirke en lås op.

Ehhmm.. Aha?
Point being?
Har du læst min tidligere post, hvor jeg skrev at mens newz.dk var nede så stod deres database-oplysninger på siden?
Gravatar #59 - csstener(^,^)
1. jul. 2013 08:35
majcherek128 (58) skrev:
Rainmeter (57) skrev:

Roligt det sjælendt folk kaster en sten igennem ruden for at dirke en lås op.

Ehhmm.. Aha?
Point being?
Har du læst min tidligere post, hvor jeg skrev at mens newz.dk var nede så stod deres database-oplysninger på siden?
yep og syndes fandeme at det er ringe at de ikke har meldt noget ud omkring det. -__-
Gravatar #60 - Rainmeter
1. jul. 2013 20:59
#58
Oka vildt, database-oplysningerne..

Min pointe er hvis man scripter(kaster med sten), sig til omdiriger, så har næppe haft adgang til noget data, tror du så ikke de allerede havde fuckket med os? selv hvis de har fat i daten(dirker låsen op) håber jeg da newz ikker så indkompte at gemme alt i klar tekst.


#59a
Måske fordi de er vant til vi nørder roder og afprøver deres kode ret ofte. Igen der nok intet sket, var der stjålet data havde de nok sagt ændre jeres kodeord.
Vi ligger jo ikke inde med kreditkort oplysninger her inde?
Gravatar #61 - gramps
2. jul. 2013 07:32
#60
Da Gilmore Girls hackede Newz kom det frem at passwords 'kun' var hashet og ikke saltet. Jeg går stærkt ud fra at passwords er både hashede og saltede nu.
Gravatar #62 - Scavy
2. jul. 2013 09:39
gramps (61) skrev:
#60
Da Gilmore Girls hackede Newz kom det frem at passwords 'kun' var hashet og ikke saltet. Jeg går stærkt ud fra at passwords er både hashede og saltede nu.


Og forhåbentligt har de lige fået en gang peber og grillkrydderi også ;)

Seriøst, så må man håbe at de har lært af tidligere.
Gravatar #63 - milandt
2. jul. 2013 20:25
Rainmeter (60) skrev:
Vi ligger jo ikke inde med kreditkort oplysninger her inde?


Det er da kun fordi Newz ikke vil have mine penge i bytte for et newz.dk uden reklamer.
Gravatar #64 - arne_v
2. jul. 2013 20:30
#63

Jeg ved ikke om det er specielt vigtigt for debatten, men at tage mod betaling på et web site er ikke ensbetydende med at man gemmer kreditkort oplysninger - langtfra.
Gravatar #65 - milandt
3. jul. 2013 10:48
#64

I know, det kræver faktisk en særlig godkendelse på lige fod med den diverse betalingsgateway (DIBS, ePay etc) har. Og du har ret, det var ikke så vigtigt for debatten.

Ikke desto mindre, hvis Newz tog imod betalinger i den ene eller anden forbindelse, så ville der formegentlig være en del oplysninger om "kunderne" i deres database, ud over de oplysninger der står i folks profiler.
Gravatar #66 - terracide
3. jul. 2013 14:14
Så man kan ikke tage til Jylland og holde fri inden i lukker alt muligt script-kiddie ral ind og lader dem pisse i hjørnerne?

lol
Gravatar #67 - ko
3. jul. 2013 14:30
terracide (66) skrev:
Så man kan ikke tage til Jylland og holde fri inden i lukker alt muligt script-kiddie ral ind og lader dem pisse i hjørnerne?


Du mener altså ikke, at det kræver talent at copy/paste javascriptkode ind i diverse felter på en hjemmeside?
Gravatar #68 - csstener(^,^)
3. jul. 2013 14:42
ko (67) skrev:
Du mener altså ikke, at det kræver talent at copy/paste javascriptkode ind i diverse felter på en hjemmeside?
når man kan erstatte det med en Bot så syndes jeg ikke længere man kan kalde det for et "talent"
Gravatar #69 - ko
3. jul. 2013 16:46
csstener (68) skrev:
når man kan erstatte det med en Bot så syndes jeg ikke længere man kan kalde det for et "talent"


Hvis vedkommende kan skrive botten selv, så er det da et lille skridt i den rigtige retning. Er botten derimod blot hentet på nettet, så...
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login