mboost-dp1

Shellsec

Hacket dansk hackerforum er oppe igen

- Via ShellSec - , indsendt af thimon

I tirsdags måtte det danske hackerforum Shellsec konstatere, at de var blevet hacket, hvilket har ført til, at deres database er blevet hentet af en eller flere ukendte gerningsmænd.

Umiddelbart efter siden blev kompromitteret, valgte stifteren af siden, Morph3s, at tage forummet offline, da antagelsen var, at der blev udnyttet et sikkerhedshul i forumsoftwaren MyBB.

Forummet er nu online igen, men denne gang hos en ny host, da MyBB ikke længere mistænkes for at have et hul, men at fejlen derimod var hos den host, som blev anvendt tidligere.

Morph3s skrev:
Vi har dog efter lang tids søgen kigget stort set alt igennem og kan konkludere at der med 99% sikkerhed er tale om en sikkerheds fejl hos vores host. […] Vi har kigget hele MyBB igennem og kan ikke finde nogle tegn på backdoors.

Det er usikkert hvem angriberne er, men Morph3s er ret sikker på hvor angrebet stammer fra, uden dog at ville oplyse dette.





Gå til bund
Gravatar #1 - BetaSpotPr0xy
28. jun. 2013 06:29
Yo dog. I heard you like hacking. So I hacked your hacker site.

Hackception lige der
Gravatar #2 - Thoro
28. jun. 2013 07:01
Man så det lidt komme da han sad foran kameraet og pralede med hvor fantastisk han er til at gemme sig, og trykke på sine script-kiddie-ddos-knapper. Jeg kunne forestille mig en enkelt eller to, der blev fagligt fornærmet over det interview.
Gravatar #3 - bbb2020
28. jun. 2013 07:08
Hacket dansk hackerforum...
I lol'ed. Bedste overskrift, ever.
Gravatar #4 - Qw_freak
28. jun. 2013 07:18
Thoro (2) skrev:
Man så det lidt komme da han sad foran kameraet og pralede med hvor fantastisk han er til at gemme sig, og trykke på sine script-kiddie-ddos-knapper. Jeg kunne forestille mig en enkelt eller to, der blev fagligt fornærmet over det interview.

Hvilket interview?
Gravatar #5 - Hubert
28. jun. 2013 07:21
Qw_freak (4) skrev:
Hvilket interview?


På version2 bliver der i kommentarerne henvist til det her interview.

http://nyhederne.tv2.dk/article.php/id-69574467:ha...
Gravatar #6 - el_barto
28. jun. 2013 07:25
Hovmod er som tyngdekraften, kaster du en lort op i luften risikerer du at få den i hovedet ;)
Gravatar #7 - Sikots
28. jun. 2013 07:29
De har kigget mybb igennem og ikke fundet huller... Så har de nok ikke kigget godt nok.
Ellers skal det da være den første omgang kode som er 100% sikret!

I call bullshit - men grinede også over overskriften!
Gravatar #8 - Qw_freak
28. jun. 2013 07:45
Idioten har da bare haft et kodeord som var for kort...
Gravatar #9 - SpYkE112
28. jun. 2013 08:13
Haha Paradise Hotel i et hackerformat! Mere af det :D
Gravatar #10 - Hack4Crack
28. jun. 2013 08:27
Qw_freak (8) skrev:
Idioten har da bare haft et kodeord som var for kort...

Ja, bruteforce er den sjoveste beskæftigelse
Gravatar #11 - chris
28. jun. 2013 08:33
Nogle af mine venner med tilknytning til voxanon og shellsec forsøgte at berolige mig med at Morphe3s skam bare DDoSéde en hjemmeside gennem en betalt service på nettet, fordi det skulle være letforståeligt for TV2.
Men altså, efter følgende citat begynder det at lugte af scriptkiddie igen

Morph3s skrev:

Vi har kigget hele MyBB igennem og kan ikke finde nogle tegn på backdoors.

- tjaaah, hvis man kun leder efter bagdøre, så er det da meget nærliggende at tro de ikke har fundet én ;)

Dog skulle det da undre mig at de har haft tid til at kigge hele MyBB´s scriptbase igennem og har fået testet al softwaren for exploits.
Gravatar #12 - Radissan
28. jun. 2013 08:42
#12

De har jo kørt alle de exploits backtrack havde imod MyBB og de virkede ikke..... SÅ MÅ DET JO VÆRE SIKKERT!
Gravatar #13 - el_barto
28. jun. 2013 08:46
Dissan (12) skrev:
#12

De har jo kørt alle de exploits backtrack havde imod MyBB og de virkede ikke..... SÅ MÅ DET JO VÆRE SIKKERT!

Infinite Loop detected. NaN.
Gravatar #16 - waaben
28. jun. 2013 09:25
Er jeg den eneste der syntes det lugter af lidt PR?

Jeg mener "Danmarks største hacking forum"... Er det ikke den eneste af sin type og ca. et halvt år gammel?

Med 336 oprettede brugere, hvor under halvdelen er aktive (har oprettet en eller flere beskeder), så havde det vist været nemmere, og mindre pinligt, bare at sende besked om brudet på mail til brugerne i stedet for at melde det ud i et åbent forum.

Jeg ville nok lave det til et "invites only"-forum, hvis det havde været mig. Så undgik man også alle de scriptkiddies ;)

Men alle må vel have en hobby...
Gravatar #17 - E.T.
28. jun. 2013 09:44
Det er lidt sjovt at de ikke kan finde et hul i myBB eftersom de jo er Danmarks hacker elite. Jeg har allerede fundet et og jeg er bare en almindelig dødelig. (Og må jeg sige, hold da op hvor er myBB da noget slamkode :))
Gravatar #19 - Fjolle
28. jun. 2013 10:29
Thoroughbreed (18) skrev:
Fjolle (15) skrev:
Thoroughbreed (14) skrev:
#12

http://bucultureshock.com/wp-content/uploads/2012/...


http://www.scp-wiki.net/scp-320


http://1.bp.blogspot.com/-w0HCNYLNf5E/T_yUNv26ZLI/...


"You are now working for the SCP Foundation. You have no need to understand how or why we operate. What you do need to understand is how vital your mission is."

http://www.scp-wiki.net/about-the-scp-foundation
Gravatar #20 - majcherek128
28. jun. 2013 10:58
#14 Yup, det er Monticello Dam, California.

Slightly on-topic/off-topic:
Jeg syntes at det er utroligt at vi stadigvæk intet har hørt fra newz.dk om deres sikkerhedsbrist tidligere (den 25. ved 5-6 tiden).

Om der har været nogen som fik adgang, og om det overhovedet var muligt?
Om det var en almindelig fejl i systemet som gav lidt for mange informationer?

Hvis folk ikke aner hvad jeg snakker om, så kan jeg nævne at newz.dk og alle associerede sider var nede, og at selve newz.dk-siden skrev en masse information, heriblandt brugernavn, password, hostname, og database-navn, til en database.

Det ville være dejligt hvis newz.dk kunne berette lidt nærmere, sådan at man ikke går i det uvisse og bare gætter.
Gravatar #22 - chris
28. jun. 2013 11:45
waaben (16) skrev:
Er jeg den eneste der syntes det lugter af lidt PR?

Jeg mener "Danmarks største hacking forum"... Er det ikke den eneste af sin type og ca. et halvt år gammel?

Med 336 oprettede brugere, hvor under halvdelen er aktive (har oprettet en eller flere beskeder), så havde det vist været nemmere, og mindre pinligt, bare at sende besked om brudet på mail til brugerne i stedet for at melde det ud i et åbent forum.

Jeg ville nok lave det til et "invites only"-forum, hvis det havde været mig. Så undgik man også alle de scriptkiddies ;)

Men alle må vel have en hobby...


Well, det er ikke DK´s eneste..
det er dog klart det mest offentlige ;)
- jeg kender ihvertfald til ét der Syndie-baseret. Men den slags kræver jo at man kender nogen, der kender nogen for at man kan komme med i :)
Gravatar #23 - Morph3s
28. jun. 2013 12:56
Guys. Nu er det ikke fucking rocket science at sætte sig ned med diffmerge og kigge om der er nogle der har lagt noget der ikke burde være der. Du tager bare en original version af mybb fra deres hjemmeside også holder du den op mod din egen. SIMPLE!

Hvis i kan bedømme mig som script kiddie ud fra 30 sekunder på tv2 som alle skal kunne forstå, then fine. Det fortæller vidst mere om jer end det gør om mig :)

Nej shellsec er ikke invite only. Vi tilbyder alle en platform hvor de kan deltage i debatter omkring hacking. også folk der ikke ved så meget. Alle har været script kiddies på et tidspunkt. Lær at kravle før du kan gå. Der er også mange whitehats. f.eks De tråde jeg har skrevet om basic web vulns, indeholder bl.a hvordan man beskytter sig.

Vi siger ikke et eneste sted at vi har pentestet hele MyBB (Det ville være umuligt at skrive 100% sikker kode)
- Vi siger blot hvad vi mener er hændt.
www.shellsec.org

Mvh. Morph3s.

// Happy Hacking
Gravatar #24 - Morph3s
28. jun. 2013 12:57
waaben (16) skrev:
så havde det vist været nemmere, og mindre pinligt, bare at sende besked om brudet på mail til brugerne i stedet for at melde det ud i et åbent forum.


Det er 10x bedre at være åben omkring det.
Gravatar #25 - PHP-Ekspert Thoroughbreed
28. jun. 2013 13:29
#23 #24

I call bullshit
Gravatar #26 - arne_v
28. jun. 2013 13:34
Morph3s (23) skrev:
Guys. Nu er det ikke fucking rocket science at sætte sig ned med diffmerge og kigge om der er nogle der har lagt noget der ikke burde være der. Du tager bare en original version af mybb fra deres hjemmeside også holder du den op mod din egen. SIMPLE!


Hmm.


da MyBB ikke længere mistænkes for at have et hul



Vi har kigget hele MyBB igennem og kan ikke finde nogle tegn på backdoors.


De simple kendsgerninger må være at:
1) en diff mellem brugt kode og original kode ikke fortæller hvorvidt der er en bagdør men kun om hvorvidt der er tilføjet en bagdør i den brugte kode som ikke er i den originale kode
2) uanset om der ikke er en ny bagdør eller ikke er en bagdør overhovedet, så kan der stadig være huller (det må være en meget lille andel af hackninger som skyldes bagdøre sammenlignet med mere trivielle fejl såsom mulighed for SQL injection)
Gravatar #27 - cyberdude
28. jun. 2013 14:01
Enig med arne_v:
Nu er jeg ikke 1337 hax0r, men et indbrud udført af et sql injection exploit behøver da ikke lede til modificering af server side code.

Så hvordan man kan udlede at mybb ikke er skyldig (ikke har et sql injection hul) på baggrund af diff af original kode er mig godt nok en gåde.

Enten mangler der noget information eller også er shellsec(ejeren/ejerkredsen) en flok scriptkiddies?

Dermed ikke sagt at det sagtens kan være hosten, jeg syntes bare at argumentet er meget vagt.
Gravatar #28 - Morph3s
28. jun. 2013 14:20
Jeg siger ikke at årsagen til angrebet er en bagdør. Jeg siger blot at vi checkede om der var blevet lagt en efter angrebet. Angrebet er udført på en anden måde.

Og jo. File diff er en ret korrekt måde at kigge efter nye/modificerede filer på. Vi skiftede server, så det var ikke nødvendigt at kigge andre steder.
Gravatar #29 - PHP-Ekspert Thoroughbreed
28. jun. 2013 14:21
#28

Hvad så hvis der er en (kendt) bagdør i forvejen? Så kan du ikke se det ved at sammenligne med en original ..

DU er måske lidt af en original?
Gravatar #30 - Morph3s
28. jun. 2013 14:37
Thoroughbreed (29) skrev:
#28

Hvad så hvis der er en (kendt) bagdør i forvejen? Så kan du ikke se det ved at sammenligne med en original ..

DU er måske lidt af en original?


NSA kan også have sat et hosting firma op som honeypot.
Roolig nu med konspirationerne.

Jeg siger blot at der ikke var tillagt nogen backdoor til vores installation.

Det lyder som om du diskuterer bare for at gøre det.
Gravatar #31 - ko
28. jun. 2013 14:43
Morph3s (30) skrev:
Det lyder som om du diskuterer bare for at gøre det.


Jeg tror, han diskuterer, fordi jeres konklusion lyder underlig.
Gravatar #32 - ko
28. jun. 2013 16:01
http://nyhederne.tv2.dk/article.php/id-69828158:danske-hackere-hacket-pinligt.html skrev:
Det ser ud til, at det kommer fra Algeriet. Det gør alle ip-adresserne


Du antager således, at de er så meget nybegyndere, at de ikke har skjult, hvor de kommer fra?
Gravatar #33 - Morph3s
28. jun. 2013 22:05
Nu har vi så snakket med dem der hackede os. Gæt engang. Vi havde sku ret ;)

I griber hver en chance for at kalde nogen for script kiddie.
Face it guys. We know security.
http://www.shellsec.org/showthread.php?tid=578
Gravatar #34 - Morph3s
29. jun. 2013 01:45
ko (32) skrev:
Du antager således, at de er så meget nybegyndere, at de ikke har skjult, hvor de kommer fra?


Ja det antager jeg. Og jeg havde ret i min antagelse.
Gravatar #35 - Morph3s
29. jun. 2013 01:47
cyberdude (27) skrev:
Enig med arne_v:
Nu er jeg ikke 1337 hax0r, men et indbrud udført af et sql injection exploit behøver da ikke lede til modificering af server side code.

Så hvordan man kan udlede at mybb ikke er skyldig (ikke har et sql injection hul) på baggrund af diff af original kode er mig godt nok en gåde.

Enten mangler der noget information eller også er shellsec(ejeren/ejerkredsen) en flok scriptkiddies?

Dermed ikke sagt at det sagtens kan være hosten, jeg syntes bare at argumentet er meget vagt.


Ingen sagde at vi havde tjekket for sql injections eller noget med diff. Det var blot for at kigge om nogle havde droppet noget efter angrebet.
Angrebet kunne godt være af typen sql injection, men det lignte det ikke efter som nogle havde tiltvunget sig root på serveren. Deraf kunne vi konkludere at det nok ikke var MyBB som var synderen. Det vidste sig jo også at vores antagelser var korrekte.
Gravatar #36 - Magten
29. jun. 2013 07:26
Det klip på tv2 minder mig utroligt meget om alle de gange "hardcore pirater" er stillet op til interview i medierne.. Hver gang har man kun kunne grine af deres forsøg på at få opmærksomhed ved at fortælle om noget de kun kender en lille smule til.
Gravatar #37 - ko
29. jun. 2013 10:07
Magten (36) skrev:
Det klip på tv2 minder mig utroligt meget om alle de gange "hardcore pirater" er stillet op til interview i medierne..


TV2 finder jo alle de harcore. Ligesom ham den 13-årige, som "hackede" deres medarbejder :-)
Gravatar #38 - Rainmeter
29. jun. 2013 10:29
#36 + #37
Det vil også det er skræmmende at "tåber", som har et enormt begrænset viden om noget faktisk er istand til gøre noget overhovedet.
Gravatar #39 - Eldrups
29. jun. 2013 22:16
Morph3s (23) skrev:
Du tager bare en original version af mybb fra deres hjemmeside også holder du den op mod din egen. SIMPLE!


Fnis...

Det her er ikke Nationen!, de fleste herinde kan godt se at det du skriver er BS. Selvom du sikkert ikke selv kan.
Gravatar #40 - Morph3s
29. jun. 2013 23:30
Eldrups (39) skrev:
Fnis...

Det her er ikke Nationen!, de fleste herinde kan godt se at det du skriver er BS. Selvom du sikkert ikke selv kan.


Du kan ikke fortælle hvorfor det er forkert. Det eneste du kan(Ligesom 90% af de andre) er blot at klynge et eller andet lort ud i luften, uden hold i det. Mudderkasteri fra din sofa. Du er så patestisk at det er helt skammeligt at se på.

irc.voxanon.net/6667 #shellsec.
Kom forbi og tag en åben debat om sikkerhed.
500kr på at du ikke aner hvad du snakker om. Klaphat.
Gravatar #42 - ko
30. jun. 2013 02:12
Det var da et par tamme forsøg på at injekte kode. Ham forleden automatiserede da i det mindste processen.
Gravatar #43 - PHP-Ekspert Thoroughbreed
30. jun. 2013 08:27
Det bedste er nu, når man sidder fra iOS med Opera som browser - der sker absolut intet! Hahaha ... Amatører!
Gravatar #44 - MichaelB
30. jun. 2013 08:43
#40
Rolig med sproget, hvor gammel er du?

Faldt over denne tråd. Uden at have det mindste kendskab til hvad du betegner som 'sikkerhed', ville jeg vurdere at hvis man har ballade med noget så simpelt som at downloade og cracke photoshop, så er der ikke tale om eksperter :)
http://www.shellsec.org/showthread.php?tid=560

#41
Nogen der aner hvad det er?
Gravatar #45 - albani
30. jun. 2013 08:54
han har da lige hacket newz? hvis jeg klikke på forum her på siden nu kommer jeg til shellsec.org ....
Gravatar #46 - TookDk
30. jun. 2013 09:02
Rimelig nederen at man ikke kan få lov at gå lov at gå ind på shellsec, og se hvad der tales om, bare fordi man er i udlandet :(

The owner of this website (www.shellsec.org) has banned your IP address (x.x.x.x) based on the country or region you are accessing it from. (Ref. 1009)
Gravatar #47 - milandt
30. jun. 2013 09:15
Hvis jeg har JavaScript slået til og går ind på http://newz.dk/forum så bliver jeg omdirigeret til http://www.shellsec.org/ :-) Uden JavaScript bliver jeg på newz.dk. Tror nogen har hygget sig med XXS.
Gravatar #48 - milandt
30. jun. 2013 09:19
Exploiten på newz.dk/forum ligger i brugeroprettede kategorier. Der er blevet oprettet en kategori der hedder:

<a href="/forum/script-window-location-assign-http-www-shellsec-org-script"><script>window.location.assign("http://www.shellsec.org/")</script></a>


De fem seneste brugerkategorier står nederst på siden, og der er åbenbart ingen brugervalidering på når man indtaster navnet på sin kategori.
Gravatar #49 - milandt
30. jun. 2013 09:20
Gravatar #50 - p1x3l
30. jun. 2013 09:33
lols script kiddies ....

lidt utroligt at newz ik er bedre lavet men ak ja, og lidt ironisk så meget brok over csc og andre it skandaler der er her når der ska en Morph3s til at "teste" forum lol
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login