VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Hallo zusammen,
bei mir war heute ein Hacker unterwegs folgender Ablauf:
Neuer User meldet sich an, nach Accountaktivierung werden bei diesem User 900 Milliarden Gutgeschrieben und zwar vom Admin!!!
Danach hat sich dieser User selbst für Auszhalung frei geschaltet (Alle user sind am Anfang gesperrt) und sich dann sofort alles ausgezahlt was auf dem EF zu holen war, glücklicherweise nur 1,5 Milliarden. Das alles in etwa 3 Minuten
Die einzige logische Erklährung die ich habe: Dieser User muss ins Adminforce gekommen sein. Wie soll er sich sonst selbst für Auszahlung frei schalten?!
Anscheinend sind solche Sachen schon bekannt, denn kaum ein Admin lässt noch viele Lose auf dem EF-Account. JETZT weiss ich auch warum!
Hat noch jemand Ratschläge und Tipps zu diesem Problem? Es nimmt mir wirklich die Lust meine Seite weiter zu betreiben! Adminforce ist mit username und sicherem Kennwort geschützt, habe ich natürlich auch schon geändert. gibt es noch eine möglichkeit den Adminforce zugriff auf eine IP zu begrenzen?
AW: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Ich habe mein Adminforce zwar Lokal also nur von meinem Pc aus komme ich darauf aber das könnte dir vielleicht helfen: https://www.google.de/?gws_rd=ssl#q=.htaccess
AW: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Ich gestehe es war ein Fehler das Adminverzeichniss nicht zusätzlich mit einem PW zu schützen, ich habe mich auf das "sichere" login verlassen. Dies habe ich jetzt nachgeholt und das komplette Verzeichniss PW-geschützt. Ich glaube aber nicht das dies das einzige Problem ist. ich bin zu jeder Information zu diesem "Hack" dankbar. Auch andere betroffene Admins können gerne Ihre Erfahrung mitteilen!
AW: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Kommt darauf an, welche Addons bzw Änderungen am VMS vorgenommen wurden. Meistens werden ja Schwachstellen in Addons ausgenutzt, um sich Zugang zur Datenbank zu verschaffen, wo die Adminforce Daten dann im Klartext drinstehen. Das beste wäre in deinem Fall, die Accesslogs durchzuwälzen, welchen Weg der Angreifer genommen hat, woher er gekommen ist und auf welchen Dateien er unterwegs war etc.
MFG
AW: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Er hat natürlich einen Proxy genutz und eine slowakiche und russiche IP gehabt. Laut Klamm hat er meine Lose sofort in EBesucher getauscht, bevor sein Konto gesperrt wurde.
Das Problemm war hier sicher bzw. hoffentlich nur der einfache Passwortschutz vom Adminforce. Schafft man es die Verbindung zur Datenbank zu unterbrechen, dann ist ein Login ohne Daten möglich, mann ist sofort im Adminforce, habe mich selber gewundert und das durch Zufall endeckt. Es brauch z.B. nur die tabelle mit den Admindaten beschädigt sein und schon ist man ohne Login im Adminforce.
Ich habe jetzt vom Serverseitig alle wichtigen Verzeichnisse mit einem Zusätzlichen Passwort gesichert, hilfreich wäre auch das setzten eines IP Filters, denn ich glaube man braucht gar keine Klamm-User aus Russland...
AW: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Noch als Ergänzung für geschädigte oder Leute die noch ein neues VMS1 aufsetzten, es gibt noch jede Menge Slots von diversen Shops welche den Minus-Bug enthalten, hab mich gerade mal 999 Billionen gewinnen lassen, Cool!!!
Also nicht einfach drauf los installieren in der Hoffnung wird schon funktionieren, eher umgekehrt an die Sache rangehen, sucht euch einen erfahrenen VMS Menschen eures vertrauens. Wobei das mit dem vertrauen über das Internet auch so eine Sache ist.^^
Ansonsten auch wenn es schon "Ur-Alt" ist von mir mal ein generelles --!!Dankeschön!!-- an die Entwickler vom VMS! :)
AW: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Noch ein Tip: In jedem Addon nachschauen ob jede Usereingabe (alles was mit $_POST oder $_GET an das Script übergeben wird) auch ordentlich gesichert ist.
Jede ungesicherte Usereingabe ist ein Angriffspunkt von dem aus man auf die Datenbank zugreifen kann. Da das Admin Passwort als Klartext in der Datenbank steht (zumindest in den mir bekannten Versionen) kann man das als User auslesen und hat dann freien Zugang ....
Re: AW: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Zitat:
Zitat von
marcaust
Noch ein Tip: In jedem Addon nachschauen ob jede Usereingabe (alles was mit $_POST oder $_GET an das Script übergeben wird) auch ordentlich gesichert ist.
Jede ungesicherte Usereingabe ist ein Angriffspunkt von dem aus man auf die Datenbank zugreifen kann. Da das Admin Passwort als Klartext in der Datenbank steht (zumindest in den mir bekannten Versionen) kann man das als User auslesen und hat dann freien Zugang ....
Wenn das Admin-Pass schon im Klartext in der Datenbank steht, werden POST/GET-Vars auch nicht geprüft, ich tippe mal, das auch Vars ungefiltert in der DB abgefragt werden, oder SQL-Querys sogar so Highlights wie "where user = $_GET[user]" enthalten
Re: AW: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Ich hab da nu folgendes Problem
27.12.14 19:49:26 - 424.000.000 ID 401020 Auszahlung
Keiner Darf mehr als 50mio auszahlen.
Dieser User hat es zum Acc geschafft mit nur 25mio auszahlung Offiziel dürfen aber 50 mio
401020 - Madam - 2.62.52.38 - /intern/startseite - 27.12.2014 - 19:45:19 - Referer: http://www.winnis-losewelt.de/index..../intern/lo-gin
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:45:27 - Referer: http://www.winnis-losewelt.de/module...ox/ausgabe.php
401020 - Madam - 2.62.52.38 - /intern/startseite - 27.12.2014 - 19:46:15 - Referer: http://www.winnis-losewelt.de/?content=/intern/lo-gin
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:23 - Referer:
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:23 - Referer:
usw bis
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:42 - Referer: http://www.winnis-losewelt.de/?conte...page&id=355993
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:42 - Referer:
usw bis
401020 - Madam - 2.62.52.38 - /intern/support - 27.12.2014 - 19:46:55 - Referer: http://www.winnis-losewelt.de/?conte...page&id=315899
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:55 - Referer:
401020 - Madam - 2.62.52.38 - /konto/buchungen - 27.12.2014 - 19:46:56 - Referer: http://www.winnis-losewelt.de/?content=/intern/support
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:57 - Referer:
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:57 - Referer:
401020 - Madam - 2.62.52.38 - /intern/support - 27.12.2014 - 19:46:58 - Referer: http://www.winnis-losewelt.de/?conte...page&id=315899
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:58 - Referer:
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:59 - Referer:
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:59 - Referer:
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:47:01 - Referer:
401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:47:01 - Referer:
401020 - Madam - 2.62.52.38 - /intern/support - 27.12.2014 - 19:47:03 - Referer: http://www.winnis-losewelt.de/?content=/intern/support
401020 - Madam - 2.62.52.38 - /intern/support - 27.12.2014 - 19:47:05 - Referer: http://www.winnis-losewelt.de/?conte...&neueanfrage=1
401020 - Madam - 2.62.52.38 - /intern/support - 27.12.2014 - 19:47:18 - Referer:
ingesammt 164zeilen bis zum Loseklau
Refback: 0 %
Angemeldet: 27.12.2014 19:44
Letzter Login: 27.12.2014 19:46
Letzte Aktivität: 28.12.2014 11:24
Letzte IP: 2.62.52.38
ForcedKlicks: 0 0,00 Lose
Betteln: 0 0,00 Lose
Buchungsliste leer
Ef danach auch leer
Adminforce doppelt gesichert stellenweise 14 stellige pass, daten zum EF zugang AUCH schon lange rausgenommen.
2.62.52.38 27.12.2014 19:45
IP Address 2.62.52.38
Country Code RU
Country RUS
Country Russian Federation
Allocated Oct-08-2010
Registry ripencc
Net block 2.60.0.0 - 2.63.255.255
HEXADECIMAL 23C0000 - 23FFFFF
OCTAL 217000000 - 217777777
Numeric 37,486,592 - 37,748,735
Hosts in block 262,144
Wo sollte ich in sachen sicherheit noch was machen den EF LEER LASSEN bedeutet die User schimpfen. Das problem jetzt es ist schon das zweite mal. Und bei klamm kommt nix zurück außer lose seien in Ebesucher umgewandelt und weiterverkauft da geht nix zu machen. Die zweite Meldung bei Klamm steht noch aus.
EF Tresor scheint sicher aber das Konto ist angreifbar nur wie erkenne ich nicht mal aus den Logs.
Re: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Hast du den Ip Schutz von Klamm.de ? also das man nur von deiner Server Ip aus auszahlen kann ? Hast du mal deine Addons geprüft das auch alle Angaben die von einem User gemacht werden können, escapet werden ? im schlimmsten Fall würd ich echt den Server komplett neu aufsetzen und komplett alle Passwörter ändern