FAKE: Sicherheitssystem vom Scriptkaufhaus....
Hi
Das eben per Newsletter vom Scriptkaufhaus angebotene angebliche Sicherheitssystem für das VMS ist in wirklichkeit ein Angriff auf die Zugangsdaten (Datenbank, Adminforce, Serverdaten, htaccess, etc.).
Diese werden ausgelesen, per Mail verschickt und so getan als würde man Dateien verändern (was tatsächlich aber nicht geschieht).
Also Vorsicht vor diesem Update: http://scriptkaufhaus.de/?site=details&id=1529
Wenn man die nach dem Kauf zugeschickte security.php im Editor öffnet fallen einem als erstes die vielen Base64 verschlüsselten Elemente auf.
In dem Augenblick sollten Grundsätzlich immer die Alarmglocken klingeln.
Aus genau dem Grund sollte man immer schauen das man keine Verschlüsselten Scripte installiert (Sorry an die Ehrlichen die nur ihren Code schützen wollen aber es geht nicht anders wie man sieht).
Grüße
Marc
Sicherheitslücke VMS1 ( Achtung )
Hab ich grad im Klammforum gelesen
Zitat:
Zitat von
saitho
Heyho,
ich muss euch vor einem vermeintlichen Sicherheitssystem fürs VMS1 warnen...
Vor etwa 40 Minuten erreichte mich folgender Newsletter aus dem Scriptkaufhaus:
Zitat:
Hallo,
aufgrund vermehrter Hackangriffe auf VMS1-Systeme haben wir ein Sicherheitssystem zum günstigen Preis programmiert. Dieses findet ihr hier:
http://scriptkaufhaus.de/?site=details&id=xxxx
Es ist nur auf SKH zu finden da exklusiv.
Euer
SCB-Media
Ich habe mir das Script gekauft und angesehen. Hierbei werden die Daten aus dem Adminpanel an eine Mailadresse geschickt, die sicherlich R. gehört (alair und so)
Übermittelt werden sowohl die MySQL-Logindaten als auch der Adminzugang.
http://www.klamm.de/forum/7121369-post1120.html
AW: Sicherheitslücke VMS1 ( Achtung )
Hm. da werd ich in meinen vmsr-installer wohl doch einen datei-viewer einbauen müssen. Derzeit sind sämtliche Dateien darin base64 verschlüsselt im installer untergebracht.
Aber ist schon krass. Warum ist es ausm Shop noch nich entfernt? Es ist ein eindeutiger Hack-Versuch. Und das noch ganz öffentlich. o.o
AW: FAKE: Sicherheitssystem vom Scriptkaufhaus....
na traurig das solche shops noch hackbar sind und es webbys gibt die sowas einfach kaufen ohne zu fragen für was das gut sein soll
ich habs mir extra nicht gekauft das ich nicht glaube das es was gutes ist weil ja nicht viel im text steht also finger weg von dem mist :knueppel:
AW: FAKE: Sicherheitssystem vom Scriptkaufhaus....
Zitat:
Zitat von
NeoGriever
Hm. da werd ich in meinen vmsr-installer wohl doch einen datei-viewer einbauen müssen. Derzeit sind sämtliche Dateien darin base64 verschlüsselt im installer untergebracht.
Aber ist schon krass. Warum ist es ausm Shop noch nich entfernt? Es ist ein eindeutiger Hack-Versuch. Und das noch ganz öffentlich. o.o
Ich denke mal der Shop Betreiber ist in Urlaub und weiß noch nichts von seinem "Glück"...
Ist es wirklich eine gute Idee deinen vmsr-installer zu verschlüsseln? Gerade wo "Angriffe" dieser Art schon zum Standard gehören (auch bei großen Blog, Foren, CMS, etc. wird das mit der selben Methode versucht). Diese Angriffe schaffen ein extremes Misstrauen allen Scripten gegenüber die nur Ansatzweise verschlüsselt sind. Nichts gegen dich aber du must für dich entscheiden was wichtiger ist. Der Verschlüsselte Code oder doch eher das Vertrauen der User....
Zitat:
Zitat von
DJschatz27
na traurig das solche shops noch hackbar sind und es webbys gibt die sowas einfach kaufen ohne zu fragen für was das gut sein soll
ich habs mir extra nicht gekauft das ich nicht glaube das es was gutes ist weil ja nicht viel im text steht also finger weg von dem mist :knueppel:
Naja, ich hab das auch ohne zu fragen gekauft, allerdings mit dem Hintergedanken mir anzuschauen was sich dahinter verbirgt ;-))
Wie schon oben geschrieben. auch wenn mir die Ehrlichen Progger da leid tun: FINGER WEG SOBALD WAS IM QUELLTEXT VERSCHKÜSSELT IST
in 80% der mir bekannten Fälle war da leider nichts gutes drin.
AW: FAKE: Sicherheitssystem vom Scriptkaufhaus....
Ich verschlüssel die Daten ja nicht aus Schutz vor Hackern, sondern der Einfachheit halber, da man in Base64 "verpackte" größere, binäre Dateien ganz einfach in eine Variable als String stecken kann. Dadurch gibt es das VMSR ja als 1-Datei-Installationspaket.
Den Datei-Viewer werde ich wohl separat dazubauen, sodass der "Kunde" mit diesem das Installationspaket "durchleuchten" kann. Beliebige Einträge aufzeigen/base64 entschlüsseln, durchgänge auflisten usw. Dürfte nicht so schwer sein.
Interessant, dass der Preis jetzt auf 15.000.000 Lose angehoben wurde. o.o
AW: FAKE: Sicherheitssystem vom Scriptkaufhaus....
nach einer mail von mir was dieses script den genau macht bekamm ich volgende antwort
Zitat:
Es ist nur auf SKH zu finden da exklusiv. Natürlich schützt es auch gegen SQL Injections, es werden alle Dateien darauf überprüft durch einen automatischen Algorithmus. Erste Lizenz für 1 Mio. Lose, danach je verkaufter Lizenz 1 Mio. mehr bis 30 Mio. Lose.
also scheinen ja schon ein paar drauf reingefallen zu sein und die tage ist das geheule wieder gross wie unsicher das vms doch ist
AW: FAKE: Sicherheitssystem vom Scriptkaufhaus....
Zitat:
Zitat von
NeoGriever
Ich verschlüssel die Daten ja nicht aus Schutz vor Hackern, sondern der Einfachheit halber, da man in Base64 "verpackte" größere, binäre Dateien ganz einfach in eine Variable als String stecken kann. Dadurch gibt es das VMSR ja als 1-Datei-Installationspaket.
Den Datei-Viewer werde ich wohl separat dazubauen, sodass der "Kunde" mit diesem das Installationspaket "durchleuchten" kann. Beliebige Einträge aufzeigen/base64 entschlüsseln, durchgänge auflisten usw.
"Der Einfachheit halber" ist falsch ausgedrückt. "Weil ich nix besseres bei anderen Scripten zum abschreiben gefunden habe" hätte besser gepaßt. Genau so macht es z.B. das FWX schon seit Anbeginn. Was aber nicht heißt, das das auch gut ist, denn Installpakete kann man auch einfacher haben. In diesem Fall ist es sowieso uninteressant, da es der jeweilige Nutzer per FTP hochladen muß. Ob er nun einen Ordner, eine ZIP, oder deinen "Installer" hochlädt, ist wohl kein grosser Unterschied. Das macht vielleicht Sinn für einen Hoster, der bestimmte Softwarepakete mit anbietet (One-Click).
Zum Allgemeinen: BASE64 ist eigentlich keine wirkliche Verschlüsselung, sondern eher als Werkzeug zu verstehen. Man bekommt damit alle Art von Daten in einen gefahrlosen String. Zum Beispiel bei der Übergabe von Parametern in URLs, von Dritten eingegebene Texte, hochgeladene Dateien, oder vielleicht auch einfach mal ein kleines Bild in eine Datenbank oder eine Datei zu speichern. Und ja, man kann auch "verpackte" größere, binäre Dateien ganz einfach in eine Variable als String stecken. Jeder kann das mit der zugehörigen PHP-Funktion oder auf diversen Online-Generatoren entschlüsseln. Niemand, der halbwegs bei Verstand ist, würde das benutzen um seinen Quellcode zu schützen. Wenn also jemand base64 benutzt, um längeren Code zu verschleiern, sollte man das wirklich nicht einfach ohne weitere Prüfung auf den Webspace packen.
Kleines P.S. an Neogriever: Ich find es ganz prinzipiell eine gute Sache, wenn sich jemand etwas selbst beibringt und dann sein Wissen zur Verfügung stellt. Viele PHP-Bastler haben mal so angefangen. Was dir aber eindeutig fehlt, ist etwas Demut. Deine Postings (und du läßt ja keinen Thread und kein Thema aus, um wenigstens einmal DEIN VMSR zu erwähnen) triefen vor Arroganz und Unwissen. Viel lernen du noch mußt....
AW: FAKE: Sicherheitssystem vom Scriptkaufhaus....
Zitat:
"Der Einfachheit halber" ist falsch ausgedrückt. "Weil ich nix besseres bei anderen Scripten zum abschreiben gefunden habe"
Das ist eine Unterstellung. Ich habe den Installer aus eigener Hand umgesetzt. WIE ich die Dateien in der php-datei ablege, ist ja dann wohl meine Sache. Und base64 ist NICHT abgekupfert, sondern meine 1te Wahl gewesen.
Oder kennst du eine effektivere Variante, Binär- und Ascii-Dateien unabhängig voneinander in einem Format in einer PHP-Variable abzulegen, ohne externe weitere Dateien anzulegen?
Zitat:
Kleines P.S. an Neogriever: Ich find es ganz prinzipiell eine gute Sache, wenn sich jemand etwas selbst beibringt und dann sein Wissen zur Verfügung stellt. Viele PHP-Bastler haben mal so angefangen. Was dir aber eindeutig fehlt, ist etwas Demut. Deine Postings (und du läßt ja keinen Thread und kein Thema aus, um wenigstens einmal DEIN VMSR zu erwähnen) triefen vor Arroganz und Unwissen. Viel lernen du noch mußt....
Ich habe ordentlich Respekt vor den Arbeiten anderer hier. Das VMS hätte ich nie auf die Beine stellen können. Daher habe ich ja auch auf BASIS vom VMS das VMSR umgesetzt. Viele Scripts und Addons, welche im Umlauf sind, sind für mich schlichtweg zu komplex und zu hoch. Aber das, was ich am VMSR umgesetzt hab, ist alles, was ich wirklich sehr gut kann. Ja. Ich bin manchmal etwas hochnäsig. Aber darüber kann man ja hinwegsehen. In der Geschichte zeigt sich teilweise, dass die größten Genie's richtige Ars**löch*r waren. XD
AW: FAKE: Sicherheitssystem vom Scriptkaufhaus....
Zitat:
Zitat von
NeoGriever
Oder kennst du eine effektivere Variante, Binär- und Ascii-Dateien unabhängig voneinander in einem Format in einer PHP-Variable abzulegen, ohne externe weitere Dateien anzulegen?
Ne ZIP-Datei? Ist zwar keine PHP-Variable, kann man aber wunderbar mit PHP auslesen/bearbeiten etc. Dateinamen und Pfade bleiben erhalten. Dank Prüfsumme kann der Benutzer immer sicher sein das er die aktuellste Version direkt vom Ersteller bekommt. Desweiteren könnte man die ZIP nach der Installation auf dem Webspace belassen um "kaputtgebastelte" Dateien in den Urzustand zurückzusetzen. Nimmt weniger Platz weg als die base64-Version. Aber wenn du unbedingt base64 verwenden möchtest, codier doch die ZIP-Datei damit?^^
Die grundsätzliche Frage aber hast du übersehen: Wozu?
Um es dem User möglichst einfach zu machen?
Sehr löblich. Und wenn dein Skript (egal ob base64, ZIP oder sonstwas) dann nicht über die erforderlichen Rechte zum Schreiben/Erstellen von Verzeichnissen/Dateien verfügt, wird es für den Nutzer erst so richtig einfach.