Re: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Ip Schutz habe ich gerade bei klamm gesehn werde mich drann ausprobiren. Passwörter hab ich alle geändert. So wie es aussieht kann derjenige direkt mit der datenbank da der account ein fake ist oder ne vorgabe. Laut Logs sind buchungen von meiner domain nicht drinn. Meine Seite schreibt jeden seine Logs sortiert mit.
Server und DB sind hoffendlich gut gesichert passwörter wieder neu server selber immer uptodate.
Komisch hier kommt es mir so vor als ob man ne finte legt und derjenige direkt bei klamm möglichkeiten sieht obwohl da auch gute und lange passwörter zur sicherung da sind.
Trotzalledem werde ich erstmal ip schutz erstellen wobei ich nicht glaube das es geht der user kennt das schon deshalb den fakeaccount bei mir.
Re: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Zitat:
Zitat von
winni1
Ip Schutz habe ich gerade bei klamm gesehn
Und wo? Wie nennt sich die Datei?
Re: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Das ist keine Datei
du kannst im Ef konto deine Ip Adresse hinterlegen das jede Auszahlung nur von deiner Server Ip abgefragt wird sowie fügst du deiner Klamm.php Schnittstelle noch folgende Zeile hinzu
PHP-Code:
$trans_error[1096] = "Fehler - IP-Adresse nicht auf Whitelist!";
Re: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Ähnliches habe ich mir schon gedacht...aber was macht das für ein Sinn? Die Server-IP ändert sich doch nicht, wenn da jemand aus RU im Admin ist und die Auszahlung macht. Ich denke eher, es wird ein potenzielles Sicherheitsloch in der Session sein, fehlerhafte Prüfung auf Systemrechte (falls es sowas im Script überhaupt gibt) ist auch möglich.
Diesen "Patch" von Klamm halte ich für unwirksam, der greift nur dann, wenn jemand die Logindaten gestohlen hat und von einem fremden Server/Rechner aus die Überweisung machen will, aber nicht, wenn der Server der gleiche bleibt, der da eingetragen wurde.
Re: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Naja der Adminforce wurde aber jetzt mit htaccess richtig abgesichert und die zugangsdaten allgemein wurden ja geändert .. Ein Zugriff in den Adminforce sollte ja nicht mehr möglich sein. Zudem hieß es ja die Ef daten sind aus dem Adminforce entfernt .. Wenn jetzt noch Auszahlungen funktionieren dann eben von einem anderen Server ..
Re: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Ist damit nicht ein Sicherheitsloch nur umgangen? Also...wenn da jemand sensible Daten stehlen kann, scheint es doch ein Sicherheitsloch zu geben...wieso fixt man dieses nicht, anstatt ein komischen Patch zu bringen?
Re: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!
Tach
Ich würde bei sowas wenn man unsiucher ist nur manuelle Buchungen vornehmen bau dir eine Datei wo sich user eintragen können für eine az mit xxx summe und du zahlst sie der reine nach aus ist auf jedenfall ne lösung und sicherer als so