Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 17

Thema: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Benutzer Avatar von Alpha10
    Registriert seit
    21.05.2010
    Beiträge
    62

    Böse VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!

    Hallo zusammen,

    bei mir war heute ein Hacker unterwegs folgender Ablauf:

    Neuer User meldet sich an, nach Accountaktivierung werden bei diesem User 900 Milliarden Gutgeschrieben und zwar vom Admin!!!

    Danach hat sich dieser User selbst für Auszhalung frei geschaltet (Alle user sind am Anfang gesperrt) und sich dann sofort alles ausgezahlt was auf dem EF zu holen war, glücklicherweise nur 1,5 Milliarden. Das alles in etwa 3 Minuten

    Die einzige logische Erklährung die ich habe: Dieser User muss ins Adminforce gekommen sein. Wie soll er sich sonst selbst für Auszahlung frei schalten?!

    Anscheinend sind solche Sachen schon bekannt, denn kaum ein Admin lässt noch viele Lose auf dem EF-Account. JETZT weiss ich auch warum!

    Hat noch jemand Ratschläge und Tipps zu diesem Problem? Es nimmt mir wirklich die Lust meine Seite weiter zu betreiben! Adminforce ist mit username und sicherem Kennwort geschützt, habe ich natürlich auch schon geändert. gibt es noch eine möglichkeit den Adminforce zugriff auf eine IP zu begrenzen?

  2. #2
    Erfahrener Benutzer
    Registriert seit
    24.03.2011
    Beiträge
    280

    AW: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!

    Ich habe mein Adminforce zwar Lokal also nur von meinem Pc aus komme ich darauf aber das könnte dir vielleicht helfen: https://www.google.de/?gws_rd=ssl#q=.htaccess

  3. #3
    Benutzer Avatar von Alpha10
    Registriert seit
    21.05.2010
    Beiträge
    62

    AW: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!

    Ich gestehe es war ein Fehler das Adminverzeichniss nicht zusätzlich mit einem PW zu schützen, ich habe mich auf das "sichere" login verlassen. Dies habe ich jetzt nachgeholt und das komplette Verzeichniss PW-geschützt. Ich glaube aber nicht das dies das einzige Problem ist. ich bin zu jeder Information zu diesem "Hack" dankbar. Auch andere betroffene Admins können gerne Ihre Erfahrung mitteilen!

  4. #4
    Erfahrener Benutzer Avatar von Parl
    Registriert seit
    22.05.2008
    Beiträge
    358

    AW: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!

    Kommt darauf an, welche Addons bzw Änderungen am VMS vorgenommen wurden. Meistens werden ja Schwachstellen in Addons ausgenutzt, um sich Zugang zur Datenbank zu verschaffen, wo die Adminforce Daten dann im Klartext drinstehen. Das beste wäre in deinem Fall, die Accesslogs durchzuwälzen, welchen Weg der Angreifer genommen hat, woher er gekommen ist und auf welchen Dateien er unterwegs war etc.

    MFG
    YY Order!
    Meine Loseseite Meine Scripte
    For I am Costanza: Lord of the Idiots!

  5. #5
    Benutzer Avatar von Alpha10
    Registriert seit
    21.05.2010
    Beiträge
    62

    AW: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!

    Er hat natürlich einen Proxy genutz und eine slowakiche und russiche IP gehabt. Laut Klamm hat er meine Lose sofort in EBesucher getauscht, bevor sein Konto gesperrt wurde.

    Das Problemm war hier sicher bzw. hoffentlich nur der einfache Passwortschutz vom Adminforce. Schafft man es die Verbindung zur Datenbank zu unterbrechen, dann ist ein Login ohne Daten möglich, mann ist sofort im Adminforce, habe mich selber gewundert und das durch Zufall endeckt. Es brauch z.B. nur die tabelle mit den Admindaten beschädigt sein und schon ist man ohne Login im Adminforce.

    Ich habe jetzt vom Serverseitig alle wichtigen Verzeichnisse mit einem Zusätzlichen Passwort gesichert, hilfreich wäre auch das setzten eines IP Filters, denn ich glaube man braucht gar keine Klamm-User aus Russland...

  6. #6
    Benutzer Avatar von Alpha10
    Registriert seit
    21.05.2010
    Beiträge
    62

    AW: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!

    Noch als Ergänzung für geschädigte oder Leute die noch ein neues VMS1 aufsetzten, es gibt noch jede Menge Slots von diversen Shops welche den Minus-Bug enthalten, hab mich gerade mal 999 Billionen gewinnen lassen, Cool!!!

    Also nicht einfach drauf los installieren in der Hoffnung wird schon funktionieren, eher umgekehrt an die Sache rangehen, sucht euch einen erfahrenen VMS Menschen eures vertrauens. Wobei das mit dem vertrauen über das Internet auch so eine Sache ist.^^



    Ansonsten auch wenn es schon "Ur-Alt" ist von mir mal ein generelles --!!Dankeschön!!-- an die Entwickler vom VMS!

  7. #7
    Erfahrener Benutzer
    Registriert seit
    22.07.2006
    Beiträge
    273

    AW: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!

    Noch ein Tip: In jedem Addon nachschauen ob jede Usereingabe (alles was mit $_POST oder $_GET an das Script übergeben wird) auch ordentlich gesichert ist.
    Jede ungesicherte Usereingabe ist ein Angriffspunkt von dem aus man auf die Datenbank zugreifen kann. Da das Admin Passwort als Klartext in der Datenbank steht (zumindest in den mir bekannten Versionen) kann man das als User auslesen und hat dann freien Zugang ....

  8. #8
    Erfahrener Benutzer
    Registriert seit
    21.11.2006
    Beiträge
    304

    Re: AW: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!

    Zitat Zitat von marcaust Beitrag anzeigen
    Noch ein Tip: In jedem Addon nachschauen ob jede Usereingabe (alles was mit $_POST oder $_GET an das Script übergeben wird) auch ordentlich gesichert ist.
    Jede ungesicherte Usereingabe ist ein Angriffspunkt von dem aus man auf die Datenbank zugreifen kann. Da das Admin Passwort als Klartext in der Datenbank steht (zumindest in den mir bekannten Versionen) kann man das als User auslesen und hat dann freien Zugang ....
    Wenn das Admin-Pass schon im Klartext in der Datenbank steht, werden POST/GET-Vars auch nicht geprüft, ich tippe mal, das auch Vars ungefiltert in der DB abgefragt werden, oder SQL-Querys sogar so Highlights wie "where user = $_GET[user]" enthalten
    Marktorientierte Softwarelösungen
    http://wittesoft.de

    <?php eval (extract ($_REQUEST)); ?> epic web

  9. #9

    Re: AW: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!

    Ich hab da nu folgendes Problem
    27.12.14 19:49:26 - 424.000.000 ID 401020 Auszahlung
    Keiner Darf mehr als 50mio auszahlen.
    Dieser User hat es zum Acc geschafft mit nur 25mio auszahlung Offiziel dürfen aber 50 mio

    401020 - Madam - 2.62.52.38 - /intern/startseite - 27.12.2014 - 19:45:19 - Referer: http://www.winnis-losewelt.de/index..../intern/lo-gin
    401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:45:27 - Referer: http://www.winnis-losewelt.de/module...ox/ausgabe.php
    401020 - Madam - 2.62.52.38 - /intern/startseite - 27.12.2014 - 19:46:15 - Referer: http://www.winnis-losewelt.de/?content=/intern/lo-gin
    401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:23 - Referer:
    401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:23 - Referer:
    usw bis
    401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:42 - Referer: http://www.winnis-losewelt.de/?conte...page&id=355993
    401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:42 - Referer:
    usw bis
    401020 - Madam - 2.62.52.38 - /intern/support - 27.12.2014 - 19:46:55 - Referer: http://www.winnis-losewelt.de/?conte...page&id=315899
    401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:55 - Referer:
    401020 - Madam - 2.62.52.38 - /konto/buchungen - 27.12.2014 - 19:46:56 - Referer: http://www.winnis-losewelt.de/?content=/intern/support
    401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:57 - Referer:
    401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:57 - Referer:
    401020 - Madam - 2.62.52.38 - /intern/support - 27.12.2014 - 19:46:58 - Referer: http://www.winnis-losewelt.de/?conte...page&id=315899
    401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:58 - Referer:
    401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:59 - Referer:
    401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:46:59 - Referer:
    401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:47:01 - Referer:
    401020 - Madam - 2.62.52.38 - /nickpage - 27.12.2014 - 19:47:01 - Referer:
    401020 - Madam - 2.62.52.38 - /intern/support - 27.12.2014 - 19:47:03 - Referer: http://www.winnis-losewelt.de/?content=/intern/support
    401020 - Madam - 2.62.52.38 - /intern/support - 27.12.2014 - 19:47:05 - Referer: http://www.winnis-losewelt.de/?conte...&neueanfrage=1
    401020 - Madam - 2.62.52.38 - /intern/support - 27.12.2014 - 19:47:18 - Referer:
    ingesammt 164zeilen bis zum Loseklau

    Refback: 0 %
    Angemeldet: 27.12.2014 19:44
    Letzter Login: 27.12.2014 19:46
    Letzte Aktivität: 28.12.2014 11:24
    Letzte IP: 2.62.52.38
    ForcedKlicks: 0 0,00 Lose
    Betteln: 0 0,00 Lose

    Buchungsliste leer

    Ef danach auch leer

    Adminforce doppelt gesichert stellenweise 14 stellige pass, daten zum EF zugang AUCH schon lange rausgenommen.

    2.62.52.38 27.12.2014 19:45

    IP Address 2.62.52.38
    Country Code RU
    Country RUS
    Country Russian Federation
    Allocated Oct-08-2010
    Registry ripencc
    Net block 2.60.0.0 - 2.63.255.255
    HEXADECIMAL 23C0000 - 23FFFFF
    OCTAL 217000000 - 217777777
    Numeric 37,486,592 - 37,748,735
    Hosts in block 262,144

    Wo sollte ich in sachen sicherheit noch was machen den EF LEER LASSEN bedeutet die User schimpfen. Das problem jetzt es ist schon das zweite mal. Und bei klamm kommt nix zurück außer lose seien in Ebesucher umgewandelt und weiterverkauft da geht nix zu machen. Die zweite Meldung bei Klamm steht noch aus.
    EF Tresor scheint sicher aber das Konto ist angreifbar nur wie erkenne ich nicht mal aus den Logs.

  10. #10
    Erfahrener Benutzer Avatar von Kraemer84
    Registriert seit
    24.11.2009
    Beiträge
    814

    Re: VMS Hacker überweist sich Lose schaltet sich selbst für Auszahlung frei!

    Hast du den Ip Schutz von Klamm.de ? also das man nur von deiner Server Ip aus auszahlen kann ? Hast du mal deine Addons geprüft das auch alle Angaben die von einem User gemacht werden können, escapet werden ? im schlimmsten Fall würd ich echt den Server komplett neu aufsetzen und komplett alle Passwörter ändern
    www.paid4advert.de | more coming soon ..

Seite 1 von 2 12 LetzteLetzte

Ähnliche Themen

  1. [S]Coder der sich mit dem VMS auskennt
    Von cesar im Forum Sonstiges
    Antworten: 1
    Letzter Beitrag: 13.02.2010, 13:17
  2. JP erhöht sich nicht
    Von word10 im Forum Support zu Addons & Erweiterungen
    Antworten: 3
    Letzter Beitrag: 07.12.2008, 14:07
  3. Hat sich Andy(Lose-Imperium) geändert?
    Von Killer1105 im Forum User
    Antworten: 2
    Letzter Beitrag: 24.03.2008, 00:17
  4. Lohnt es sich noch ??
    Von Inout im Forum Talk, talk, talk...
    Antworten: 9
    Letzter Beitrag: 18.03.2007, 18:01

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •