Mehrere WBB gehackt

  • Wir sind nicht betroffen. Aber in der WBB Welt hat es wohl getroffen und die Foren wurden gehackt. Das Muster sieht vor, das die Passwörter abgegriffen worden sind. Test hier zeigt keinen Eindringling. Also alles gut.


    Bitte auch an dieser Stelle, benutzt einzigartige Passwörter für das SEO NW Forum. Denke aber mal das alle so schlau sind das sowieso schon so gemacht zu haben.

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.

    Ich denke, also BING ich!


    Support 24h Bereitschaft 0163 2161604 - NUR Für Kunden von SEO NW!

  • Du musst in die Datenbank schauen, wenn dort in der User Tabelle ein Log Token drin ist, dann biste wohl gehackt worden.

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.

    Ich denke, also BING ich!


    Support 24h Bereitschaft 0163 2161604 - NUR Für Kunden von SEO NW!

  • Mein Passwort ist einzigartig, nämlich einzig und ich nutze es artig überall ;)


    Im Ernst, wenn die an die Datenbank kommen, dann können die doch ein den Log-Eintrag löschen, oder sehe ich das nun falsch?

    Don't judge a book by its cover @ Jadyn Rylee
    "Sogar ein Mann mit reinstem Gemüt, der Gebete sagt jede Nacht, kann zum Wolf werden, wenn die Wolfsblume blüht unter des Mondes goldener Pracht"

  • Nein der Angriff lief anders aus. Es wurde in der Tabelle wcf1_user eine neue Spalte angelegt. Diese lautet "logToken" und die gibt es bei dem Forum gar nicht. Desweiteren wurden Backdoors in Woltlab eingefügt. Mit dem neuen WBB Update wird diese Spalte in der Tabelle, sofern man betroffen sein sollte mit "compromised" überschrieben. Auf jeden Fall sollten dann ALLE Passwörter geändert werden.


    Das war auch wahrscheinlich das Problem. Es gibt im Internet, falls ihr das nicht wisst... Datenbanken zB von euerer Email, oder Loginname und Passwörter im Klartext. Ich selber habe einen Passwortmanager, könnte mir die ganzen Passwörter nicht merken, da diese auch Zufällig generiert werden.


    Kann ich nur empfehlen.


    Naja zum Thema zurück, die sind dann da wohl halt rein und haben Zeugs installiert, sind in die Datenbank eingebrochen und haben die Spalte angelegt um Passwörter zu extrahieren. Die Passwörter werden wie bei WBB üblich, verschlüsselt gespeichert. Hier natürlich auch. Über die neue Spalte konnte der Angreifer dann weitere Passwörter im Klartext abgreifen. Das ist dann halt das Problem an der Sache.


    So der Stand halt aktuell.

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.

    Ich denke, also BING ich!


    Support 24h Bereitschaft 0163 2161604 - NUR Für Kunden von SEO NW!

  • Hm, danke für die Info, aber klar komme ich damit technisch so gar nicht. Da ist also einer, der hat Lese- und Schreibrechte für die Datenbank. Die Passwörter sind verschlüsselt. Wie werden die denn bitte nun mit einer neuen "Spalte" entschlüsselt? Das würde ja nur gehen, wenn man die Verschlüsselung umgeht und das geht nur, wenn man sich einloggt und von denen direkt die Daten abgreift, die der Browser sendet. Dazu braucht man aber keinen DB-Zugriff, sondern Server-Zugriff.

    Don't judge a book by its cover @ Jadyn Rylee
    "Sogar ein Mann mit reinstem Gemüt, der Gebete sagt jede Nacht, kann zum Wolf werden, wenn die Wolfsblume blüht unter des Mondes goldener Pracht"

  • Das ist eigentlich ganz einfach. Wenn du dich hier einloggst, angenommen wir wären betroffen, wird über das kompromitierte PHP ( Backdoor ) in die Datenbankzeile geschrieben. Also hast du danach das Passwort in Klartext. In einer anderen Zeile steht natürlich das verschlüsselte, deines kenne ich ja :p das wäre für einen Cracker auch kein Problem so eine Verschlüsselte Zeile mit Brute Force auszulesen.


    Hier ist es aber einfacher. Also der Angriff. selbst wenn mein Passwort ^#PDLOA3$l$30Z*#MJ&9XSl#Yhu2018MmLdIpqHQN , was eben NICHT per Brutforce geknackt werden könnte, wird das in die Zeile dann geschrieben und der Hacker hat mein Passwort. Nutze ich das mit meinem Nick zB das gleiche auch irgendwoanders, ja dann biste richtig gearscht.


    Das Beispielpasswort .. also die sehen bei mir meistens so aus.

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.

    Ich denke, also BING ich!


    Support 24h Bereitschaft 0163 2161604 - NUR Für Kunden von SEO NW!

  • Das einzige was noch eine Sicherheitsstufe besser wäre, eine 2FA ( Zwei-Faktor-Authentisierung ). Damit könnte der gemeine Hacker dann auch mit dem richtigen Passwort nichts anfangen. Ehrlich gesagt bin ich dafür zu faul. Ich habe ja nicht nur eine Seite und manchmal ist das richtig Fliessbandarbeit. Hat man aber wenige Logins empfehle ich das ausdrücklich...

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.

    Ich denke, also BING ich!


    Support 24h Bereitschaft 0163 2161604 - NUR Für Kunden von SEO NW!

  • Danke Alex, nun ist es klar. Also kein wirklicher Datenbankangriff mit einer extra Spalte, sondern eher Serverangriff. Denn ohne modifizierte PHP-Dateien kommen die nicht an das echte Passwort.


    Ist also so, wie oben geschrieben von mir. Da muss man an die Quelle ran und die ist nicht die Datenbank, sondern die Dateien. Der Browser sendet unverschlüsselt. PHP verschlüsselt dann und gleicht dann mit dem verschlüsselten Kennwort der DB ab. Gut, dazwischen kann man eingreifen und eben das vom Browser gesendete Kennwort direkt abfangen, bevor es verschlüsselt wird. Also doof gesagt, bevor PHP verschlüsselt, das Kennwort einfach in eine neue Spalte in Klartext schreiben.


    Geht dann aber auch nur für die, die sich neu einloggen. Die, die es schon sind, die senden kein Kennwort.


    2FA habe ich in keinem System von mir, die Kunden würden es auch nicht wollen. Ich selbst hasse es auch schon. Wenn mir ein System die Wahl lässt, mit oder ohne, dann nehme ich ohne. Ich hasse es, wenn man erst mal das Handy holen muss oder sonst was, nur weil man sich einloggen will.

    Don't judge a book by its cover @ Jadyn Rylee
    "Sogar ein Mann mit reinstem Gemüt, der Gebete sagt jede Nacht, kann zum Wolf werden, wenn die Wolfsblume blüht unter des Mondes goldener Pracht"

  • Richtig Syno. Ich müsste aber mal schauen. So ein einfacher Stick wäre ja für die 2FA super, der das automatisch bestätigt. Wenn mal ein Joomla Update ist, mache ich das auch sehr Zeitnah und dann habe ich mehr als 100 Tabs offen. 2FA gibt es für Joomla, leider aber nicht für WBB, und wenn als Plugin.


    Dann sollte man dem User auch die Wahl lassen ob nun mit oder ohne 2FA. Hier für den Admin Bereich würde ich mir das wünschen. Könnte auch für Margin eine Email einrichten die an uns beide geht. Wenn es denn soweit sein sollte, ja dafür würde ich das machen. Aber nur für Admin Bereich.


    Die kompromitierten waren Admins... nur so kommt man ins Backend und kann auch SoftwareQuellen angeben, modifizieren usw. Damit kann dann der Angriff relativ einfach durchgeführt werden.


    Nebenbei.... Also hier wird es keine Plugins geben. Ich merke das gejammere wenn es eine neue Version von WBB gibt das dann irgend eines von 50 Plugins nicht mehr funktioniert. auch ist jedes Plugin, Modul oder Komponente für sich gesehen auch eine Gefahr für die Sicherheit. Deswegen einfach nur Core und gut ist.


    Optional war hier nur der Blog. und der kommt von WBB direkt.

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.

    Ich denke, also BING ich!


    Support 24h Bereitschaft 0163 2161604 - NUR Für Kunden von SEO NW!

  • Naja, über die FIDO ließt man auch nicht unbedingt nur Gutes..... Auf so einen würde ich mich aber sogar noch einlassen.

    Don't judge a book by its cover @ Jadyn Rylee
    "Sogar ein Mann mit reinstem Gemüt, der Gebete sagt jede Nacht, kann zum Wolf werden, wenn die Wolfsblume blüht unter des Mondes goldener Pracht"