Hallo zusammen,

ich bekam grad eine eMail mit dem Titel : "Neues Tool für´s Forum".
Abgesendet von : Mir !?!?

Offensichtlich hat sich da ein "Spaßvogel" meines Mailabsenders bedient und zum Herunterladen eines Virus/Trojaners/sonstigem Quatsch Mails an Forumsmitglieder versendet.

Bitte ladet euch das nicht! runter - ich werde hier gleich mal der Sache nachgehen.

Gruß, JN

Die habe ich auch bekommen - sah aber direkt mal nicht original aus, vor allem nicht mit dem Link auf Rapidshare und ohne Beschreibung des "Tools". Der Schreibstil war auch eher der eines 10jährigen. Also wer auch immer da versucht, die Leute zu verarschen, der muss noch kräftig üben ;-)

LG, Björn

So, Mail an alle registrierten Mitglieder des Forums ist raus.
Rapidshare ist ebenfalls informiert.

Ich will dann gleich mal schauen, ob meine Server kompromittiert wurden.

JN

So, der "Schuldige" ist gefunden.

Das alte WBB2-Forum ist gehackt worden - dort wurde über die eMail-Funktion im Admin das betreffende eMail versendet.

Ich habe das alte Forum sofort deaktiviert und alle Dateien auf einen anderen Server gepackt. Auch die Datenbank habe ich "umgezogen".
Sämtliche Daten zu meinen eMail-Accounts und Passwörtern, die in der Forumssoftware gespeichert sind, habe ich aktuell neu gesetzt, so daß die alten Daten dort nicht mehr gültig sind.

Ich kann mich im Moment nur entschuldigen, daß das passiert ist.
Die betreffende IP des Angreifers habe ich gespeichert. Gleich morgen werde ich Anzeige erstatten.

Angesichts dieses Angriffes, werde ich noch heute dieses Forum hier auf einen aktuellen Softwarestand bringen. Ich sag euch, wenn es losgeht.

JN

Das ging ja schnell.
Allerdings ist deine Warnmail an alle User zumindest bei mir noch nicht angekommen. Nicht das da auch noch ein Wurm drin steckt ?

Dennis

Das ging ja schnell.
Allerdings ist deine Warnmail an alle User zumindest bei mir noch nicht angekommen. Nicht das da auch noch ein Wurm drin steckt ?

Dennis


Hab die fake mail zwar bekommen aber keine warnmail.

Bei mir ist bis jetzt auch noch keine Warnmail angekommen.

Gruß
Gunnar

Update: Warnmail ist angekommen

bei mir auch nicht :confused:
Gruß Maximilian

Schaut´s bitte nochmal in eure Briefkästen ...

JN

Warum nur hat mir mein Gefühl gesagt " lad da mal besser nicht runter " :D

Aber deine Warnmail ist jetzt da :hi5:

super ich hab sie auch :hi5:
Gruß Maximilian

Jan-N , dank fur deine service.
Gruss aus Belgien.

Jef.

Ich fasse nochmal kurz zusammen :

1.) Das alte WBB-Board ist jetzt komplett gesichert - die Datenbank unbenannt und verschoben - die Boarddateien gehen gerade auf einen anderen Server.
Ich werde das alte Board hiermit endgültig "begraben" - die Links aus dem CMS und dem aktuellen Forum verschwinden in Kürze.
Mir ist die Sache viel viel zu heiss (das war bereits der zweite Angriff auf das alte Forum !)

2.) Sämtliche Passwörter für eMail-Konten, Datenbanken und Admin-User wurden neu gesetzt.

3.) Aus den aus dem Hack gewonnenen Daten lassen sich keine Rückschlüsse auf die Zugänge für das neue Forum usw. schliessen.

4.) Das aktuellste Update für dieses Forum hier, lädt gerade runter.
Ich werde dieses Update noch heute hochladen.

5.) Die Daten des Angreifers sind geloggt, ausgedruckt und gehen morgen mit weiteren Beweisen in Richtung Staatsanwaltschaft.

6.) Ich entschuldige mich bei allen, die wegen dem Mist Unanehmlichkeiten hatten !

Sobald das Update des aktuellen Forums losgeht, gebe ich euch bescheid. Ich hoffe daß ich das Update in etwa 90-120 Minuten dann durch habe.

Danke !
JN

ich hab die mail auch bekommen, aber wer das runterlädt und keinen Virenscanner hat naja :rolleyes:

die Scheiße ist, dass deine unsere email Adressen jetzt vermutlich in irgendeiner russischen Spam email Adresse Datenbank sind, weiterverkauft wird etc. aber naja...

Also Anzeige ist schon gerechtfertigt!

Also Forensoftware updaten ist immer gut, dass die alte Datenbank, sprich das alte Forum noch online war, ist ein netter Service gewesen, aber Sicherheitsbedenklich natürlich schlecht. Also schon die richtige Entscheidung. Zumindest habe ich Verständnis dafür, wenn sie nicht mehr online geht!

Danke für die mühe die du dir gemacht hast.
Ich habe diese email nicht bekommen.
Aber dafür deine Erklärung per email.
:thx::thx::thx:.

MFG:Marvin

Mein Verständnis: Vermutlich betrifft das nur User, die auch im alten Forum schon angemeldet waren und ihre e-mail Adresse dort hinterlegt haben.

Hallo Matthias,

ich denke nicht daß eure eMailAdressen jetzt irgendwo in einer fremden DB liegen.
Der Angriff ist so dermassen stümperhaft gemacht worden (eine Menge Spuren wurden hinterlassen) daß ich sicher bin, daß hier irgendsoein ScriptKiddie nur einen Hack aus dem Internet "ausprobieren" wollte.

Ich habe alle Aktionen des Betreffenden nachvollziehen können - er hat sich lediglich (den Hack habe ich jetzt auch im iNet gefunden) Adminrechte verschafft und ist in die eMailFunktion gelatscht und hat das Ding an alle registrierten User versendet. Das waren nur einige Clicks.
Kein direkter Zugriff per MySQL auf die DB, kein garnix - sämtliche logs sind leer.

Bereits zwei Minuten nach Erhalt des eMails (ich hab das ja auch bekommen) war die DB deaktiviert, mit neuem Passwort versehen usw. Der hätte keine Zeit gehabt für nen Dump - die DB ist gedumpt knapp 80MB groß. Das hat bei MIR ja schon fast 10 Minuten gedauert.

JN

Hallo Nachbarn, hallo Jan,

das hast Du richtig gemacht.
Aufgeschreckt durch Deine offizielle Rundmail habe ich mein altes Forum auch komplett entfernt. Der Schutz der Userdaten ist halt wichtiger als alte Datenbestände.

Ich wünsche Dir so wenig wie möglich Stess beim Umstellen der vB-Version (mir steht das leider auch bevor)!

@All
Ich möchte aus gegebenem Anlass auch allen Usern mitteilen, dass es keine schlechte Idee ist, Passworte im Internet so sicher wie möglich zu machen.
Mein Paypal Account wurde letzte Woche gehackt und 3 Transfers in Höhe von zusammen 1300 USD eingeleitet. Nächsten Tag früh war die Kohle schon vom Konto runter.
Nur durch sehr viel Stress und Nachweise hab ich die Beträge nun (fast) wieder.

LG,
Bruno

Hallo Matthias,

ich denke nicht daß eure eMailAdressen jetzt irgendwo in einer fremden DB liegen.
Der Angriff ist so dermassen stümperhaft gemacht worden (eine Menge Spuren wurden hinterlassen) daß ich sicher bin, daß hier irgendsoein ScriptKiddie nur einen Hack aus dem Internet "ausprobieren" wollte.

Ich habe alle Aktionen des Betreffenden nachvollziehen können - er hat sich lediglich (den Hack habe ich jetzt auch im iNet gefunden) Adminrechte verschafft und ist in die eMailFunktion gelatscht und hat das Ding an alle registrierten User versendet. Das waren nur einige Clicks.
Kein direkter Zugriff per MySQL auf die DB, kein garnix - sämtliche logs sind leer.

Bereits zwei Minuten nach Erhalt des eMails (ich hab das ja auch bekommen) war die DB deaktiviert, mit neuem Passwort versehen usw. Der hätte keine Zeit gehabt für nen Dump - die DB ist gedumpt knapp 80MB groß. Das hat bei MIR ja schon fast 10 Minuten gedauert.

JN
ach so ;) gut das du online warst

dann ist halb so wild :)

Hallo Jan

Auch ich war Empfänger.
Danke für die Deine rasche Reaktion

Gruß
Wolfgang

Hallo Nachbarn, hallo Jan,

das hast Du richtig gemacht.
Aufgeschreckt durch Deine offizielle Rundmail habe ich mein altes Forum auch komplett entfernt. Der Schutz der Userdaten ist halt wichtiger als alte Datenbestände.

Ich wünsche Dir so wenig wie möglich Stess beim Umstellen der vB-Version (mir steht das leider auch bevor)!

@All
Ich möchte aus gegebenem Anlass auch allen Usern mitteilen, dass es keine schlechte Idee ist, Passworte im Internet so sicher wie möglich zu machen.
Mein Paypal Account wurde letzte Woche gehackt und 3 Transfers in Höhe von zusammen 1300 USD eingeleitet. Nächsten Tag früh war die Kohle schon vom Konto runter.
Nur durch sehr viel Stress und Nachweise hab ich die Beträge nun (fast) wieder.

LG,
Bruno

Grüß Dich, Bruno !

Du hattest auch noch ein WBB im Einsatz ? Wusste ich garnicht - sonst hätte ich Dir direkt ne Mail geschrieben.
Du hattest mir damals ja die YABB-DB auf das WBB gehievt - aber daß das derart simpel ist das WBB zu hacken, hätte ich auch nicht geglaubt.

Beim vB bleibe ich im Moment noch auf 3.8.x Die 4er ist mir noch zu buggy.

Viele Grüße nach Berlin !
JN

Weiß den jemand was geschieht wen man diesen Link an klickt???

Es kitzelt ja schon ein bisschen in meinen Fingern:D.

MFG:Marvin

Danke für das vorbildliche und schnelle Handeln, halt uns bitte auf dem Laufenden!

Gruß
Thomas

Weiß den jemand was geschieht wen man diesen Link an klickt???
Ja, natürlich.
Dann bekommst man einen ziemlich stinkigen Gesichtsausdruck. :D

Hans

Grüß Dich, Bruno !

Du hattest auch noch ein WBB im Einsatz ? Wusste ich garnicht - sonst hätte ich Dir direkt ne Mail geschrieben.

Moin JN,

nee - mein altes Forum war auch schon ein vBulletin, aber Version 3.0x
Da sieht es bestimmt auch nicht anders aus mit der "Hackfestigkeit".
Deswegen hab ich das Teil entfernt. Man muss das Glück ja nicht herausfordern.

Ich sehe gerade - Du bist schon up to date - bravo!
Bei mir ist das leider leider nicht ganz so einfach und macht mir mächtige Kopfschmerzen :o.

Viele Grüße aus Berlin,
Bruno

Also, gerne biete ich Dir meine Hilfe an - nur wird dies wahrscheinlich nicht viel nützen, da Du auf dem Gebiet weitaus mehr Kenntnisse hast, als ich ! :D Falls es aber um Designdinge geht, könnte ich mit einer tollen Adresse aushelfen ;)
Aber lass Dir gesagt sein - auch ich habe hier noch so einige .php-Projekte in der Pipeline, die mir heftige Kopfschmerzen bereiten.

Bis die Tage !
JN

..nur wird dies wahrscheinlich nicht viel nützen, da Du auf dem Gebiet weitaus mehr Kenntnisse hast, als ich ! :D

Mhh - das ist einige Jahre her und wenn man nicht am Ball bleibt, verlernt man vieles - dann noch die knappe Zeit dafür - Du weißt schon..

Ich schreib Dir mal eine Mail, damit das hier nicht zu OT wird :).

LG,
Bruno

...
Bereits zwei Minuten nach Erhalt des eMails (ich hab das ja auch bekommen) war die DB deaktiviert, mit neuem Passwort versehen usw. Der hätte keine Zeit gehabt für nen Dump - die DB ist gedumpt knapp 80MB groß. Das hat bei MIR ja schon fast 10 Minuten gedauert.

JN

Hallo JN,

danke für die schnelle Reaktion.

Will dir nicht alle Träume zerschlagen, aber das mit den 10Min/80MB ist so ne Sache.
Wenn die Jungs was drauf haben und nicht einfach nur die Anleitung aus dem iNet bevolgen, dann machen sie den Dump über die Backbone des Providers. Da sind iwas zwischen 10 und 100Gig Netze dran.
Dann kommen noch die schnellen Platten und riesigen Arbeitsspeicher der Webserver dazu, wo die 80MB komplett reinpassen. Da ist so ein Dump in wenigen Sekunden durch.

Denke aber dass die Userdaten eines "unbedeutenden" Forums für die Marketingmenschen nicht wirklich von Bedeutung ist und somit keine Kohle damit zu verdienen ist.

Och, träumen tu ich ganz andere Sachen :D
Nein, daß weiss ich schon - es geht hier aber nicht nur um die Bandbreite für den Download, sondern vielmehr um die Herstellung des Backups mit irgendeinem Dumper. Selbst wenn ich nur den Table 'users' als Backup aufbereiten will, dauert das seine Zeit.
Zudem waren die Serverlogs, wie gesagt, leer.

JN

P.S.: Die Anzeige mit allen Daten, IPs usw. ist heute an die Polizei gegangen.

Weiß den jemand was geschieht wen man diesen Link an klickt???

Es kitzelt ja schon ein bisschen in meinen Fingern:D.

MFG:Marvin

Dann kommst du zu ner seite wo dir die datei zum Dl angeboten wird...
Tust du das sollte dein Virenscanner alarm schlagen.
Da steht dann drinn was es für nen Virus ist.

googelst du danach so kannst du rausfinden was der macht.

Ist in etwa so wie wenn man die pole eines 6S in der hand hällt und nicht wiederstehen kann sie zusammenzuhalten - danach ist man immer klüger...

Dann kommst du zu ner seite wo dir die datei zum Dl angeboten wird...
Tust du das sollte dein Virenscanner alarm schlagen.
Da steht dann drinn was es für nen Virus ist.

googelst du danach so kannst du rausfinden was der macht.

Ist in etwa so wie wenn man die pole eines 6S in der hand hällt und nicht wiederstehen kann sie zusammenzuhalten - danach ist man immer klüger...

also, wie ich das sehe hat Rapidshare den Download bereits nach wenigen Stunden deaktiviert. Jedenfalls bekomme ich diese Info, wenn ich dem Link folge ...

JN

also, wie ich das sehe hat Rapidshare den Download bereits nach wenigen Stunden deaktiviert. Jedenfalls bekomme ich diese Info, wenn ich dem Link folge ...

JN


Jo hab grad nen ersatzrechner angemacht und wollte es mit dem saugen und gucken was das ist.

Find ich gut das Rs da so schnell ist

Danke für die warn-mail, ich hatte die virenmail auch.

Ist das Update der Forensoftware der Grund, dass man sich bei jedem Besuch auf dieser Seite neu anmelden muss?

Ich muss das nicht.
Hast Du den Haken bei "Angemeldet bleiben" gesetzt?

Hans

Nu klar ...
Ich beobachte das mal.

hoi,

vielleicht mal den Browsercache leeren :)

gruss Kay

Mhhh ... Du bist Nummer 2 die das Problem hat. Ich vermute ebenfalls den Browsercache. Löschen und Neusetzen bringts wahrscheinlich - bitte mal ausprobieren.

JN

Hallo,

ich habe das Problem auch, allerdings anscheinend nur, wenn ich Firefox (aktuelle Version) als Browser nutze.

Beim IE 8.0 geht es anscheinend... mal beobachten...

ihr müsst die cookies aktivieren damit die automatische Anmeldung funktioniert.
Am sonsten wenn die schon aktiviert sind, dann unter extras/einstellungen/datenschutz/einzelne cookies löschen den von rc-raceboats entfernen.

Danach hatte es bei mir mit der Anmeldung wieder funktioniert.

hallo

habe keine post bekommen und bei mir geht alles mit dem einloggen wie bisher.

@ josef

bist schon wieder in der heimat.


mfg robert


" Der Herr sei gnädig, mit allen die übers Wasser fahren.
könnten wir laufen bräuchten wir kein Bergeboot"

ihr müsst die cookies aktivieren damit die automatische Anmeldung funktioniert.
Am sonsten wenn die schon aktiviert sind, dann unter extras/einstellungen/datenschutz/einzelne cookies löschen den von rc-raceboats entfernen.

Danach hatte es bei mir mit der Anmeldung wieder funktioniert.

Guter Hinweis, Josef ... Danke !

Ich nutze keinen dieser Browser hier ... insofern kann ich auch nicht wirklich ne Empfehlung abgeben ...

JN

Danke Danke CrunchiX

Danke Gruß AT

Bei Firefox darauf achten, dass Cookies so lange bestehen bleiben, bis sie nicht mehr gültig sind. Alle anderen Einstellungen führen dazu, dass man sich nach jedem Schließen von Firefox neu anmelden muss.

Gruß Hans

Cookie löschen hats gebracht. Danke!

geht weiter, diesmal auch hier und als PN

http://www.rc-raceboats-world.de/forum/images/styles/raceboat/statusicon/post_new.gif Heute, 10:35 ForumTeam (http://www.rc-raceboats-world.de/forum/member.php?u=2480)
Registrierter User

Registriert seit: 07.02.2010
Ort: US
Beiträge: 0
http://www.rc-raceboats-world.de/forum/images/styles/raceboat/misc/im_icq.gif (http://www.rc-raceboats-world.de/forum/private.php?do=showpm&pmid=364931#)

http://www.rc-raceboats-world.de/forum/images/icons/icon1.gif Important message from the forum administration!
Dear, Jörn-Oliver!

A virus alert was noticed on your computer.
We highly recommend you to check your computer and perform online virus check at our site immediately: http://security-tool2010.net/Jörn-Oliver (http://security-tool2010.net/J%C3%B6rn-Oliver)
----------------------------------------------------
Forum Administration www.rc-raceboats-world.de (http://www.rc-raceboats-world.de/forum/../).
http://www.rc-raceboats-world.de/forum/images/styles/raceboat/statusicon/user_offline.gif http://www.rc-raceboats-world.de/forum/images/styles/raceboat/buttons/forward.gif (http://www.rc-raceboats-world.de/forum/private.php?do=newpm&forward=1&pmid=364931)





die sollten doch wenigstens mitkriegen, das dat hier ein deutschsprachiges Forum ist
mfg,Jörn

Haben sie schon.
Ich habe soetwas heute morgen in Deutsch bekommen.


Das sieht nach Arbeit aus für Jan. ---- Schade, schade, schade.

Ich dreh noch durch hier ....

OK, ich fasse zusammen :

Wenn sich ein neuer User hier im Forum registriert, muß er ein Captcha beantworten und anschliessend warten, daß ich ihn manuell freischalte.
Leider geht das nur noch manuell, weil inzwischen täglich irgendwelche chinesischen/russischen Spambots und andere Spammer und Viagraverkäufer versuchen, hier ins Forum zu kommen.
solange der angehende User im Level "wartet auf Freischaltung" steht, hat er praktisch keine Rechte im Forum ausser denen, die auch ein Besucher ohne Anmeldung hat - es sei denn, ICH habe einen Fehler bei den Userrechten gemacht ... und genau das ist hier passiert.

Anwender im Level "wartet auf Freischaltung" hatten das Recht Mitteilungen zu schreiben - was ich natürlich jetzt grad entzogen habe ... neben der Tatsache daß ich jetzt für alle User-Stages (ausser den registrierten Mitgliedern natürlich) praktisch alle Berechtigungen auf "false" gesetzt habe. Das ganze war also kein Hack/Crack, sondern das Ausnutzen einer nicht besonders rigide gesetzten Gruppenberechtigung.

Den User mit der ominösen ID2480, habe ich natürlich sofort gelöscht.
Die IP war verschleiert - ich schaue aber nachher nochmal im ServerLog.

Sorry für den erneuten Ungemach.
Ich stelle fest, daß die Agressivität da draussen wirklich immer heftiger wird. Ich bin ausserdem froh, mich seinerzeit auf den "Mercedes" unter den Foren und den Marktführer entschieden zu haben. Einerseits lockt dies, aufgrund der Verbreitung der Software, zwar diese Spinner an - andererseits scheinen die Sicherheitseinstellungen doch ziemlich wirksam ... es sei denn, ich setze die Rechte nicht streng genug.

Ich hoffe, daß sich der aktuelle Fall damit erledigt hat.

JN

Ergänzung :

wer mal schauen will wer uns da "besucht" hat ...

http://www.stopforumspam.com/ipcheck/188.72.225.209

JN

Neue Registrierung heute :

http://www.rc-raceboats-world.de/pics/spammer.jpg

"Wolle mer ihn roinlosse ?"

... ich denke nicht !

*UserIP auf "ban", eMail-Addi auf "ban", zack, gelöscht, erledigt* ... morgen auf ein Neues !

JN

vielleicht wäre ein weiterer Ansatz die Spaßmacher etwas auszubremsen und sich etwas Arbeit zu sparen, neben den obligatorischen Software-Updates, eine kleine Script-Zeile in der index voranzustellen, die auf die Kombination der Variablen $HTTP_USER_AGENT und $REMOTE_ADDR - im weiteren noch getHostByAddr($REMOTE_ADDR) - reagiert.

D.H. falls kein plausibler Browser/Suchmaschine + ein in einer Black-List geführter Host erkannt wird, wird immer eine leere Seite geliefert.

Vor Script-Kiddies mit AOL-Host schützt das freilich nicht - gegen Dummheit ist kein Kraut gewachsen - aber die meißten Maschinen blieben draussen.

Joah ... sowas ähnliches habe ich bereits implementiert.
Danke aber für den Hinweis ! Sowas nehme ich immer gern entgegen (vor allem weil man merkt, daß man nicht allein auf der Welt ist) :D

JN

...nein, man ist nicht allein. Leider wird jedes halbwegs ernsthafte Forum früher oder später derart bespaßt und der Betreiber in seiner Freizeitgestaltung eingeschränkt...
Persönlich sehe ich das mittlerweile aber sportlich. Man lernt ja auch etwas dabei.
Obgleich es mir persönlich natürlich lieber ist, wenn ich auf eine Maschine in seiner Vorhersagbarkeit oder ein pupertierendes Dickerchen in seiner Dummheit reagieren darf, als mich einem echten und vor allem intelligent geführten Angriff mit entsprechenden Auswirkungen auf die Hardware gegenüber gestellt zu sehen.
Ersteres ist "nur" unangenehm, letzteres richtig teuer.

Ich finde deine Herangehensweise sehr gut. Der Informationsaustausch mit anderen Forenbetreibern, alles sofort öffentlich machen und auch - soweit nicht Verfahrensrelevant - die Leute beim Namen bzw. IP nennen.
Danke für dein Engagement!

Ich finde deine Herangehensweise sehr gut. Der Informationsaustausch mit anderen Forenbetreibern, alles sofort öffentlich machen und auch - soweit nicht Verfahrensrelevant - die Leute beim Namen bzw. IP nennen.
Danke für dein Engagement!

Nun, ich spiele gern mit offenen Karten - dann muß ich mich nicht verstellen..
Desweiteren habe ich auch kein Problem Fehler zuzugeben, die ich selber mache.
Der Austausch mit Kollegen (manche denken, wir seien "Rivalen") ist für mich wichtig und wertvoll - wo sonst können beide von den Erfahrungen des jeweils Anderen profitieren ? Bruno z.B. war und ist oft eine große Hilfe und ich schätze ihn zutiefst !
Es gibt schon genug "gegeneinander" im täglichen Leben ... da versuche ich wenigstens hier, ein wenig "miteinander" zu leben.

JN