Sicherheitslücke - Bitte durchlesen

Exa_Byte

Exa_Byte

Mitglied
12 Apr. 2015
25
303
698
Hallo,

einige werden es vielleicht mit bekommen haben, ich erkläre die Situation dennoch: Die Seite des GommeHD Forums wurde mit einem unbekannten Skript infiziert das Passwörter abfängt.
Wie in diesem Beitrag https://www.gommehd.net/forum/threads/sicherheitsluecke-in-xenforo.487620/ geschrieben bestand die Lücke nur von Dienstag bis Mittwoch.
Das ist, meiner Ansicht und ausführlichen Analyse nach, aber schlicht und einfach falsch! Dieses Skript und somit auch automatisch die Sicherheitslücke war schon im Januar vorhanden, hier mein Beitrag vom 26. Januar https://www.gommehd.net/forum/threads/gommehd-net-datenschutz.410775/

Ich habe das Team informiert, als Antwort bekam ich jedoch nur ein Zitat eines Server Administratoren:
"Nein, ich denke das wäre uns aufgefallen" [Zitat aus einer privaten Nachricht von MrPayJay].
Mein Beitrag vom 26. Januar beweist jedoch genau das Gegenteil.

Deswegen kann es sein, dass diese Lücke für einen unbekannten Zeitraum bestand hatte, zudem ist es möglich das mehr als ein Skript eingeschleust wurde.

Dies soll kein Rufmord oder sonstiges darstellen, ich stelle nur die Fakten dar und möchte nur die Nutzer warnen.

Also würde ich empfehlen das Passwort auf jeden Fall zu ändern wenn ihr das Forum zwischen Januar und diesen Mittwoch genutzt habt . Und zwar auch überall dort wo ihr das gleiche Passwort nutzt.


MfG
ExaByte
 
Zuletzt bearbeitet:
  • Like
Reaktionen: TofuMotzKlotz, Timguin, Knockback_King und 17 andere
Zitat: Daher empfehlen wir ALLEN Usern ihre Passwörter in ALLEN Accounts zu ändern, besonders dann wenn ihr das selbe Passwort auf verschiedenen Plattformen nutzt. Dies kann auch euren Minecraft Account oder Email Postfach betreffen, ändert es dort besser auch.
 
Zenturiox schrieb:
Zitat: Daher empfehlen wir ALLEN Usern ihre Passwörter in ALLEN Accounts zu ändern, besonders dann wenn ihr das selbe Passwort auf verschiedenen Plattformen nutzt. Dies kann auch euren Minecraft Account oder Email Postfach betreffen, ändert es dort besser auch.
Zum Vergrößern anklicken....
Zitat: "Dadurch könnte es durchaus sein, dass Accountdaten von Forenusern womöglich abgefangen wurden, die sich zwischen gestern ~11:30 Uhr und heute ~17:30 Uhr eingeloggt haben."
Diese Aussage ist meiner Ansicht nach falsch.
Und das Problem, das ein Hacker über Monate Code einschleusen konnte, wird meiner Meinung nur auf die leichte Schulter genommen.

MfG
ExaByte
 
  • Like
Reaktionen: Timguin, Knockback_King, adagi und eine weitere Person
Exa_Byte schrieb:
Also würde ich empfehlen das Passwort zu ändern wenn ihr das Forum zwischen Januar und diesen Mittwoch genutzt habt.
Zum Vergrößern anklicken....
Daher empfehlen wir ALLEN Usern ihre Passwörter in ALLEN Accounts zu ändern, besonders dann wenn ihr das selbe Passwort auf verschiedenen Plattformen nutzt. Dies kann auch euren Minecraft Account oder Email Postfach betreffen, ändert es dort besser auch.
Deswegen meine ich es nur ^^
 
Ich muss Exa_Byte Recht geben! Eine Diskussion ist unnötig - Da Exa relativ richtige Fakten vorweist, aber leider keine Beweise liefert / Wäre allerdings illegal aufgrund der Brief/Post Geheimnisses.
 
Wie soll er schon damals an den Domain und Skript Namen gekommen sein? Und zufällig passt das dann genau?
Die Informationen müssen richtig sei, für mich reicht das als Beweis.
Oder er selbst ist der Hacker, halte ich aber für sehr sehr unwahrscheinlich.
 
Zuletzt bearbeitet von einem Moderator:
Ich05 schrieb:
Wie soll er schon damals an den Domain und Skript Namen gekommen sein? Und zufällig passt das dann genau?
Die Informationen müssen richtig sein.
Oder er selbst ist der Hacker, halte ich aber für sehr sehr unwahrscheinlich.
Zum Vergrößern anklicken....
Wir haben damals die Sicherheit des Forums analysiert (https://www.gommehd.net/forum/threads/gommehd-net-datenschutz.410775/) und auch mal so n bisschen auf die Performance geguckt. Dabei ist uns bzw. Exa_Byte eben das Script aufgefallen und die Domain wirkte sehr suspekt, vor allem wenn man direkt draufgeht. Ab dem Zeitpunkt an haben wir das bereits veröffentlicht und weiter beobachtet, da das Skript weiterhin drauf blieb. Der Code verrät eigentlich alles wichtige. Datum, Username und Password werden passgenau an eine Datei auf dem Server des Domaininhabers gespeichert - im Klartext. Weitere Nachforschungen haben ergeben, dass der Kerl bereits mehrere Daten von 000webhost geleaked hat: https://forum.hashkiller.co.uk/topic-view.aspx?t=9761&m=75761 (runterscrollen zum Beitrag von TotalSniper. Oder STRG-F und u1x.xyz eingeben)

Seitdem die Sicherheitslücke bekanntgegeben wurde, fehlt jede Spur von der JavaSkript Datei im Quellcode des Forums. Zufall? Nein, eher nicht. Abgesehen davon, dass ich es für unwahrscheinlich halte, dass Exa_Byte besagten Phishingcode eingefügt hat.

Ich persönlich vermute die Einbindung bereits seit dem neuen Forendesign vom 15.10.2015, entdeckt wurde es am 26.01.2016. Nachforschungen stehen an. Make GommeHD secure again.
 
  • Like
Reaktionen: Knockback_King und Atlaan
Möchte das Team wirklich gar nicht auf die Bedenken eingehen und die Aussage das Passwörter nur in einem bestimmten Zeitraum abgefangen wurden zurücknehmen?

Für mich scheint es fahrlässig die User nicht zu informieren...

@geNAZt

MfG
ExaByte
 
  • Like
Reaktionen: 125ccm
  • Like
Reaktionen: Exa_Byte
@Blaxono
Exa_Byte schrieb:
Hallo,

einige werden es vielleicht mit bekommen haben, ich erkläre die Situation dennoch: Die Seite des GommeHD Forums wurde mit einem unbekannten Skript infiziert das Passwörter abfängt.
Wie in diesem Beitrag https://www.gommehd.net/forum/threads/sicherheitsluecke-in-xenforo.487620/ geschrieben bestand die Lücke nur von Dienstag bis Mittwoch.
Das ist, meiner Ansicht und ausführlichen Analyse nach, aber schlicht und einfach falsch! Dieses Skript und somit auch automatisch die Sicherheitslücke war schon im Januar vorhanden, hier mein Beitrag vom 26. Januar https://www.gommehd.net/forum/threads/gommehd-net-datenschutz.410775/

Ich habe das Team informiert, als Antwort bekam ich jedoch nur ein Zitat eines Server Administratoren:
"Nein, ich denke das wäre uns aufgefallen" [Zitat aus einer privaten Nachricht von MrPayJay].
Mein Beitrag vom 26. Januar beweist jedoch genau das Gegenteil.

Deswegen kann es sein, dass diese Lücke für einen unbekannten Zeitraum bestand hatte, zudem ist es möglich das mehr als ein Skript eingeschleust wurde.

Dies soll kein Rufmord oder sonstiges darstellen, ich stelle nur die Fakten dar und möchte nur die Nutzer warnen.

Also würde ich empfehlen das Passwort auf jeden Fall zu ändern wenn ihr das Forum zwischen Januar und diesen Mittwoch genutzt habt . Und zwar auch überall dort wo ihr das gleiche Passwort nutzt.


MfG
ExaByte
Zum Vergrößern anklicken....
DANKE das du es allen nochmal sagst...
@Ich05 danke auch dir <3
Ich finde es auch fahrlässig das die User nicht informiert wurden...
 
  • Like
Reaktionen: 125ccm und Ich05
Also keine Ahnung wo die Behauptung her kommt das dieses Script schonmal im Januar aufgetaucht sei. Wir können nachvollziehen welche Templates und Dateien geändert wurden und vorallem wann. Diese Injection ist halt in diesen Zeiträumen gekommen. Keine Ahnung was wir da nicht informiert haben. Diese Injection mit der die Daten abgefangen wurden gab es halt erst seit der Zeit wie in der Ankündigung erwähnt.
 
  • Like
Reaktionen: lauf, Klaus, SaroxDE und 3 andere
geNAZt schrieb:
Also keine Ahnung wo die Behauptung her kommt das dieses Script schonmal im Januar aufgetaucht sei.
Zum Vergrößern anklicken....
Naja. In dem Beitrag wurde das Script ja schon im Januar erwähnt ._.
Exa_Byte schrieb:
https://www.gommehd.net/forum/threads/gommehd-net-datenschutz.410775/
Zum Vergrößern anklicken....

Wenn er jetzt nicht gerade ein Zeitreisender ist, hätte er ansonsten ja kaum von dieser Datei wissen können, wenn sie nicht schon damals vorhanden gewesen wäre.
Deswegen kommt das halt schon ein bisschen komisch rüber.
 
  • Like
Reaktionen: 125ccm, Ich05 und Knockback_King
geNAZt schrieb:
Also keine Ahnung wo die Behauptung her kommt das dieses Script schonmal im Januar aufgetaucht sei. Wir können nachvollziehen welche Templates und Dateien geändert wurden und vorallem wann. Diese Injection ist halt in diesen Zeiträumen gekommen. Keine Ahnung was wir da nicht informiert haben. Diese Injection mit der die Daten abgefangen wurden gab es halt erst seit der Zeit wie in der Ankündigung erwähnt.
Zum Vergrößern anklicken....
Er hat doch nen Beweis ._.
http://prntscr.com/betmxg Ne glaube nicht das er es in letzter Zeit editiert hat
 
  • Like
Reaktionen: Vinyl_Scratch
Das mag ja alles sein. Aber dieses Script gab es hier in genau dem beschriebenen Zeitraum.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Soziale Medien

  • X
  • TikTok

Über uns

  • GommeHD.net ist einer der größten Minecraft-Server der Welt. Dir gefällt unser Server? Dann unterstütze uns durch einen Kauf im Shop!
  • Shop

Nützliche Links

Einen Bug melden
Eine Map einsenden
Einen Entbannungsantrag erstellen
Eine Bewerbung senden
Unsere Statusseite öffnen
| Style and add-ons by ThemeHouse
Oben Unten