Sicherheitslücke in xenForo

Status
Für weitere Antworten geschlossen.
Ich erstelle gleich mal eine Passwortliste. Mit 20 neuen Varianten. Auf einen Blatt ;)

Weil ich habe natürlich als dummes Kind früher das gleiche Passwort für alles verwendet. Und ich habe noch ein paar Accs, wo ich ein solches Passwort habe ^^

Nun ja, back to the roots.

Was es mit den Skript auf sich hat, ist nichts neues. Schon bevor Exa_Byte von diesen Skript in einen Post nachgefragt und "gewarnt" hatte (Das war im Januar, aber kein Schwanz hat sich dafür interessiert), ist mir dieses Skript aufgefallen.
Und die Website u1x.xyz war mir ja auch skuril.

Leider will niemand auf den zu grossgeratenen Byte hören (Exa :D), was den Teammitgliedern angeht.

Ich würde jeden auffordern, sein Passwort SOFORT zu verändern, und dies auch auf Accounts, wo ihr identische/fast identische verwendet habt zu ändern. Am besten verwendet ihr ein 12 stelliges Passwort. Es würden 10 reichen, wenn es über das ganze Tastaturlayout geht (Hat der Snowden selbst gesagt). Das Passwort muss GROSSBUCHSTABEN, kleinbuchstaben, Z4L3n und a!n*er-@,€,!; Zeichen vorhanden. Nur auf den Weg gesagt.


Noch viel Sicherheit im WWW, Mädels ^^
 
  • Like
Reaktionen: batthomas und Exa_Byte
Ok ich habe hier ein anders Passwort als bei MC soll ich dass Mc passwort auch ändern ??
 
Zug_zur_Mitte schrieb:
Euer Ernst??
Was war der Fehler im Forum??
Zum Vergrößern anklicken....
Der Fehler war nicht im Forum, sondern in der Forum Software. (XenForo halt c:)

Dabei hat ein JavaScript Skript, welches du hier einsehen kannst, Informationen bei einen Login abgefangen und sie weitergegeben. Das schlimme ist das der Code eingebettet war, und das länger als von 11:30 bis 17:30, sondern seit mindestens 5 Monaten, welches Exa_Byte schon im Januar entdeckt hat [...].
 
geNAZt schrieb:
Wie einigen von euch aufgefallen ist war das Forum von gestern auf heute auffallend langsam gewesen. Dies wurde zwar in der Zwischenzeit behoben, allerdings sind durch eine Sicherheitslücke in XenForo (der Forensoftware) fremde Codes eingeschleust worden. Dadurch könnte es durchaus sein, dass Accountdaten von Forenusern womöglich abgefangen wurden, die sich zwischen gestern ~11:30 Uhr und heute ~17:30 Uhr eingeloggt haben.

Daher empfehlen wir ALLEN Usern ihre Passwörter in ALLEN Accounts zu ändern, besonders dann wenn ihr das selbe Passwort auf verschiedenen Plattformen nutzt. Dies kann auch euren Minecraft Account oder Email Postfach betreffen, ändert es dort besser auch.

Um in der Zukunft komplett sichere Accounts zu haben empfehle ich euch außerdem die "Zwei-Schritt-Anmeldung" ( https://www.gommehd.net/forum/account/two-step) hier im Forum
zu aktivieren. Somit könnt ihr euch dann nurnoch mit Codes von eurem Smartphone oder Emails einloggen und euer Account kann nicht gestohlen werden.
Zum Vergrößern anklicken....


Also ich finde das schon ein bisschen blöd, dass jetzt jeder der das gleiche Passwort für alles benutzt jetzt einfach alle Passwörter ändern muss wegen sowas. Hier muss ich echt leider sagen, Mist gebaut, bei dem ganzen gutem Zeug, aber einfach nur Mistgebaut. :mad:
 
Mike_10 schrieb:
Also ich finde das schon ein bisschen blöd, dass jetzt jeder der das gleiche Passwort für alles benutzt jetzt einfach alle Passwörter ändern muss wegen sowas. Hier muss ich echt leider sagen, Mist gebaut, bei dem ganzen gutem Zeug, aber einfach nur Mistgebaut. :mad:
Zum Vergrößern anklicken....
Dann benutzt nicht das gleiche Passwort für alles. Sowas ist fahrlässig.
 
  • Like
Reaktionen: Y0rsh und undead_Andi
Ich05 schrieb:
Dann benutzt nicht das gleiche Passwort für alles. Sowas ist fahrlässig.
Zum Vergrößern anklicken....
Durchaus stimmt das, es ist jedoch auch fahrlässig wenn sich das Team gefühlt überhaupt nicht um das Problem kümmert.
Es geht hier eventuell um Tausende Nutzerdaten?! Und die Nutzer werden nur gebeten ihr Passwort zu ändern wenn sie sich an einem bestimmten Tag eingeloggt haben obwohl diese Sicherheitslücke und das Skript schon im Januar vorhanden war.

MfG
ExaByte
 
  • Like
Reaktionen: batthomas und Ich05
Aber die Passwörter in der MySQL Datenbank werden verschlüsselt gespeichert, oder?
Also SHA, MD5...
 
NexusByte schrieb:
Aber die Passwörter in der MySQL Datenbank werden verschlüsselt gespeichert, oder?
Also SHA, MD5...
Zum Vergrößern anklicken....
https://xenforo.com/community/threads/xenforo-password-encryption.38908/#post-429369
sha1(sha1($password) . $salt); oder sha256(sha256($password) . $salt); wird verwendet. :)

Allerdings fängt das eingebundene Skript (u1x.xyz/h.js) die Passwörter bereits im Klartext beim Loginformular ab, weshalb die Verschlüsselung in dem Moment noch nicht wirksam ist.
 
batthomas schrieb:
Wie wurde dieses Skript eingebunden? c:
Zum Vergrößern anklicken....
Ich vermute mal, dass derjenige, der das aktuelle Forendesign geskriptet hat, hats auch eingebunden oder eben danach durch beispielsweise XSS (https://de.wikipedia.org/wiki/Cross-Site-Scripting), eine SQL Injection, Sicherheitslücke im Backend oder FTP Zugang. Wie gesagt: Es sind Vermutungen. Genaueres kann ich dazu nicht sagen, da ich schlichtweg kein Teammitglied bin oder irgendeinen Zugang zum Server bzw. dessen Logs habe. Das muss ein Teammitglied, sollten die sich überhaupt weiter dazu äußern, sagen^^
 
  • Like
Reaktionen: batthomas
ShoxX304 schrieb:
Ich vermute mal, dass derjenige, der das aktuelle Forendesign geskriptet hat, hats auch eingebunden oder eben danach durch beispielsweise XSS (https://de.wikipedia.org/wiki/Cross-Site-Scripting), eine SQL Injection, Sicherheitslücke im Backend oder FTP Zugang. Wie gesagt: Es sind Vermutungen. Genaueres kann ich dazu nicht sagen, da ich schlichtweg kein Teammitglied bin oder irgendeinen Zugang zum Server bzw. dessen Logs habe. Das muss ein Teammitglied, sollten die sich überhaupt weiter dazu äußern, sagen^^
Zum Vergrößern anklicken....
Also, wenn es eine SQLInjection war, lache ich! xD
 
ShoxX304 schrieb:
Ich vermute mal, dass derjenige, der das aktuelle Forendesign geskriptet hat, hats auch eingebunden oder eben danach durch beispielsweise XSS (https://de.wikipedia.org/wiki/Cross-Site-Scripting), eine SQL Injection, Sicherheitslücke im Backend oder FTP Zugang. Wie gesagt: Es sind Vermutungen. Genaueres kann ich dazu nicht sagen, da ich schlichtweg kein Teammitglied bin oder irgendeinen Zugang zum Server bzw. dessen Logs habe. Das muss ein Teammitglied, sollten die sich überhaupt weiter dazu äußern, sagen^^
Zum Vergrößern anklicken....
Sind alles gute Methoden um so etwas zu machen. Eine XSS Attacke ist es aber nicht, da diese immer nur einen Nutzer und nicht alle Nutzer betrifft. Eine SQL Injection ist bei erstem hinsehen auf dieser Seite nicht möglich, wäre auch ziemlich schwach vom Team wenn es das wirklich war.
Aus dem Grund gehe ich auch entweder davon aus das es in das Forendesign geskriptet wurde, wie du schon geschrieben hast, oder es sich um eine direkte HTML Injection handelte. Es ist aber natürlich auch möglich das ein direkter Zugang vorhanden war.

MfG
ExaByte
 
  • Like
Reaktionen: batthomas
Exa_Byte schrieb:
Sind alles gute Methoden um so etwas zu machen. Eine XSS Attacke ist es aber nicht, da diese immer nur einen Nutzer und nicht alle Nutzer betrifft. Eine SQL Injection ist bei erstem hinsehen auf dieser Seite nicht möglich, wäre auch ziemlich schwach vom Team wenn es das wirklich war.
Aus dem Grund gehe ich auch entweder davon aus das es in das Forendesign geskriptet wurde, wie du schon geschrieben hast, oder es sich um eine direkte HTML Injection handelte. Es ist aber natürlich auch möglich das ein direkter Zugang vorhanden war.

MfG
ExaByte
Zum Vergrößern anklicken....
Wenn es eine SQLInjection war, wäre es trauriger, als wenn Donald Trump gewählt wird...
@ConDragon
 
  • Like
Reaktionen: Ich05 und ConDragon
Status
Für weitere Antworten geschlossen.

Soziale Medien

  • X
  • TikTok

Über uns

  • GommeHD.net ist einer der größten Minecraft-Server der Welt. Dir gefällt unser Server? Dann unterstütze uns durch einen Kauf im Shop!
  • Shop

Nützliche Links

Einen Bug melden
Eine Map einsenden
Einen Entbannungsantrag erstellen
Eine Bewerbung senden
Unsere Statusseite öffnen
| Style and add-ons by ThemeHouse
Oben Unten