hkrkoz-al-kuwait Hacker?

    Moin,


    das Forum meines Projektes, was sich noch im Aufbau befindet, wurde Opfer einer Hackerattacke.


    Folgendes:

    Ein Teammitglied von mir machte uns aufmerksam, das alle Registrierten Benutzer im Forum den Benutzernamen "hkrkoz-al-kuwait" hatten. Und eine Überprüfung in der Datenbank ergab, das alle Password-Salts ebenso in hkrkoz-al-kuwait umbenannt wurden, was dazu führte, das sich keiner Einloggen konnte.

    Darauf hin überprüfte ich mit ein anderen Teammitglied sämtliche Logs und Aktivitäten auf dem Webserver/Forum. Eine IP-Adresse tauchte ständig auf. Eine IP Whois-Abfrage ergab, das die IP-Adresse aus dem Land Kuwait und der Region Al Asimah stammen soll. Desweiteren hat dieser "Gast" mit der IP-Adresse mein Benutzeraccount mit dem Inhalt "hkrkoz-al-kuwait" gemeldet. Was einen Bekenner gleichzusetzen ist.


    Meine Fragen wären daher...


    1) Wie ist es technisch möglich, Datenbank-Inhalte manipulativ zu ändern (Ausgenommen SQL Injection, WBB 5.2 ist gehe ich mal stark davon aus, gegen SQLI geschützt)


    2) Hat wer noch Erfahren mit dem Hacker gemacht?


    3) Wie kann man sich wirkungsvoll dagegen schützen?



    Vielen lieben Dank im Vorraus!

    Wer PALWAL-Sternchen vergibt, bekommt aus Prinzip ein Like 😏


    Zitat von Colore

    @palwal Donald Trump ist einer der besten Präsidenten welche die USA je hatte, meine Meinung.

    Ich glaube, nichts ist Sicher im Web. Es gibt immer einen Weg oder eine Lücke.

    Die Kritik an anderen hat noch keinem die eigene Leistung erspart.

    – Noël Coward

    1) Am Ende ist alles irgendwo eine Datei. Darunter fallen auch SQL-Einträge. Es ist also auch möglich ohne Query, "SQL zu bearbeiten". Zwar ist WoltLab gesichert, aber am besten sollte man auch eine aktuell unterstütze PHP Version nehmen.


    2) Nein.


    3) VPN & BIND sind die Stichworte.

    Du erstellt eine eigene VPN auf deinem Server, dann verbindest du dich mit einem VPN-Client mit der VPN deines Servers. Du nutzt jetzt also die IP-Adresse des Servers. Jetzt bindest du alle BackEnds auf die Server-Ip. Sprich meinforum.com/ACP würde die Verbindung ablehnen, wenn deine IP nicht die des Servers ist. Das kannst du beliebig fortführen (SSH, MySQL etc.)



    Die IP deines Servers anzunehmen (IP-Spoofing) ist meist etwas schwieriger, gerade dann, wenn dein Server richtig konfiguriert ist.



    Aber das Thema ist A) lang & B) ein Teufelskreis. Entwickler erfindet Ding, Hacker findet Lücke, Entwickler schließt Lücke, Hacker schreibt Bypass und und und. Macht der eine was, tut es der andere auch.

    • Offizieller Beitrag

    Habt ihr abgesehen von SSH, PHP, (hoffentlich) MariaDB und (ebenso hoffentlich) NGINX noch weitere Programme installiert und verwendet?


    Gerade ältere Tools wie mySQLDumper - so nützlich sie auch sind - stellen ein Risiko dar da sie teilweise nicht mehr mit Updates versorgt werden und generell nicht nach höchsten Sicherheitsstandards programmiert worden sind


    „Nicht das, was du nicht weißt, bringt dich in Schwierigkeiten, sondern dass, was du sicher zu wissen glaubst, obwohl es gar nicht wahr ist.“
    Mark Twain
    ---
    ICH BIN NUR HIER UM LEUTE ANZUSCHREIEN

    Zitat von palwal

    Ausgenommen SQL Injection, WBB 5.2 ist gehe ich mal stark davon aus, gegen SQLI geschützt

    Es gibt so krasse SQL-Injections oder generell Cross-Site-Scripting, davor ist nicht mal google geschützt.


    Gibt da immer wieder mal 0-Day Exploits, die publiziert und verbreitet werden von Forschern :)



    Nur mal aus reiner Neugier gefragt, verwendet ihr Captchas zum Registrieren?

    ast2ufdyxkb1.png


    Leute, lernt scripten und versucht mal lieber etwas selber zu schreiben, als es aus einem GF zu kopieren. :S

    Man kann auch in Betracht ziehen das du einen Trojaner eingeschnappt hast, und er lediglich die geklauten Daten verwendet um sich in den Plattformen einzuloggen.

    Also da ich WSC/MariaDB als recht sicher empfinde, und jeder mit dem wissen es zu knacken sicher keine Zeit mit einer Plattform wie deiner Verschwenden will gehe ich einfach davon aus das es ein Trojaner auf einem PC mit den jeweiligen Zugängen ist.


    Sicherste Lösung einfache VPN zum Server.