Bot-Trap Aktivist gehackt

Beitrag von **SloMo** » 22.01.2007, 12:50

Hier im Forum wird ja intensiv für Bot-Trap.de geworben. Die Werbung findet man in jedem Thread, der nur im entferntesten mit Bots zu tun hat.

Ich möchte deshalb kurz darauf hinweisen, dass die Site eines Bot-Trap.de Aktivisten gehackt wurde. Er bietet unter anderem den Autoupdate-Service der Bot-Trap an.

Es bleibt zu hoffen, dass der Autoupdate-Mechanismus der Bot-Trap weniger anfällig für Hackerangriff ist, und dass die Hacker keine Passwörter der Bot-Trap-Nutzer entwenden konnten. Da man erst nach Aufgabe seiner Privatsphäre Zugang zum Skript der Bot-Trap bekommt (offenbar aus Sicherheitsgründen), findet keine öffentliche Prüfung des Skriptes auf Schwachstellen statt.

von **Anzeige von ABAKUS** »

SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002

persönliche Betreuung
individuelle Beratung
kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.

Beitrag von **Airport1** » 22.01.2007, 12:58

Seine Site wurde gehacked, ja. Aber nicht ueber den Page Restrictor von Bot-Trap.
Beweis: https://korizon.de/page.restrictor.php?pres=check

Nicht voreilige Schluesse ziehen

Beitrag von **SloMo** » 22.01.2007, 13:02

Naja, dass Ihr nicht gegen Hacker schützt, ist ja eh normal und bekannt. Ändert aber nichts daran, dass offenbar nicht für ausreichende Sicherheit gesorgt wurde. Das halte ich gelinde ausgedrückt für sehr irritierend.

Beitrag von **Michael1967** » 22.01.2007, 13:04

Wenn die über den Page Restrictor von Bot-Trap gekommen wären, dann wären mit Sicherheit mehr Seiten betroffen.

@SloMo

Ich wette mit dir, dass ein Hacker auch auf deinen Seiten einen Schaden anrichten könnte. Was ist sicher?

Beitrag von **Airport1** » 22.01.2007, 13:08

Du kennst korizon.de nicht, oder? Dort gibt es x Scripts, die man direkt von dort nutzen kann, nebst eigenem CMS. Es gibt also auch zig Moeglichkeiten wie der "Hacker" rein kam... ganz offensichtlich aber nicht ueber den Page Restrictor!

Beitrag von **Alpinist** » 22.01.2007, 13:10

Airport1 hat geschrieben:Es gibt also auch zig Moeglichkeiten wie der "Hacker" rein kam... ganz offensichtlich aber nicht ueber den Page Restrictor!

Behauptet doch niemand...

Airport1 hat geschrieben:Wo besteht jetzt die Gefahr fuer Bot-Trap Nutzer? Die einzige Gefahr ist zwar latent vorhanden, aber den "korizon Auto Updater" koennen nur die Mods anstossen, und das werden sie jetzt natuerlich nicht tun

Wissen es denn schon alle?

Grüße

Beitrag von **Airport1** » 22.01.2007, 13:14

Das Problem ist, selbst wenn der Hacker den "korizon Auto Updater" irgendwie missbrauchen wuerde, er kann nicht den Nutzern Schadcode zuschubsen. Denn der "korizon Auto Updater" fordert ABSICHTLICH NUR beim Nutzer dessen PRES auf, sich ein Update vom Bot-Trap Server zu ziehen, mehr nicht. Pech fuer den Hacker

Beitrag von **SloMo** » 22.01.2007, 13:15

> Den "korizon Auto Updater" koennen nur die Mods anstossen, und das werden sie jetzt natuerlich nicht tun

Natürlich nicht. Das hat jetzt eine Menge mit Vertrauen zu tun, würde ich sagen.

Beitrag von **Alpinist** » 22.01.2007, 13:17

Airport1 hat geschrieben:Das Problem ist, [...], er kann nicht den Nutzern Schadcode zuschubsen.

Wieso Problem

Beitrag von **Airport1** » 22.01.2007, 13:20

Ja, aber selbst wenn jemand den Korizon Auto Updater nun anstossen wuerde, das Ding fordert trotzdem nur den jeweiligen PRES eines Nutzers auf, sich ein Update vom Hauptserver zu holen. Das ist ganz absichtlich, denn sonst waere das jetzt wirklich ein Fiasko und der Hacker koennte sonst nun jedem Schadcode zuschubsen.

Also nochmal zum besseren Verstaendnis:

1. korizon Auto Updater -> teilt fremden Server PRES Script mit: es gibt ein neues Update, hol Dir ein neues Update!
2. PRES Script auf fremden Server holt sich EIGEN/SELBSTSTAENDIG ein neues Update vom Hauptserver (also nicht korizon.de!)

NUR und NUR der PRES eines Nutzers kann NUR von sich aus ein Update anfordern, und holt dieses auch NUR vom Hauptserver. ES IST NICHT MOEGLICH, einem PRES eines Nutzers irgend etwas direkt zuzuschubsen..

> Naja, dass Ihr nicht gegen Hacker schützt, ist ja eh normal und bekannt.

Wie man eben grade an diesem Beispiel sieht, ist unser Schutz doch sehr viel hoeher als angenommen. Es ist aber jeder gerne aufgerufen, weitere Schutzmassnahmen in unserem Forum auszutauschen und zu erarbeiten. Wobei, und da muss man sehr ehrlich sein, die perfekte Sicherheit gibt es leider nicht.

Beitrag von **ole1210** » 22.01.2007, 13:46

Ich denke nicht, das das in einem Zusammenhang mit Bot-Trap steht.

Wenn ich richtig gelesen habe, dann wurde als CMS das PHPKIT eingesetzt. Da werden immer mal wieder Seiten von irgendwelchen Script Kiddies gehacked.

Das ist das selbe "Problem" wie mit Joomla. Nen recht verbreitetes CMS mit zig verschiedenen Modulen von verschiedenen Autoren/Programmierern.

Da kann schonmal ne Sicherheitslücke auftreten. Und die wird dann unter Umständen auch schonmal ausgenutzt.

Beitrag von **k0riz0n** » 22.01.2007, 18:36

So, um der Panik jetz mal die Grundlage zu nehmen.
Der Hacker hat keine Daten der beim Updater eingetragenen Urls verändert.

Er kam wohl über eine Lücke im PHPKit (hat ja genug), hat sich Adminrechte verschafft
um den Hauptadministrator zu verändern(Name, Passwort etc.).
Auch wurde die Seite Offline geschalten. Es wurden keine Dateien geändert.

Nochmal: Für den Updater Servie besteht/bestand keine Gefahr.

Beitrag von **SloMo** » 23.01.2007, 08:54

Konnte er Daten einsehen? Waren darunter Passwörter und Email-Adressen? Kennt er jetzt evtl. andere kritische Daten? Wie sieht es zum Beispiel mit den Domains aus, die für den Update-Service eingetragen worden sind? Warum wird das PHPKit benutzt, wenn es offenkundlich Sicherheitslücken hat? Das ist alles nach wie vor sehr befremdlich!

Natürlich, wahrscheinlich kann fast jede dynamische Webseite mit endlichem Aufwand gehackt werden. Nur frage ich mich, wieso es dem Angreifer hier so leicht gemacht wurde, und wie sich das mit der aktiven Teilnahme an einem Projekt wie Bot-Trap.de vereinbaren lässt. Dort geht es um nicht weniger, als ein PHP-Skript auf fremden Server zu platzieren. Da muss die Frage nach der Codesicherheit und der Sorgfalt erlaubt sein, und auf keinen Fall bagatellisiert werden.

Beitrag von **Anonymous** » 23.01.2007, 09:00

In sicherheitsrelevanten Bereichen sollte man nicht mit CMS arbeiten die bekanntlich löchrig wie schweizer Käse sind. Selbst wenn das in diesem Fall möglicherweise folgenlos für uns war.

Für mich fängt eine vernünftige Softwaresecurity damit an dass ich mir nicht jeden Müll auf dem Server installiere. Lass mich raten - phpKit ist ein altes CMS und wird nicht mehr entwickelt. Es benötigt Safe_Mode off und open_basedir on, oder?

Beitrag von **Airport1** » 23.01.2007, 13:38

> Waren darunter Passwörter und Email-Adressen?

Nein. Korizon ist ein EXTERNER Service, quasi ein Aufsatz fuer Bot-Trap Nutzer. So wie es fuer GMail z.B. Aufsaetze/Zusaetze gibt, um GMail als "Festplattenspeicher" zu nutzen..