Mephisto
Chemicus Diabolicus
Posts: 294
Registered: 24-8-2002
Location: Germany
Member Is Offline
Mood: swinging
|
|
Versuchschemie was hacked (German forum down)
The biggest German chemistry forum "Versuchschemie" is temporary offline. Here's a German message from the forum administrator Hartmut to his members:
*****
Hallo liebe VC-User und -besucher!
Leider ist es heute passiert und Versuchschemie.de wurde gehackt.
Obwohl diese Formulierung unsicher ist: der Server, auf dem VC gehostet ist, wurde gehackt. Nach Rücksprache mit meinem Hostmaster schon gegen heute
Mittag und vermutlich von einem automatischen Script aus. Es wurden auf dem gesamten Server alle die Dateien geleert oder gelöscht, die etwa "index",
"log" usw. im Namen haben. So wurden auch die Apache-Logs des Servers gelöscht, wodurch wir nicht mehr feststellen können, wie genau, mit welcher IP
und über welchen Kunden-Account das Script eingebrochen ist. Ich hätte mich wenigstens gefreut, noch feststellen zu können, daß nicht VC das
Einfallstor war. Denn ich habe in den vier Jahren meiner Administration ganz besonderen Wert auf Hack-Sicherheit gelegt und erst vorgestern die
Firewall noch einmal verschärft. In diesen vier Jahren habe ich mir täglich all die erfolglosen Angriffsversuche in meinen Logfiles angesehen und
ihre Methoden studiert. Deshalb halte ich es für sehr unwahrscheinlich, daß der Angriff auf den Server über unser VC erfolgt sein kann.
Genau hier liegen die Risiken des sogenannten shared-hosting. Ein einziger von hundert Kundenaccounts (hier etwa 30), der mit unsicheren PHP-Scripten
arbeitet, kann Einfallstor zur Kompromittierung des kompletten Servers werden. Wer es schafft, auf das Web eines einzigen Kunden zuzugreifen, kann in
der Regel auch dessen sogenannten Document-Root verlassen und damit auf Datei-Ebene in alle anderen Document-Roots eindringen, sogar tief in den
Server bis zur Ebene Root "/". Auch in diesem Fall hatte das Hack-Script oder hatten die Hacker offenbar Root-Rechte auf dem Server erlangt, so daß
auch der Mail-Server nicht mehr funktionierte, es ist/war also der komplette Server kompromittiert.
Die Gefahren des shared-hosting haben mich all die Jahre schon beunruhigt, die Beseitigung dieser Gefahr wäre ein eigener Server, also ein eigenes
Gerät mit eigenem Linux/Apache usw...
Ich konnte all die Jahre zuverlässig die laufenden Kosten für VC aufbringen, nicht jedoch für eine eigene Maschine und die damit verbundenen
zusätzlichen Strom-Kosten pro Jahr. Den Platz dafür hätte mein Hostmaster durchaus noch zur Verfügung gehabt (19 Zoll, 1 Höheneinheit).
Liebe User, Ihr wißt, daß ich all die Jahre keine Überwindung fand, Euch um Unterstützung zu bitten. Jetzt aber muß ich mir einen Ruck geben und
bitte die erwachsenen, finanziell gut gestellten User unter Euch, Geld für ein eigenes Server-Gerät zusammenzulegen. Die Kosten für ein gebrauchtes
Gerät, beispielsweise über Ebay, lägen - bei unseren Leistungsanforderungen - bei einigen hundert Euro. Darüber könnte man sich dann im Forum
absprechen.
Zur vorläufigen Schadensbilanz:
Wie gesagt, wurden auf dem gesamten Server alle Dateien mit einem bestimmten Dateinamens-Schema geleert, also auch bei VC. Mit einiger
Wahrscheinlichkeit könnte es sich um eine arabische Hacker-Gruppe handeln, die von den betroffenen Hosmastern offenbar Geld für die Revision des
Hacks erpressen will.
Bis auf die genannten Dateien scheinen alle anderen unversehrt zu sein. Ein letztes File-Backup von mir liegt schon lange zurück, es werden aber
maximal nur wenige neue Änderungen von mir nicht mehr rekonstruierbar sein.
Das wichtigste aber: Die MySQL-Datenbank von VC ist unversehrt, aktuell nochmal gesichert und auf meinen PC heruntergeladen, das Forum ist also bis
zum allerneuesten Posting komplett! (Beim Hack meines Admin-Vorgängers im Jahr 2004 hatte der Angreifer auch die Datenbank komplett gelöscht). Dies
wäre für einen Hacker mit Zugriff auf Dateiebene aber auch nicht einfach gewesen, weil ich das Datenbank-Passwort in der config.php verschlüsselt
hatte (normalerweise steht es im Klartext in dieser Datei).
Als nächstes werde ich alle Files herunterladen und mühsam nach möglichen eingetragenen Backdoors oder auffälligem Änderungsdatum untersuchen.
Von den geleerten Dateien habe ich Backups auf meinem Computer, auch wenn die möglicherweise nicht mehr auf dem neuesten Stand sind. Ich berate mich
mit dem Hostmaster, was zu tun ist. Die Datenbank-Tabellen mit den Privaten Nachrichten werde ich auf dem Server vorsichtshalber komplett leeren. Es
gäbe nun folgende Möglichkeiten:
- VC wieder online schalten, nachdem alles gebackupt ist. In diesem Fall könnte VC erneut beschädigt werden, falls die Hacker noch Zugriff oder
erneuten Zugriff auf den Server bekommen. Dann müßten nach einer erneuten Beschädigung die Backups eben wieder hochgeladen werden. Die Datenbank
selbst ist für Hacker so gut wie unknackbar, eben weil in keiner Datei das DB-Passwort im Klartext steht. Und selbst wenn sie knackbar wäre, sind
die Passwörter der User ebenfalls verschlüsselt gespeichert und könnten nicht einmal von mir selbst in Klartext umgewandelt werden, geschweige denn
von einem Fremden.
- Ich warte mit dem Online-Stellen von VC lieber noch ab und richte vorläufig eine Sammelstelle für die User woanders im Internet ein, solange nicht
sicher ist, daß in der Server-Software selbst oder in anderen Kundenaccounts immernoch Backdoors oder erneute Einbruchsgefahren bestehen.
Für was auch immer ich mich entscheide, ich versuche alles, um Euch den Verzicht auf unser geliebtes VC so kurz wie möglich zuhalten! Aktuelle
Informationen bekommt ihr immer beim Aufruf der Domain!
Bitte rechnet nicht gerade mit Minuten, zumal das Sichern der Dateien vom Server über DSL die ganze Nacht dauern kann. Frühestens wenn alle Dateien
auf meinem Computer gesichert sind, würde ich den Zugriff auf VC-Dateien (außer der, die Ihr gerade lest) via HTTP wieder erlauben.
Bis bald!
Euer Hartmut!
Regensburg, 02.Oktober 2008
*****
So don't worry the MySQL-database was backuped.
A German speaking thread could be continued here in the German speaking LambdaForum.
I think this belongs here, because many members of Versuchschemie are active at Sciencemadness too and they don't know what is going on since the
server message says just "hacked by ahmadbady".
Edit: It seems that they have control of their server, as it shows now the message above. So hopefully we will not need this thread
anymore. But it is interesting: make a Google search with "hacked by ahmadbady" and you will see how many sites were hacked by this guy or
group.
[Edited on 3-10-2008 by Mephisto]
|
|
|
chief
National Hazard
Posts: 630
Registered: 19-7-2007
Member Is Offline
Mood: No Mood
|
|
They deserve it !
==> 1st their software _has_ bugs, like eg. the user-registration-procedure, which demands maybe 5 attempts, before _it_ gets it right
==> 2nd there was a time (maybe 1 year ago) when they would proxy everything, so even quite a while after leaving their website (from a link of
there) they would still know where you did surf and for what ! I didn't realize this at the first instant, but after a while, when their proxy-script
had bugs and didn't get some sort of links right I would notice, from the url, what the cause was ...
|
|
|
Mephisto
Chemicus Diabolicus
Posts: 294
Registered: 24-8-2002
Location: Germany
Member Is Offline
Mood: swinging
|
|
Versuchschemie is back and online now. Happily we have the German unity day (a national holiday) today, so the admin could do a lot
of work around the server.
It seems that the hacker was from Iran, so no prosecution would be possible.
@chief: To proxify the internet communication as long as you were logged in was a security feature there. And surely they didn't deserve it to be
hacked.
[Edited on 3-10-2008 by Mephisto]
|
|
|
Formatik
National Hazard
Posts: 927
Registered: 25-3-2008
Member Is Offline
Mood: equilibrium
|
|
Good to hear it's back up.
|
|
|
chief
National Hazard
Posts: 630
Registered: 19-7-2007
Member Is Offline
Mood: No Mood
|
|
Still: They did sniff upon user-behaviour by proxying ; that ought not to be ! I never turned back to them, and I distrust them.
The exact sniffing-mechanism was like this:
==> you would find a link there, to maybe sciencemadness or roguesci (these were examples that I remember I followed)
==> you would follow this link, read around there, maybe post
==> the url in you browser would be: http://versuchschemie ...something ...?url=sciencemadness/roguesci or something like that
==> but you would not notice that, except if you looked into the url-line of your browser
==> so everything was redirected via their site, your IP would end up in their weblog (at least !; if they didn't log everything, which one might
assume they did), also that you had visited roguesci, what you looked for and what you maybe posted there ...
==> it also would follow any further links, maybe after you left roguesci or sciencemadness for third links and so on !
All that stuff, that just is none of their busines, and it ended up logged under german law-territory, ready to be abused by the authorities there ...
That I didn't notice, using their site, until their stupid script failed to deliver some sort of links correctly, whatupon I would look at the url and
try to hack my way through it (as I was a programmer since the mid-1990's and know the web-techniques; therefrom I also know what I observed at that
said forum).
I'm also sure that someone else probably may have seen this, for it occured during quite a timeframe; maybe even it can be reconstructed from the
serverlogs of sciencemadness here,just run a
==> grep "versuchschemie" upon the (uncompressed) logfiles, and you might see ...
[Edited on 6-10-2008 by chief]
|
|
|
|
![[*]](images/xpblue/default_icon.gif){kind=icon}
