traurig wie manche leute sich am leid anderer aufgeilen. ohhh wow ich hab ne seite gehackt... woaa... held !

Das ist sehr schade, ich wünsche den Kollegen alles gute, dass der Schaden schnell wieder Repariert ist.

schön ist das sicher nicht nur das hacker nie wirklich was kaputt machen. sie kommen schauen hinterlassen eine info und sind sofort wieder weg.
das fällt sicher eher in die sparte der script kiddies oder cracker . . . also immer den feinen unterschied wahren

Nicht kaputt machen? Die haben alle Indexseiten gelöscht. Was meinst du wie sauer die Sponsoren von denen sind die die ganzen Preise zur Verfügung gestellt haben? Die wollen sich ja täglich online sehen.

Karl
Ich glaube, was iAlex meint ist, dass der Begriff "Hacker" nicht stimmt. Hacker sind im Allgemeinen gutartig, im Gegensatz zu Crackern - aber leider kennen die wenigsten Leute diesen Unterschied.

tja, guten Zeitpunkt gewählt, was?

Ich verurteile diesen Angriff auch aufs schärfste!


Gruss

RETRAX

www.retrax.de

Macally(.de) wurde auch von denen gehackt. Jedenfalls stand dort das gleiche wie bei MacMotion.

oh man, Hacker sind das letzte!!

Nicht jammern, sondern veröffentlichen, wie der Angriff geschehen konnte. Obwohl ich solche "script kiddies" verurteile hält sich mein Mitleid in Grenzen, wenn Admins unsichere Software einsetzen.

justme hat da völlig recht. Schließlich ist es auch mehr relativ wenig Aufwand möglich, einen www-Server zu schützen. Haben die etwa Windows benutzt?

Auf welchen Systemen laufen den die Seiten von macmotion.de. Wäre ja traurig, wenn das nicht Mac Server sondern was anderes oder gar Win wäre, oder? Alle updates installiert?

Kommt mir auch wie ein Kindergarten vor . Auch wenn sie es nicht so gesichert haben, frage ich was das soll von diesen scripskids,hacker und konsorten... entweder kindergarten oder krimielle.

Das sagt netcraft:
The site www.macmotion.de is running Apache/1.3.26 (Linux/SuSE) mod_ssl/2.8.10 OpenSSL/0.9.6g PHP/4.2.2 on Linux.

macmotion ist bei puretec gehostet (fehler #1) und benutzt ein kostenloses cms (conetnt management system) (fehler #3), weil die macher nicht selbst programmieren können oder wollen (fehler #4)

das cms kann jeder runterladen und darin nach schwachstellen suchen.

fazit: traurig, aber selbst schuld. trotzdem finde ich es nicht gut, dass das leid anderer leute (seitenbetreiber) als newsmeldung ausgeschlachtet wird

lol, ooops. mit dem zählen das muss ich nochmal üben

hacker sind wichtig, sie sorgen für entsprechende sicherheit im netz

solche gewinnspiele oder adventskalender finde ich überflüssig, hat's ja die richtigen getroffen. wenn MTN sowas gemacht hätte, ich hätte euch auch gehackt

nein, spass bei seite, hacken und dann was löschen is nicht die feine art und wird von "richtigen hackern" normal auch nicht gemacht, sowas tun wohl meist ehemalige mitarbeiter...

Hi,

im Zeitalter von Firewalls, jahrerlanger Aufklärung, etc. dürfte sowas eigentlich nicht mehr passieren,....

torzdem,....ich verurteile den Angriff auch aufs Schärftste.....eine Sauerei....:(

Wie schon einige hier erwähnt haben,...den Unterschied Hacker und Cracker nicht verwechseln.

cu

Hallo lola.

Zu Punkt 1: Was hast du gegen Puretec? Hab keine Erfahrung mit diesem Hoster, was spricht gegen ihn?

Zu Punkt 2 und 3:(CMS) Ich nehme an, sie benutzen ein OpenSource-CMS, oder? Wenn sie nicht ein total exotisches genommen haben, dürften doch sicher mehrere Seiten dieses einsetzen? Warum sollte also ein selbstprogrammiertes CMS (Nummer 3) sicherer als ein GPL-CMS sein, obwohl zweites den Blicken von mehreren Programmierern/Admins unterliegt?

Was macht dich so sicher, das es kein Fehler in PHP ist? Oder ein verärgerter Ex-Mitarbeiter?

An mehrere Vorposter: Hier haben mehrere Leute nach fähigen Admins geschrien. Was meint ihr, wie sich die Betreiber einer kostenlose Seite den Admin leisten sollen? Durch die Werbung? Wer ist bereit ein paar Euro im Monat für das Angebot auszugeben, damit sich macmotion einen Admin leisten kann?

Mein Tipp: Konfigurationsfehler der Seite oder Passwort geraten/herausbekommen.

Martin

Korrektur:

Der verärgerte Emoticon hat dort nichts zu suchen. Sollte "Zu Punkt 2 und 3 : (CMS) heissen.

Martin

Lola


Wieso wird hier was ausgeschlachtet? MTN ist ein Newsmelder und wenn sowas passiert ist hat es auch hier was zusuchen.. ober habe ich dich ganz falsch verstanden???

JuergenB danke! wenigstens ein ernstzunehmender kommentar!

Bevor hier alle über den Provider oder das eingesetzte CMS herziehen:

Könnte es sein, dass die Webserver durch die gleiche Sicherheitslücke gehackt wurden, mit der im November auch die Debian Server gehackt wurden? Oder waren "lediglich" die Systeme nicht sauber (=sicher) konfiguriert?

Die Leutz haben allesamt Linux Server verwendet. Allerdings wurde im September ein Bug im Linux Kernel entdeckt. Betroffen sind alle 2.4er Linux Kernel bis einschliesslich 2.4.22 und alle 2.6er Linux Kernel bis einschliesslich 2.6.0-test5. Der Ende November erschienene 2.4.23 Linux Kernel, sowie alle aktuellen 2.6er Testkernel (2.6.0.test6 und neuer) enthalten bereits den Bugfix. Die 2.2er Linux Kernel sind von diesem Fehler nicht betroffen.

Der entdeckte Bug stellte sich im Nachhinein als exploitbare Sicherheitslücke heraus. Nachdem einige Server (z.B. von Debian und Gentoo) durch diese Sicherheitslücke gehackt wurden. Bei Gentoo war zusätzlich noch eine exploit im RSync Daemon ausgenutzt worden.

Debian Investigation Report:

lola

> weil die macher nicht selbst programmieren können oder wollen (fehler #4)

Hm... alles selbst machen zu wollen könnte sich allerdings ebenso als Fehler herausstellen. Lies bei Gelegenheit "The Cathedral and the Bazaar"

martin

ein open source cms ist unsicher, weil es sich jeder laden und nach schwachstellen suchen kann. websites die wert auf sicherheit legen würden niemals ein opensource cms benutzen. einen fehler in php schliesse ich aus, ein solcher "hack" ist mit einem php-fehler nicht realisierbar. da gibts im grunde nur zwei möglichkeiten:

1. jemand kennt die ftp zugangsdaten und hat dateien verändert/gelöscht (zb. ein ex-mitarbeiter). das halte ich allerdings für unwahrscheinlich, weil sich zugangsdaten schnell änder lassen, dann wäre es nicht solange "gehackt".

2. ein bug/sicherheitsloch im cms. (könnte natürlihc auch ein insider sein). wenn ich unterstelle, dass die macmotion macher nicht programmieren können, dann erklärt das den langen zeitraum.

marty

ja, es ist passiert und in dem sinne auch eine newsmeldung. allerdings finde ich, die sache an sich ist schlimm genug und muss nicht unbedingt noch in breiten massen publik gemacht werden. ich denke die macher und user haben genug stress/ärger am hals und müssen nicht auch noch öffentlich vorgeführt werden. etwas harte forumulierung, aber ich hoffe ihr versteht wie ich es meine.


justme

nein, nicht alles alleine machen. aber dan jemanden im team haben oder beauftragen, der sowas kann. (siehe meine meinung über open scource cms weiter oben)

Descartes

das war sicher kein bug oder exploit im linux kernel oder apache. mit solchen angriffen lassen sich eigentlich nur server lahmlegen oder programmcode auf dem server ausführen.

bei macmotion sieht es eher danach aus, dass jemand die dateien (index.html, index.php) usw. geändert hat.

Behelfsweise funktionieren anscheinend folgende Zugänge:

Forum (mit Behelfsindex):

Oder Sherlockchannel:

lola
zu OpenSource CMS:
Quatsch.
Dass Software grundsätzlich fehlerträchtig ist, liegt daran dass diese Software von Leuten geschrieben wird die potenziell Fehler machen. Sind ja auch "nur Menschen".

Deiner pauschalen Argumentation folgend, müsste es sich bei OpenSource Software im allgemeinen und bei OpenSource CMS Software speziellen grundsätzlich um die unsicherste Software überhaupt handeln.

Ein sehr bekanntes CMS System ist ZOPE. Und dort sind mir keine auffällig häufigen Sicherheitsprobleme bekannt.

zu Datenveränderung durch Ex-Mitarbeiter:
Nach einer Auswertung der Provider Logs und einer forensischen Untersuchung des Servers sollte sich der Täter ermitteln lassen -- sofern der oder die Täter nicht professionelle Hacker sind und ihre Spuren entsprechend verschleiert haben. Im Falle eines Ex-Mitarbeiters ist nicht davon auszugehen, dass hier spezielles Hacker Wissen vorhanden ist also sollte die Täter Ermittlung vergleichsweise einfach möglich sein.
Zumindest in DE wäre dies ein Vergehen nach §303a StGB "Datenveränderung" und §303b StGB "Computersabotage" -- aber IANAL.

zu Exploit:
Warum sollte es bei macmotion.de nicht vielleicht doch ein Exploit gewesen sein? Durch einen Exploit der mir ein "privilege escalation" erlaubt, kann ich die volle Kontrolle über den Server erlangen.
BTW: Ich muss keine Dateien verändern. Bei macmotion.de würde es ausreichen, in der Apache Webserver Konfigurationsdatei *eine einzige* Zeile zu editieren und dann mit z.B. nachfolgendem Einzeiler eine eigene index.htm zu erstellen.

$ find . -type d -print | while read DIR ; do echo "You have been rooted by l33t h4x0r" > $DIR/index.htm ; done

karl
=====
Nicht kaputt machen? Die haben alle Indexseiten gelöscht.
=====
Es wurden auf jeden Fall die Dateien "index.html" und "index.php" erstellt bzw. überschrieben.

So etwas sollte sich mit folgendem Einzeiler durchführen lassen:

$ find . -type f \( -name "index.html" -o -name "index.php" \) -print | while read DIR ; do echo "You have been rooted by l33t h4x0r" > $DIR/index.htm ; done

Die "modules.php" existiert weiterhin. Allerdings funktionieren manche Funktionen wie z.B. die Suche oder das Branchenbuch) nicht sondern es wird ebenfalls die Hack Meldung angezeigt.

Scheint also etwas mehr geändert zu sein, als nur die index.php und die index.html

korrektur:

$ find . -type f \( -name "index.html" -o -name "index.php" \) -print | while read DATEI ; do echo "You have been rooted by l33t h4x0r" > $DATEI ; done

lola

> ein open source cms ist unsicher, weil es sich jeder laden und nach schwachstellen suchen kann.

> das war sicher kein bug oder exploit im linux kernel oder apache. mit solchen angriffen lassen sich eigentlich nur server lahmlegen oder programmcode auf dem server ausführen.

[ ] Du hast verstanden.