Wir sind zurück!

Da sind wir wieder! Es hat wohl etwas gedauert, aber es mussten einige Dinge erledigt werden, bevor die Webseite wieder online gehen konnte.

Was ist passiert? Nun, wir wurden gehacked, aus welchem Grund auch immer. Gelöscht wurde quasi alles, was uns aber natürlich nicht davon abgehalten hat, einfach alles wiederherzustellen 😉

Da aber nicht klar war wie der Angreifer reinkam, mussten erstmal der Server, seine Software und die verschiedensten Elemente der Webseite auf Sicherheitslücken geprüpft werden. Sowas dauert dann so seine Zeit.

IMPORTANT! Ändert bitte eure Passwörter! Der Hacker hatte zu allem Zugriff. So auch zur Datenbank die natürlich eure Passwörter enthielt. Sollte ihr das Gleiche Passwort auch woanders nutzen, solltet ihr dringend euer Passwort ändern!

 

Wichtige Infos für euch:

– Die Webseite wurde nun auf einen anderen Webspace ausgelagert und sollte nun sicherer sein

– Das DL-Portal wird noch mind. 2 Wochen Offline sein (Bis dahin gibt es Torrents und OCH Hoster)

– Alle Userpasswörter wurden zurückgesetzt und müssen von euch geändert werden, bevor ihr euch wieder einloggen könnt.

– Die Releases gehen wieder normal weiter. Es wurden keine Arbeitsdaten vernichtet.

 

Solltet ihr nach dem Umzug der Webseite irgendwelche Fehler bemerken, meldet diese bitte. Danke

mfg Sadarex

 

 

16 Antworten

  1. Tronupto sagt:

    Ihr speichert die Passwörter als Klartext? Das alleine ist schon ein Sicherheitsloch. Wenn dem so ist, solltet ihr dies bitte als erstes ändern.

    Ansonsten freue ich mich natürlich wieder von euch zu hören. 🙂

  2. Wishbone sagt:

    Passwörter im Klartext gespeichert? Wer macht so etwas denn noch, wenn ich so etwas bei Firmen abliefere würde ich standrechtlich füsiliert werden. Mindestens hashen sollte man, am besten aber salten und hashen. KatioKid hat da ja schon was gepostet. Stellt schnellstmöglich um, alleine aus der Sicherheit für eure Community heraus.

    Wer übrigens Seiten testen will ob sie ein Passwort unverschlüsselt speichern sollte einfach dort nochmal sein Passwort neu anfordern weil er es vergessen hat. Kommt das alte Passwort ist es nicht verschlüsselt gespeichert.

  3. ph0x sagt:

    Welcome back.
    Ich habe euch so sehr vermisst 😀

  4. Marcel sagt:

    Wo steht denn was von Klartext“ Passwörtern?
    Da steht, er hätte Zugriff gehabt. Selbst mit dem Hash eines Passwortes oder der Art und Weise wie das Paswort durch das Skript in der DB gespeichert wird (Zum Beispiel MD5) lassen diese sich in vielen Fällen relativ einfach ermitteln.

    Es gibt Listen, in denen das Passwort und der dazugehörige Hash drin steht, so lässt sich der Duden schon mal binnen weniger Sekunden komplett abgleichen.

    Besser dran ist, wer wenigstens Ziffernund Sonderzeichen mit drin hat.

    Wie gesagt, ich kann da nichts von Klartext lesen, lediglich dass vollständiger Zugriff auf das System bestand, was Skript und Datenbank nun mal einschließt.

    • Sadarex sagt:

      Wenigstens einer mit etwas Durchblick. Natürlich waren die nicht im Klartext gespeichert. WordPress selbst verschlüsselt die ja schon. Nur ist eine Entschlüsselung heutzutage mit einem vernünftigen PC und der richtigen Software auch recht fix erledigt.

    • Wishbone sagt:

      Wer heutzutage MD5 benutzt gehört um den Block geprügelt und darf sich nicht mehr Informatiker nennen. Dass die Passwörter im Klartext gespeichert wurden impliziert übrigens der Teil mit Passwort auf anderen Seiten ändern. Das zeigt zumindest dass kein Salt genutzt wird, aber legt bei logischem Denken nahe dass man Klartext nutzt.

      Hör bitte auf mit Sonderzeichen, das ist ein Mythos der sich mit einfacher Mathematik widerlegen lässt. Hier gilt eher je länger, je besser. Sonderzeichen sind schön und gut, aber wirklich sicher wird ein Passwort gegen Brute Force erst mit der Länge, egal welche Zeichen ich nutze. Hier ist dann eher interessant welche Zeichen für das Passwort akzeptiert werden. ein Standardzeichensatz in Kleinschreibung umfasst 26 Zeichen. Also wären es entsprechend 26^(Passwortlänge) Möglichkeiten. Hat man hingegen Groß- und Kleinschreibung sind es schon 52^(Passwortlänge). Bevor jetzt einer hyperventiliert, ich rede von einer gescheiterten Wörterbuchattacke und dem darauf folgenden Brute Force Szenario. Sollte man hingegen den gesamten ASCII-8/UTF-8 Spielraum haben sind wir bei 255^(Passwortlänge). Aber bei Bruteforce sind die eingegebenen Zeichen egal da man sowieso jede einzelne Zeichenkombination versucht. Also wäre „Quietscheentchen“ theoretisch genau so sicher wie „JŒ¿ï=I^¾øu¯D{I÷O“.

      Aber was nutzt das philosophieren über Passwörter in einer Welt wo die häufigsten Passwörter über Social Hacking einfach zu erfahren sind oder „1234“, „Sex“, „Gott“ oder „Passwort“ lauten.

      @Sadarex
      Glaub mir, ich hab mehr Durchblick als du ahnst.
      Das zurückrechnen von Passwörtern aus einem Hash mittels eines Wörterbuches versuchen vielleicht Skriptkiddies aber keiner mit Ahnung. Der Aufwand ist zu hoch für den eventuellen Gewinn. Attraktiver sind die hinterlegten Mailadressen und eventuellen Namen, mit diesen Daten kann man gut Geld machen. Vor allem wenn sie verknüpfbar sind mit anderen Daten.
      Beispiel gefällig? Eine normale Adresse mit Telefonnummer kostet um die 50€cent bis zu einem Euro wenn man sie im 1.000er Pack beim Adresshändler kauft. Das sind nur Name, Adresse, Telefonnummer. Kommen jetzt Daten dazu wird der Datensatz wertvoller, zum Beispiel Mailadresse(n), Usernamen in Foren oder bei Sozialen Netzwerken, Kreditkarten, Einkaufsverhalten. Alles Daten die für sich genommen fast wertlos sind werden in der Verknüpfung sehr wertvoll. So ist hier vielleicht eine Verknüpfung zu einem Paypalkonto möglich weil euch der User was gespendet hat. Über das Konto wird er identifizierbar, mit dem Nutzernamen und der hinterlegten Mail hier verknüpft. Den Rest kann jeder der weiter als 2 Meter Feldweg unfallfrei denken kann sich selbst weiterspinnen.

      • Sadarex sagt:

        Wie mein Co-Leader immer so schön sagt:

        ┐( ̄ー ̄)┌

        • Sliver sagt:

          Also das mit den Sonderzeichen kann ich sooo jetzt auch nicht ganz stehen lassen.

          Durch die Sonderzeichen erhöht sich die Menge an Kombinationen die durchprobiert werden müssten.

          Bei a-z, A-Z, 0-9 haben wir 26+26+10 Zeichen also 62 hoch n, wenn wir die Sonderzeichen dazu rechnen sind es nochmal ~28 Zeichen mehr also ungefähr 90 hoch n .

          Aber kein Mensch betreibt BruteForce in diesem Ausmaß. Rainbow-Tables sind wesentlich schneller und effektiver. Mehr brauch man auch nicht solange man nicht gezielt ein bestimmtes Konto knacken will.

          Übrigens: der Salt bringt hier relativ wenig wenn der Angreifer Zugriff auf den Code hatte – und spätestens da steht der Salt drin 😉

    • tronupto sagt:

      Oha so eine riesen Diskussion sollte das eigentlich nicht werden.^^ Es kam mir heute morgen beim Lesen in den Sinn. (war der erste Artikel des Tages =D)
      Wenn dem nicht so ist, um so besser. Es war nicht um sonst als Frage formuliert. 😉

  5. nrg sagt:

    also bezüglich der PW geschichte ..

    @wishbone ich kann ein passwort SICHER verschlüsseln und es trotzdem dir per E-Mail zu senden … es gibt beim verschlüsseln immer 2 arten .. 2-wege verschlüsselt, und one-way .. 2-wege heißt: passwort wird verschlüsselt, kann aber mit den richtigen hash werten wieder entschlüsselt und zu klartext gemacht werden. somit kann ich dir dein pw in klartext schicken und es trotzdem sicher speichern (ja es geht auch 2-wege sicher). am besten ist natürlich die one-way verschlüsselung, aber die muss ich jetzt net erklären, oder? 😀

    aber egal, du weißt das ja sicherlich.

    zum thema selbst: *thumbs up* 😀

    gruß

  6. KaitoKid sagt:

    oO, irgendwie ist dieser Thread zu einer Plauderecke für Kryptologen geworden und irgendwie scheine ich zumindest eine Teilschuld zu tragen…

    @Sadarex: Sorry – das hattest du angesichts der Überschrift sicher nicht erwartet? Ich bin übrigens sehr froh, dass Ihr wieder da seid. Macht weiter so!

  7. Birdy sagt:

    Hab Euch vermisst T_T

  8. Cold sagt:

    Macht einem doch nicht so einen schrecken 😉

    Schön das ihr wieder on seid!

  9. HikiNivek sagt:

    Ach! Da seit ihr ja wieder! 😀 Von irgendwelchen Kiddies gehackt? naja sowas muss man nicht verstehen. x)

  10. darkerfan22 sagt:

    ich hasse hackers. ich würde sie in die hölle reinkicken. ich dachte erst ihr wart aufgelöst (euregruppe) aber das ist ja albekannt bei animeseiten z.b proxer.me auch dauern gehackt…

Schreibe einen Kommentar