Zum Inhalt wechseln


Foto

Animeboard hacked?


This topic has been archived. This means that you cannot reply to this topic.
29 replies to this topic

#1 LordN

LordN

    MACOnvention

  • Mitglieder
  • 1941 Beiträge:

Geschrieben 4. May 2006 - 16:13

hallo @admins

es wäre nett wenn ihr euch der sache annehmen könntet.

ich kann es natürlich nicht sicher bestätigen ob das ganze nur ein verdacht/hoax oder etwas ernstzunehmendes ist, aber ich rate euch dringend das board off zu nehmen und eingehend zu überprüfen, um eventuellen schaden zu begrenzen.

wenn sich alles als unproblematisch herausstellt, dann bitte ich jedoch um ein statement.

lg

#2 The_Patient

The_Patient

    ( ͡° ͜ʖ ͡°) pls no copy pasterino ( ͡° ͜ʖ ͡°)

  • Administrator
  • 9596 Beiträge:

Geschrieben 4. May 2006 - 16:34

und woher kommt deine Vermutung?
Ich mein unabhängig von dem, was deine Vermutung jetzt zu diesem Post veranlasst hat, aber mir kommt das auch komisch vor:
Gestern hatte ich auch die Annahme gehabt, dass das Animeboard gehackt worden ist, da ich (aus welchem Grund auch immer) immer eine Virusmeldung bekam, wenn ich die Seite aufgerufen habe. Und das war nicht bei mir so, das war bei jedem in meiner Klasse. Egal wer auf die Seite ging, kam eine Virusmeldung. Nach einer Stunde ist jedoch alles wieder weggewesen, deswegen habe ich mir auch gedacht, dass ich mich vielleicht getäuscht habe und nur im schulinternen Netzwerk der Virus sich befand. Die Datei verwies auf irgendeine Seite im Internet, die eigentlich keinen Sinn ergab.

Bin ich eigentlich der einzige gewesen, dem das passiert ist?

was Gott bei Nietzsche ist, sind die Admins/Mods im Animeboard, ausgenommen der Kiv, der mir so vorkommt wie der eine Japaner aus dem Bud Spencer Film der seit dem WW2 auf einer Insel alleine stationiert war und ihn keiner darüber informiert hat dass deR Krieg schon aus ist :D


#3 LordN

LordN

    MACOnvention

  • Mitglieder
  • 1941 Beiträge:

Geschrieben 4. May 2006 - 17:11

ich wollte eigentlich nicht unnötig panik machen, sondern einfach mal eine anfrage stellen m-moji.gif

aber um meinen verdacht zu untermauern:

im animeboard quelltext finden sich einige objekte, die nicht unmittelbar mit animeboard.at zutun haben.

unter anderem eine url zu skegnessholidays.co.uk, die über einen iframe geladen wird. es liegt der verdacht nahe, dass es sich hierbei um unerwünschten code handelt (sofern von animanga nichts anderes mitgeteilt wird, nehme ich dies sehr stark an!)


was heißt das jetzt für die user

bei jedem aufruf von animeboard.at wird auch diese url besucht (bei jedem aufruf von animeboard.at). dabei wird eine wmf grafik heruntergeladen, die den windows wmf exploit ausnutzt. (es ist dabei egal, ob man den IE oder firefox als browser verwendet, nur unter linux sollte der exploit nicht funktionieren)

dieses wmf file enthält speziellen code, der ohne wissen des users ein java paket installiert (ich glaube in dieser reihenfolge macht es das, genau bin ich mir nicht sicher)

auf jeden fall wird das paket dann ausgeführt unter lokalen userrechten. was dieses paket tut weiß ich nicht oder konnte ich nicht herausfinden, die vermutung liegt sehr nahe, dass es sich um einen trojaner oder sonstigen virus handelt.


was kann als user passieren chirol_gurug.gif

trojaner können relativ großen schaden anrichten, man denke beispielsweise an den klau von pins, tans (ebanking), passwörtern, wichtigen dokumenten. natürlich ist auch eine löschung wichtiger daten denkbar, bzw. einfach die volle kontrolle über das system.


ich würde also JEDEM USER DRINGEND raten, einen intensiven und aktuellen virenscan über sein system laufen zu lassen, wenn er animeboard.at besucht hat. ich habe leider selbst das problem, noch nix konkretes gefunden zu haben, obwohl das programm bereits auf meinem rechner gelandet ist, daher bin ich noch immer am suchen.
chirol_ehe.gif


diese information stellt keinen anspruch auf korrektheit und basiert auf einigen vermutungen und annahmen, die ich unter berücksichtung unvollständiger (bzw. mir nicht oder nur teilweise zur verfügung stehender) informationen getroffen habe. sollten meine vermutungen nicht korrekt sein, dann werde ich mich entschuldigen; sollten sie sich bewahrheiten, bitte ich - im sinne davon, dass nicht alle 2000 animeboard user durch den besuch dieses boards mit viren verseucht werden - darum, dass sich ein admin um die sache schnellstmöglichst kümmert.

#4 The_Patient

The_Patient

    ( ͡° ͜ʖ ͡°) pls no copy pasterino ( ͡° ͜ʖ ͡°)

  • Administrator
  • 9596 Beiträge:

Geschrieben 4. May 2006 - 17:13

Genau das habe ich gemeint :D

was Gott bei Nietzsche ist, sind die Admins/Mods im Animeboard, ausgenommen der Kiv, der mir so vorkommt wie der eine Japaner aus dem Bud Spencer Film der seit dem WW2 auf einer Insel alleine stationiert war und ihn keiner darüber informiert hat dass deR Krieg schon aus ist :D


#5 Dreizehn

Dreizehn

    Irrlicht

  • Moderatoren
  • 7357 Beiträge:

Geschrieben 4. May 2006 - 19:17

Um welche Uhrzeit war diese Virusmeldung?

Welche(n) Virenscanner verwendet ihr?

Bei mir hat Antivir (natürlich upgedated) nix angezeigt.


Als Gott hat man bedauerlicherweise niemanden, zu dem man beten kann.


#6 Opa Hino

Opa Hino

    Der Alte vom Berge

  • Administrator
  • 3719 Beiträge:

Geschrieben 5. May 2006 - 00:54

Es wurde tatsächlich Code eingeschleust, der aber unseren Nachforschungen nach nicht aktiv war.
Die Sicherheitslücke wurde gefixed, der Verursacher aus dem Board entfernt.
Bei der Gelegenheit wurde auch gleich ein Update der Boardsoftware durchgeführt, was dann etwas länger gedauert hat. Leider ist dadurch auch der Skin in Mittleidenschaft gezogen worden, das wird demnächst in Ordnung gebracht.
Die Virenmeldungen sind für uns nicht nachvollziehbar (von 4 aktuellen Scannern hat kein einziger angeschlagen), wir ersuchen die Betroffenen, uns per PM mitzuteilen welchen Scanner sie verwenden und (wenn möglich) die Logs mitzuschicken.
Wir entschuldigen uns für die entstandenen Unannehmlichkeiten und bedanken uns bei den Usern für die Hinweise.
„Ich bin der eine Nigger aus 10.000.“

#7 keiko

keiko

    Gläserner Mensch

  • Mitglieder
  • 7025 Beiträge:

Geschrieben 5. May 2006 - 06:36

ich weiß jetzt nicht ob dass was damit zu tun hat~

am wochenende hab ich auf den üblichen seiten gesurft (nein, kein pron :) )
unter anderem auch animeboard.at

mein scanner (NOD32) hat des öfteren angeschlagen und mir gemeldet, dass ein trojaner aktiv ist, herkunft war impotato.com oder so ähnlich.
nach ein paar stunden kam keine meldung mehr. wie gesagt ,ich weiß nicht ob das was damit zu tun hat..

"Facebook ist Stasi auf freiwilliger Basis."
- Michael Niavarani


Ayugos Ausflug in die deutsche Grammatik
(neu neu neu! 14. Nov 2009)

(re-up 5. Mai 2014)

"Our cafe was the very first maid cafe in europe and is existing since many years as service for conventions in austria."

Leider offline - oh noes! Zum Glück gibts ja die waybackmachine

The Best Of ICHIGO - You can't miss it!
Alternativ auch hier: Klick
[update! 22.04.09]

[re-up 05.05.2014]



ichiquote.png

 


#8 The_Patient

The_Patient

    ( ͡° ͜ʖ ͡°) pls no copy pasterino ( ͡° ͜ʖ ͡°)

  • Administrator
  • 9596 Beiträge:

Geschrieben 5. May 2006 - 09:46

ZITAT(Opa Hino @ 5. May 2006, 01:54) Beitrag anzeigen

Die Virenmeldungen sind für uns nicht nachvollziehbar (von 4 aktuellen Scannern hat kein einziger angeschlagen), wir ersuchen die Betroffenen, uns per PM mitzuteilen welchen Scanner sie verwenden und (wenn möglich) die Logs mitzuschicken.

An wen soll ich die logs schicken?

Bei mir wurde der Virus MS06-001.WMF gefunden.

Virenbeschreibung: klick

was Gott bei Nietzsche ist, sind die Admins/Mods im Animeboard, ausgenommen der Kiv, der mir so vorkommt wie der eine Japaner aus dem Bud Spencer Film der seit dem WW2 auf einer Insel alleine stationiert war und ihn keiner darüber informiert hat dass deR Krieg schon aus ist :D


#9 Opa Hino

Opa Hino

    Der Alte vom Berge

  • Administrator
  • 3719 Beiträge:

Geschrieben 5. May 2006 - 10:00

Logs an mich bitte.
„Ich bin der eine Nigger aus 10.000.“

#10 tachibana_guy

tachibana_guy

    Godlike Otaku

  • Mitglieder
  • 7177 Beiträge:

Geschrieben 5. May 2006 - 10:27

blöde frage, aber was macht dieser code eigendlich?

ich mine, ich hab eh den netzwerkzugang unter windows immer deaktiviert (ins internet kommt nur linux und silan) aber trotzdem.


#11 keiko

keiko

    Gläserner Mensch

  • Mitglieder
  • 7025 Beiträge:

Geschrieben 5. May 2006 - 10:41

ZITAT
Die Sicherheitslücke wurde gefixed, der Verursacher aus dem Board entfernt.



Der Hacker ist bekannt? Wie ist das möglich?

"Facebook ist Stasi auf freiwilliger Basis."
- Michael Niavarani


Ayugos Ausflug in die deutsche Grammatik
(neu neu neu! 14. Nov 2009)

(re-up 5. Mai 2014)

"Our cafe was the very first maid cafe in europe and is existing since many years as service for conventions in austria."

Leider offline - oh noes! Zum Glück gibts ja die waybackmachine

The Best Of ICHIGO - You can't miss it!
Alternativ auch hier: Klick
[update! 22.04.09]

[re-up 05.05.2014]



ichiquote.png

 


#12 The_Patient

The_Patient

    ( ͡° ͜ʖ ͡°) pls no copy pasterino ( ͡° ͜ʖ ͡°)

  • Administrator
  • 9596 Beiträge:

Geschrieben 5. May 2006 - 10:53

ZITAT(keiko @ 5. May 2006, 11:41) Beitrag anzeigen

Der Hacker ist bekannt? Wie ist das möglich?

Die Datei, die den Schaden verursacht hat, wurde entfernt.
Der Hacker würde ja nicht seine Spuren hinterlassen.

was Gott bei Nietzsche ist, sind die Admins/Mods im Animeboard, ausgenommen der Kiv, der mir so vorkommt wie der eine Japaner aus dem Bud Spencer Film der seit dem WW2 auf einer Insel alleine stationiert war und ihn keiner darüber informiert hat dass deR Krieg schon aus ist :D


#13 smashIt

smashIt

    Wasabi Vernichter

  • Mitglieder
  • 1671 Beiträge:

Geschrieben 5. May 2006 - 13:31

ZITAT(Opa Hino @ 5. May 2006, 01:54) Beitrag anzeigen

Bei der Gelegenheit wurde auch gleich ein Update der Boardsoftware durchgeführt, was dann etwas länger gedauert hat.


ich hoff ich trüb deine freude über das update nicht, aber seit gestern is 2.1.6 draußen XD

ZITAT
Invision Power Board 2.1.6 is a maintenance release which consolidates the recent security updates and fixes two potential vulnerabilities where a moderator with topic deletion permission could force an SQL injection. IPB 2.1.6 also features an improved "IPB Update Available" notification system which includes a new image when a security update is released and an interal build number to make it easier to determine which updates need to be made.

Ordnung ist etwas für Kleingeister, das Genie überblickt das Chaos!

IPB Image

meine Medien-Liste

#14 The_Patient

The_Patient

    ( ͡° ͜ʖ ͡°) pls no copy pasterino ( ͡° ͜ʖ ͡°)

  • Administrator
  • 9596 Beiträge:

Geschrieben 5. May 2006 - 13:37

Naja, wie schon der Nagawa gesagt hat, so viel sollte man dann auch nicht mehr am Board einstellen, wenn der Serverumzug geplannt ist.

was Gott bei Nietzsche ist, sind die Admins/Mods im Animeboard, ausgenommen der Kiv, der mir so vorkommt wie der eine Japaner aus dem Bud Spencer Film der seit dem WW2 auf einer Insel alleine stationiert war und ihn keiner darüber informiert hat dass deR Krieg schon aus ist :D


#15 Opa Hino

Opa Hino

    Der Alte vom Berge

  • Administrator
  • 3719 Beiträge:

Geschrieben 5. May 2006 - 16:08

ZITAT
blöde frage, aber was macht dieser code eigendlich?

So wie er eingebaut wurde: garnix
Theoretisch hätte ein Iframe-Exploit draus werden können, aber soweit ist er nicht gekommen.
ZITAT
Der Hacker ist bekannt?

Bekannt genug, um ihn zu bannen
ZITAT
Wie ist das möglich?

Betriebsgeheimnis chirol_ehe.gif
ZITAT
Die Datei, die den Schaden verursacht hat, wurde entfernt.

Der Code, genaugenommen. Auf der Seite wohin der Link führte war auch nix verdächtiges.
ZITAT
Der Hacker würde ja nicht seine Spuren hinterlassen.

Doch, er hat. Sooo clever war er nun auch wieder nicht.
ZITAT
Ich hoff ich trüb deine freude über das update nicht, aber seit gestern is 2.1.6 draußen

Das hier *ist* 2.1.6 - wird nur falsch angezeigt.

„Ich bin der eine Nigger aus 10.000.“

#16 The_Patient

The_Patient

    ( ͡° ͜ʖ ͡°) pls no copy pasterino ( ͡° ͜ʖ ͡°)

  • Administrator
  • 9596 Beiträge:

Geschrieben 5. May 2006 - 16:31

Interessant o_O
Der User ist also in diesem Forum registriert.

War eigentlich mein Log hilfreich?

was Gott bei Nietzsche ist, sind die Admins/Mods im Animeboard, ausgenommen der Kiv, der mir so vorkommt wie der eine Japaner aus dem Bud Spencer Film der seit dem WW2 auf einer Insel alleine stationiert war und ihn keiner darüber informiert hat dass deR Krieg schon aus ist :D


#17 Greedence

Greedence

    "Godfather of Hardcore Dancing on DDR" laut leckse

  • Mitglieder
  • 2499 Beiträge:

Geschrieben 5. May 2006 - 18:58

Ich schätze Opa meinte das eher mit User = "Mensch der das Board benutzt hat" -> != Is registriert

Dieser Beitrag wurde von Greedence bearbeitet: 5. May 2006 - 19:00

<a href="http://www.kasu.at" target="_blank"><img src="http://verena-koehle...kasu_small.jpg" border="0" alt="" /></a>

Es ist leichter sein eigenes Unvermögen, sein Versagen auf andere zu schieben
als sich sein eignes Scheitern einzugestehen und zu stellen

"Watashi wa Manga <!--coloro:#FF0000--><span style="color:#FF0000"><!--/coloro-->desu<!--colorc--></span><!--/colorc-->" - Grammar it works, bitches (meaning is still missing ... ? )

#18 LordN

LordN

    MACOnvention

  • Mitglieder
  • 1941 Beiträge:

Geschrieben 5. May 2006 - 19:30

ZITAT(Opa Hino @ 5. May 2006, 17:08) Beitrag anzeigen

So wie er eingebaut wurde: garnix


das ist so nicht ganz richtig.

der code wurde ausgeführt. allerdings steckt nach meinen nachvorschungen ein gezieltes system dahinter, dass sich entweder cookies oder ip adressen merkt, damit der code nur ein einziges mal eingeschleust wird.

ich habe es mit drei rechnern getestet und jeweils beim ersten animeboard besuch wurde das wmf geladen und versucht, ein java paket zu installieren. bei allen weiteren nicht. wie die "merkfähige intelligenz" dahinter ist, kann ich leider nicht sagen. vielleicht spielt auch eine zufallszahl/kennung eine rolle, vielleicht eine spezielle userid. alles ist möglich, code wurde jedoch ausgeführt.

ich werde versuchen euch logs zukommen zu lassen bzw auch einen link zu den dateien die ausgeführt werden bzw. zu dem wmf das den schadhaften code enthält, sofern ich wieder zu hause bin. (sitze gerade im zug)

#19 keiko

keiko

    Gläserner Mensch

  • Mitglieder
  • 7025 Beiträge:

Geschrieben 5. May 2006 - 20:31

ZITAT
Ich schätze Opa meinte das eher mit User = "Mensch der das Board benutzt hat" -> != Is registriert


Wenn er gebannt wurde, muss er ja registriert gewesen sein...imho

"Facebook ist Stasi auf freiwilliger Basis."
- Michael Niavarani


Ayugos Ausflug in die deutsche Grammatik
(neu neu neu! 14. Nov 2009)

(re-up 5. Mai 2014)

"Our cafe was the very first maid cafe in europe and is existing since many years as service for conventions in austria."

Leider offline - oh noes! Zum Glück gibts ja die waybackmachine

The Best Of ICHIGO - You can't miss it!
Alternativ auch hier: Klick
[update! 22.04.09]

[re-up 05.05.2014]



ichiquote.png

 


#20 Chrono

Chrono

    Austrian Otaku of the Year 2003

  • Mitglieder
  • 15056 Beiträge:

Geschrieben 5. May 2006 - 20:40

ZITAT(keiko @ 5. May 2006, 21:31) Beitrag anzeigen

Wenn er gebannt wurde, muss er ja registriert gewesen sein...imho


man kann IP adressen, mac adressen und sogar ganze länder blocken :P
Ich mach auf künstlich interessiert und N.... denken ich bin nett, doch wenn ich fertig bin mit r.... sieht dein L.... aus wie Kotelett, F... !




Stay General, Frosty mein Blog kimi's Blog