Scoutnet vzw

Hallo webmasters,

We hebben vastgesteld dat er gisterenavond iemand op het intranet (leidingssite) en admin-gedeelte van onze site is geraakt. Hij/zij heeft niets aangepast en is enkel op de overzichtspagina's van deze geweest.

Tot onze teleurstelling hebben we vastgesteld dat het een Scounet-webmaster is. Hij is de laatste weken enkele keren op onze site geweest, en kwam nu blijkbaar terecht in een afgeschermde zone. We hebben zijn ip, evenals de tijdstippen waarop hij de laatste weken onze site bezocht, welke pagina's en met welke pc-configuratie.

Omdat er niet geraakt is aan bestanden, zijn we niet echt boos, maar er gebeurde wel iets heel merkwaardig met de database waarin de logingegevens staken. Daarom zouden we graag weten wie het was, en wat hij gedaan heeft om op ons intranet te geraken.

Ik zeg het nog eens: we vinden het niet zo erg, maar zouden gewoon graag weten hoe hij er in geslaagd is en of dat de merkwaardige veranderingen aan onze database kan verklaren. Je mag ons -eventueel anoniem- mailen: webteam@scoutsmeerdaal.be. Webmasters helpen webmasters, toch?

Bedankt!

To

Spijtig genoeg is het op de scoutnet server helemaal niet zo moeilijk om files van iemand anders in te lezen (en dan aan paswoorden te geraken). Gelukkig is er, zoals onlangs beloofd, verbetering op komst. Ik ga hier niet uitwijden over de details, want anders vrees ik dat dit dan niet de laatste "hack" poging zal zijn. (fyi, eigenlijk is "cracker" correcter)
Maar ook al is de server niet echt veilig, je zou inderdaad van je medewebmasters zo'n dingen niet verwachten.

Ik denk niet dat iemand eerst bestanden van ons heeft ingelezen. En zelfs als ze een verbinding konden maken met onze database waarin de gegevens steken, dan nog zouden ze niet kunnen inloggen, want de wachtwoorden zijn gecodeerd (md5) opgeslagen in de database. Per toeval de juiste gebruikersnaam en wachtwoord kiezen, lijkt ook erg onwaarschijnlijk. Bovendien was één poging genoeg om op het intranet en één poging om op het admin-gedeelte te geraken genoeg, zo blijkt uit de logs.

De reden dat we willen weten wie het was, is dat er iets ongewoons gebeurde bij dat inloggen: plots werden de login-stats van alle leid(st)ers aangepast. Er wordt namelijk bijgehouden wie wanneer het laatst is ingelogd, en hoeveel keer de leid(st)er al inlogde. De Scoutnet-webmaster die inlogde heeft plots al die gegevens "gereset": alle gebruikers stonden plots op 3 logins en de "laatste keer ingelogd" datum was ook bij iedereen hetzelfde. We zien geen enkele logische verklaring hoe dat kan. Als er toch een beveilingslek zou zijn, willen we dat natuurlijk graag weten.

We hebben nog meer gegevens van de webmaster (oa ip, pc-configuratie en de links vanwaar hij op onze site terechtkwam - steevast topics van dit forum), maar die geven we om privacy-redenen niet.

Kan de persoon in kwestie zich bij ons melden? Bedankt!

To

Hetgeen Scoutnet onderscheidt van andere providers, is inderdaad het vertrouwen dat je kan hebben in de webmasters. Er worden geregeld beveiligingsproblemen gemeld en we proberen daar zoveel mogelijk aan te verhelpen. Dit verloopt soms moeizaam, omwille van historische situaties en/of gebrek aan middelen, maar het lukt wel. Ook bovenstaand probleem is reeds lang gekend maar wordt op zeer korte termijn verholpen. Ik vertrouw erop dat dit incident 'in den minne' wordt opgelost.

Jan

@jan: Waar zit dan het probleem dat zoiets mogelijk is?

@to: Hoe heb je al die zaken over de hacker te weten gekomen (dat het aan scoutnet-webmaster is, via het forum kwam etc...)

Geert

Aangezien hij bij alles direct is binnen geraakt, 1 poging om op intranet en 1 poging om admin binnen te geraken, is het dan niet mogelijk dat er gewoon bij jullie ergens een lek is? Eventueel een bestandje op uw pc waar paswoorden enz... instaan en dat hij via daar is geraakt? Eventueel iemand van medeleiding die ne goeie gok heeft gedaan?

Ik kan me niet inbeelden dat je, als je site + database hackt maar 1 poging nodig hebt om binnen te geraken en niets veranderd buiten alles reseten. Oftewel zijde dan ne prutser (wat volgens mij dan wel is) en hebt ge via via paswoorden enz... gekregen of is er een megagat in jullie site.

En ik begrijp trouwens niet waarom jullie zijn gegevens niet geven? Iemand die al alles wilt reseten kan even goed alles deleten, dat is geen probleem hé

Uit de logs van onze site. Aangezien (per ongeluk?) de login-datum van alle leiding werd aangepast naar één en hetzelfde datum & uur (23u27), zijn we daar gaan kijken in de logs. Er bleken op dat moment 2 mensen op de site: iemand die foto's aan het bekijken was, en iemand die naar de homepage was gesurft vanop dit forum (de "form-link" staat ook in de logfiles). Precies om 23u27(13s) werd ingelogd op het intranet, en nadien op het admin-gedeelte. Het moment waarop ook de vreemde aanpassingen in de leidingstabel gebeurde.

Doomer, gaat het om een algemene beveiligingsfout van Scoutnet? Ik heb niet de indruk dat wij er iets konden aan doen. (Kan je eventueel ook eens in de algemene logs van Scoutnet gaan kijken; naar 't schijnt moeten jullie kunnen zien onder welke loginnaam er is ingelogd vermits het inloggen gebeurt met een session)


De wachtwoorden zijn strikt persoonlijk; zelfs ik kan ze niet achterhalen of ken ze niet. De leiding heeft ze zelf gekozen bij een eerste login (registratie) adhv een persoonlijke registratiecode. De medeleiding kan het niet geweest zijn, want zoals gezegd blijkt het een Scoutnet-webmaster te zijn. Ik ben de enigste leider van onze groep die in de Scoutnet-community zit. Bovendien blijkt (adhv het ip) dat de persoon via Telenet surfte en vermoedelijk uit Antwerpen komt (op basis van IP Locator).

Nog aan Doomer: ik wil dit zeker niet opblazen. We vragen ons alleen af hoe zoiets kan, en vooral: of/wat we er kunnen aan doen.

To

To,

om te beginnen ben ik al zeker niet de eerste hacker (voor wat da woord nog waard is), maar na je post ben ik ook is een kijkje gaan nemen, en zat toch ook vrij rap op je intranet.
Veel kan ik er op het eerste zicht niet aanpassen buiten de gegevens van Vanderlinden Steven (als ik deze naam moet deleten nadat je het gelezen heb zeg je het maar).

Kan je eens kijken of er in je logs +/- het zelfde fenomeen is opgetreden, en of er terug van die 'vreemde' aanpassingen gebeurd zijn?

Kan je mij ev. je login script eens sturen, dan kan ik ff meekijken waar het fout kan lopen. (niet dat ik een expert ben, maar ik ben toch binnen geraakt )

Ik zal het nog eens proberen en dan stuur ik je wel exact door hoe het gelukt is (als het me nog een 2e keer lukt) .

ps, hopelijk neem je het me niet kwalijk dat ik op je intranet zit?

Geert

De fout is gevonden (hoop ik toch) en doorgemaild aan To.

Ik denk dat we verdere info hier omtrent beter later geven als alles in orde is?

Geert

Lees :
viewtopic.php?t=423

Ik ben de dader niet, maar ik weet hoe hij het gedaan heeft, en waarom de log laat zien dat iedereen tegelijkertijd is ingelogd.
Filter de ' uit je velden!!!

Ik was dus de 'hacker'...

bekijk mij niet scheef,
ik ken niks van hacken en dergelijke meer af.
Maar wij (de webmasters van http://www.sint-bernadette.be) werden vorige week gewezen op een poortje in ons login-systeem door iemand van onze oudleiding die een SQL-goeroe blijkt te zijn.
Hij wees ons op een fout (die mijn medeleider/webmaster Peider heeft aangekaart hierboven en in een aparte topic).
Omdat wij het niet meteen 'veilig' vonden om deze know-how te verspreiden wilden wij eerder de mensen persoonlijk verwittigen door enkele sites van scoutnet te testen op deze bug in hun php-code.

Bij scouts Meerdaal bleek alles veilig, want ik geraakte niet op het intranet, maar achteraf bleek de database van de logs wel gereset.
(zonder mijn medeweten).
Daarom was ik me van geen kwaad bewust en heb ik ze niet kunnen verwittigen.
Ondertussen is To op de hoogte gebracht van de fout (via mail en via de topic) en is de bug verleden tijd.

Ik raad iedereen aan
viewtopic.php?t=423
zeker te lezen en aanpassingen te doen in alles wat te maken heeft met database-SQL-toepassingen (inschrijvingsformulieren, registratiepagina's enzovoort).
Het resetten van de database is maar één van de weinige en minst erge dingen die men kan doen als de ' blijven toegelaten worden in je scripts.

ThDC

_________________
- O Lord, raise me to Thy right hand -
- and count me among Thy Saints! -

Dit was alvast niet de manier dat ik bij To (scoutsmeerdaal) ben binnengeraakt. Aanpassingen in de database zal ik ook niet kunnen doen hebben.

Zou dit alles niet opgelost zijn als magic_quotes op on staat in de phpconfig?

Ja
viewtopic.php?t=387&highlight=addslashes
zoals hopla al zei...

_________________
- O Lord, raise me to Thy right hand -
- and count me among Thy Saints! -