Scoutnet vzw

We connect scouts!
Het is momenteel 17 Nov 2024 5:30

Alle tijden zijn UTC + 1 uur




Plaats een nieuw onderwerp Reageren op dit onderwerp  [ 13 berichten ] 
Auteur Bericht
BerichtGeplaatst: 11 Mrt 2004 22:50 
Offline
Site Admin
Site Admin
Gebruikers-avatar

Geregistreerd: 17 Jul 2002 23:00
Berichten: 1522
Woonplaats: Wetteren
Hallo webmasters,

We hebben vastgesteld dat er gisterenavond iemand op het intranet (leidingssite) en admin-gedeelte van onze site is geraakt. Hij/zij heeft niets aangepast en is enkel op de overzichtspagina's van deze geweest.

Tot onze teleurstelling hebben we vastgesteld dat het een Scounet-webmaster is. Hij is de laatste weken enkele keren op onze site geweest, en kwam nu blijkbaar terecht in een afgeschermde zone. We hebben zijn ip, evenals de tijdstippen waarop hij de laatste weken onze site bezocht, welke pagina's en met welke pc-configuratie.

Omdat er niet geraakt is aan bestanden, zijn we niet echt boos, maar er gebeurde wel iets heel merkwaardig met de database waarin de logingegevens staken. Daarom zouden we graag weten wie het was, en wat hij gedaan heeft om op ons intranet te geraken.

Ik zeg het nog eens: we vinden het niet zo erg, maar zouden gewoon graag weten hoe hij er in geslaagd is en of dat de merkwaardige veranderingen aan onze database kan verklaren. Je mag ons -eventueel anoniem- mailen: webteam@scoutsmeerdaal.be. Webmasters helpen webmasters, toch?

Bedankt!

To


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 11 Mrt 2004 23:13 
Offline
 
 
Gebruikers-avatar

Geregistreerd: 22 Jan 2004 0:00
Berichten: 773
Citaat:
maar zouden gewoon graag weten hoe hij er in geslaagd is en of dat de merkwaardige veranderingen aan onze database kan verklaren


Spijtig genoeg is het op de scoutnet server helemaal niet zo moeilijk om files van iemand anders in te lezen (en dan aan paswoorden te geraken). Gelukkig is er, zoals onlangs beloofd, verbetering op komst. Ik ga hier niet uitwijden over de details, want anders vrees ik dat dit dan niet de laatste "hack" poging zal zijn. (fyi, eigenlijk is "cracker" correcter)
Maar ook al is de server niet echt veilig, je zou inderdaad van je medewebmasters zo'n dingen niet verwachten.


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 12 Mrt 2004 15:56 
Offline
Site Admin
Site Admin
Gebruikers-avatar

Geregistreerd: 17 Jul 2002 23:00
Berichten: 1522
Woonplaats: Wetteren
hopla schreef:
Spijtig genoeg is het op de scoutnet server helemaal niet zo moeilijk om files van iemand anders in te lezen (en dan aan paswoorden te geraken).

Ik denk niet dat iemand eerst bestanden van ons heeft ingelezen. En zelfs als ze een verbinding konden maken met onze database waarin de gegevens steken, dan nog zouden ze niet kunnen inloggen, want de wachtwoorden zijn gecodeerd (md5) opgeslagen in de database. Per toeval de juiste gebruikersnaam en wachtwoord kiezen, lijkt ook erg onwaarschijnlijk. Bovendien was één poging genoeg om op het intranet en één poging om op het admin-gedeelte te geraken genoeg, zo blijkt uit de logs.

De reden dat we willen weten wie het was, is dat er iets ongewoons gebeurde bij dat inloggen: plots werden de login-stats van alle leid(st)ers aangepast. Er wordt namelijk bijgehouden wie wanneer het laatst is ingelogd, en hoeveel keer de leid(st)er al inlogde. De Scoutnet-webmaster die inlogde heeft plots al die gegevens "gereset": alle gebruikers stonden plots op 3 logins en de "laatste keer ingelogd" datum was ook bij iedereen hetzelfde. We zien geen enkele logische verklaring hoe dat kan. Als er toch een beveilingslek zou zijn, willen we dat natuurlijk graag weten.

We hebben nog meer gegevens van de webmaster (oa ip, pc-configuratie en de links vanwaar hij op onze site terechtkwam - steevast topics van dit forum), maar die geven we om privacy-redenen niet.

Kan de persoon in kwestie zich bij ons melden? Bedankt!

To


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 12 Mrt 2004 18:59 
Offline
Site Admin
Site Admin
Gebruikers-avatar

Geregistreerd: 31 Aug 2002 23:00
Berichten: 473
Woonplaats: Tongerlo
Hetgeen Scoutnet onderscheidt van andere providers, is inderdaad het vertrouwen dat je kan hebben in de webmasters. Er worden geregeld beveiligingsproblemen gemeld en we proberen daar zoveel mogelijk aan te verhelpen. Dit verloopt soms moeizaam, omwille van historische situaties en/of gebrek aan middelen, maar het lukt wel. Ook bovenstaand probleem is reeds lang gekend maar wordt op zeer korte termijn verholpen. Ik vertrouw erop dat dit incident 'in den minne' wordt opgelost.

Jan


Omhoog
 Profiel  
 
 Titel: hoe?
BerichtGeplaatst: 13 Mrt 2004 12:32 
Offline
 
 
Gebruikers-avatar

Geregistreerd: 04 Jul 2002 23:00
Berichten: 501
Woonplaats: Reet
@jan: Waar zit dan het probleem dat zoiets mogelijk is?

@to: Hoe heb je al die zaken over de hacker te weten gekomen (dat het aan scoutnet-webmaster is, via het forum kwam etc...)

Geert


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 13 Mrt 2004 14:01 
Offline
 
 
Gebruikers-avatar

Geregistreerd: 19 Aug 2003 23:00
Berichten: 19
Aangezien hij bij alles direct is binnen geraakt, 1 poging om op intranet en 1 poging om admin binnen te geraken, is het dan niet mogelijk dat er gewoon bij jullie ergens een lek is? Eventueel een bestandje op uw pc waar paswoorden enz... instaan en dat hij via daar is geraakt? Eventueel iemand van medeleiding die ne goeie gok heeft gedaan?

Ik kan me niet inbeelden dat je, als je site + database hackt maar 1 poging nodig hebt om binnen te geraken en niets veranderd buiten alles reseten. Oftewel zijde dan ne prutser (wat volgens mij dan wel is) en hebt ge via via paswoorden enz... gekregen of is er een megagat in jullie site.

En ik begrijp trouwens niet waarom jullie zijn gegevens niet geven? Iemand die al alles wilt reseten kan even goed alles deleten, dat is geen probleem hé :?


Omhoog
 Profiel  
 
 Titel: Re: hoe?
BerichtGeplaatst: 13 Mrt 2004 17:08 
Offline
Site Admin
Site Admin
Gebruikers-avatar

Geregistreerd: 17 Jul 2002 23:00
Berichten: 1522
Woonplaats: Wetteren
Geert82 schreef:
@to: Hoe heb je al die zaken over de hacker te weten gekomen (dat het aan scoutnet-webmaster is, via het forum kwam etc...)

Uit de logs van onze site. Aangezien (per ongeluk?) de login-datum van alle leiding werd aangepast naar één en hetzelfde datum & uur (23u27), zijn we daar gaan kijken in de logs. Er bleken op dat moment 2 mensen op de site: iemand die foto's aan het bekijken was, en iemand die naar de homepage was gesurft vanop dit forum (de "form-link" staat ook in de logfiles). Precies om 23u27(13s) werd ingelogd op het intranet, en nadien op het admin-gedeelte. Het moment waarop ook de vreemde aanpassingen in de leidingstabel gebeurde.

Doomer, gaat het om een algemene beveiligingsfout van Scoutnet? Ik heb niet de indruk dat wij er iets konden aan doen. (Kan je eventueel ook eens in de algemene logs van Scoutnet gaan kijken; naar 't schijnt moeten jullie kunnen zien onder welke loginnaam er is ingelogd vermits het inloggen gebeurt met een session)

Zeffe schreef:
Aangezien hij bij alles direct is binnen geraakt, 1 poging om op intranet en 1 poging om admin binnen te geraken, is het dan niet mogelijk dat er gewoon bij jullie ergens een lek is? Eventueel een bestandje op uw pc waar paswoorden enz... instaan en dat hij via daar is geraakt? Eventueel iemand van medeleiding die ne goeie gok heeft gedaan?

De wachtwoorden zijn strikt persoonlijk; zelfs ik kan ze niet achterhalen of ken ze niet. De leiding heeft ze zelf gekozen bij een eerste login (registratie) adhv een persoonlijke registratiecode. De medeleiding kan het niet geweest zijn, want zoals gezegd blijkt het een Scoutnet-webmaster te zijn. Ik ben de enigste leider van onze groep die in de Scoutnet-community zit. Bovendien blijkt (adhv het ip) dat de persoon via Telenet surfte en vermoedelijk uit Antwerpen komt (op basis van IP Locator).

Nog aan Doomer: ik wil dit zeker niet opblazen. We vragen ons alleen af hoe zoiets kan, en vooral: of/wat we er kunnen aan doen.

To


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 13 Mrt 2004 18:23 
Offline
 
 
Gebruikers-avatar

Geregistreerd: 04 Jul 2002 23:00
Berichten: 501
Woonplaats: Reet
To,

om te beginnen ben ik al zeker niet de eerste hacker (voor wat da woord nog waard is), maar na je post ben ik ook is een kijkje gaan nemen, en zat toch ook vrij rap op je intranet.
Veel kan ik er op het eerste zicht niet aanpassen buiten de gegevens van Vanderlinden Steven (als ik deze naam moet deleten nadat je het gelezen heb zeg je het maar).

Kan je eens kijken of er in je logs +/- het zelfde fenomeen is opgetreden, en of er terug van die 'vreemde' aanpassingen gebeurd zijn?

Kan je mij ev. je login script eens sturen, dan kan ik ff meekijken waar het fout kan lopen. (niet dat ik een expert ben, maar ik ben toch binnen geraakt :-))

Ik zal het nog eens proberen en dan stuur ik je wel exact door hoe het gelukt is (als het me nog een 2e keer lukt) .

ps, hopelijk neem je het me niet kwalijk dat ik op je intranet zit?

Geert


Omhoog
 Profiel  
 
 Titel: jups
BerichtGeplaatst: 13 Mrt 2004 18:42 
Offline
 
 
Gebruikers-avatar

Geregistreerd: 04 Jul 2002 23:00
Berichten: 501
Woonplaats: Reet
De fout is gevonden (hoop ik toch) en doorgemaild aan To.

Ik denk dat we verdere info hier omtrent beter later geven als alles in orde is?

Geert


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 15 Mrt 2004 19:22 
Offline
 
 
Gebruikers-avatar

Geregistreerd: 19 Apr 2003 23:00
Berichten: 9
Woonplaats: deurne
Lees :
viewtopic.php?t=423

Ik ben de dader niet, maar ik weet hoe hij het gedaan heeft, en waarom de log laat zien dat iedereen tegelijkertijd is ingelogd.
Filter de ' uit je velden!!!


Omhoog
 Profiel  
 
 Titel: Opgehelderd
BerichtGeplaatst: 15 Mrt 2004 23:54 
Offline
 
 
Gebruikers-avatar

Geregistreerd: 12 Jan 2004 0:00
Berichten: 94
Woonplaats: Berchem (Antwerpen)
Ik was dus de 'hacker'...

bekijk mij niet scheef,
ik ken niks van hacken en dergelijke meer af.
Maar wij (de webmasters van http://www.sint-bernadette.be) werden vorige week gewezen op een poortje in ons login-systeem door iemand van onze oudleiding die een SQL-goeroe blijkt te zijn.
Hij wees ons op een fout (die mijn medeleider/webmaster Peider heeft aangekaart hierboven en in een aparte topic).
Omdat wij het niet meteen 'veilig' vonden om deze know-how te verspreiden wilden wij eerder de mensen persoonlijk verwittigen door enkele sites van scoutnet te testen op deze bug in hun php-code.

Bij scouts Meerdaal bleek alles veilig, want ik geraakte niet op het intranet, maar achteraf bleek de database van de logs wel gereset.
(zonder mijn medeweten).
Daarom was ik me van geen kwaad bewust en heb ik ze niet kunnen verwittigen.
Ondertussen is To op de hoogte gebracht van de fout (via mail en via de topic) en is de bug verleden tijd.

Ik raad iedereen aan
viewtopic.php?t=423
zeker te lezen en aanpassingen te doen in alles wat te maken heeft met database-SQL-toepassingen (inschrijvingsformulieren, registratiepagina's enzovoort).
Het resetten van de database is maar één van de weinige en minst erge dingen die men kan doen als de ' blijven toegelaten worden in je scripts.

ThDC

_________________
- O Lord, raise me to Thy right hand -
- and count me among Thy Saints! -


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 16 Mrt 2004 8:33 
Offline
 
 
Gebruikers-avatar

Geregistreerd: 04 Jul 2002 23:00
Berichten: 501
Woonplaats: Reet
Dit was alvast niet de manier dat ik bij To (scoutsmeerdaal) ben binnengeraakt. Aanpassingen in de database zal ik ook niet kunnen doen hebben.

Zou dit alles niet opgelost zijn als magic_quotes op on staat in de phpconfig?


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 16 Mrt 2004 8:47 
Offline
 
 
Gebruikers-avatar

Geregistreerd: 12 Jan 2004 0:00
Berichten: 94
Woonplaats: Berchem (Antwerpen)
Ja
viewtopic.php?t=387&highlight=addslashes
zoals hopla al zei...

_________________
- O Lord, raise me to Thy right hand -
- and count me among Thy Saints! -


Omhoog
 Profiel  
 
Berichten weergeven van de afgelopen:  Sorteer op  
Plaats een nieuw onderwerp Reageren op dit onderwerp  [ 13 berichten ] 

Alle tijden zijn UTC + 1 uur


Wie is er online?

Gebruikers in dit forum: Majestic-12 [Bot] en 4 gasten


U mag geen nieuwe onderwerpen plaatsen in dit forum
U mag geen reacties plaatsen op onderwerpen in dit forum
U mag uw berichten niet wijzigen in dit forum
U mag uw berichten niet verwijderen in dit forum
U mag geen bijlagen plaatsen in dit forum

Zoeken naar:
Ga naar:  
cron
Powered by phpBB® Forum Software © phpBB Group
Vertaald door phpBBservice.nl.