########################################
##
## iCrime.cc / Cerfiticate
## Hacking, Coding & Security in einer anderen Liga
## http://iCrime.biz
##
########################################


Nun, dann fangen wir mal ambesten gleich an..
Die Beta Phase von iCrime hat soeben begonnen und wir haben und werden noch einiges im Punkt Sicherheit bewerkstelligen.

Backup des Forums und der Datenbank alle 12h auf einem Backupserver
Synchonisation durch einen Spiegelserver
IP Adressen werden nicht nur ueberschrieben, sie werden erst garnicht gespeichert + Session Management durch einen weiteren Cookie ersetzt
Die loggs im Reverse Proxy haben wir deaktiviert


Als kleinen zusatz haben wir auch die X-Forward Variable angepasst, somit werden keine Realen Adressen mehr uebergeben.
Soweit es uns bewusst ist, haben die Happy Ninjas dies ausgenutzt und ein Script eingebunden, dass die Adressen abfaengt.
Dies ist bei uns nicht mehr moeglich, da wir diese Einstellungen getroffen haben und der Reverse wie gesagt Deaktiviert ist.

Sollte es jemand Schaffen an die Datenbank von iCrime zu kommen koennen wir euch beruhigen.
Es werden weder die Passwörter, Mail Adressen, Private Nachrichten und auch die Beiträge sowie die Themen in Plain Preisgegeben.
Niemand des Teams kennt die Verschluesselung die in dem System steckt und ohne diese ist es unmoeglich an die Passwoerter, Adressen etc. zu kommen. (Bis auf mich eben. . .)
Der Klau der Datenbank waere also voellig Nutzlos x)

Hier mal als kleinen Vergleich:
Normal: md5(md5($pass.$salt))
So koennte es bei uns Aussehen: Nein wird nicht Preisgegben. :')
Es ist Aufjedenfall unmoeglich an die Salt´s und an die Technik fuer die Decryption zu kommen.

Wir fassen zusammen:
Passwoerter, Adressen, Beitraege sowie die Themen und Private Nachrichten werden in einer einzigartigen Encryption gespeichert, IP Adressen ueberhaupt nicht!

In Planung ist noch folgendes:

Surfen auf iCrime nur durch Hauseigenen Proxy moeglich
Bei Aufruf unserer Domain wird auf einen Backupserver zurueckgegriffen, dieser nach Erfolgreichem Certificate nachweis auf unseren Mainserver umleitet
Bei zu einer starken Connection Anzahl schaltet sich ein weiterer Server vor den Mainserver um dem bereits geschuetzten Mainserver die intensive Belastung abzunehmen
Um sich auf iCrime einloggen zu koennen, wird ein spezieller fuer jeden User generierter Keyfile benoetigt.


Ihr denkt euch schoen.. gibt es schon?
Falsch, sowas hat es in der Deutschen Scene noch nie gegeben und wird es auch so schnell nicht mehr.
Es gab immer mal ein paar Board´s diese viel geredet haben, doch keines hatte das Wissen / Faehigkeiten / Moeglichkeiten dies, wie wir in die Tat umzusetzen!!

Es werden natuerlich auch noch weitere kleine Updates folden :)



Kind Regards

Das Certificate wurde fuer die Beta Phase ausgestellt.
Bewerbungen fuer den Invite bitte unter: 607420053

Dein Projekt erinnert mich ziemlich stark an das von k!LLu aka purplera1n:

Beta-Phase --> OVER

Ein allgemeines Problem in der Deutschen Scene ist, das die Administrationen von
"Hacking & Security Foren" ( like HBA, Carders etc.. ) eigentlich garkeine Ahnung hat von
Hacking & Security.Traurig anzusehen ist es das die meisten nichtmal HTML/PHP Basics beherschen ( Triple , n!sk )

Wir sind nicht wie andere, ungewöhnlich, nicht standard, kurz, wir sind anders -- besser? Scheint so!
Genau deshalb möchten wir neue Maßstäbe in den Bereichen Datenschutz, Sicherheit und Performance
setzen! Nicht nur in der deutschen oder internationalen Scene sondern WELTWEIT !

Es wird "State-of-the-Art" in Punkto Sicherheit

Deshalb gedulded euch und lasst euch überraschen ;-)



[+] Forum offline, Backup der DB, Synchronisation mit Spiegelserver
[+] IP Logging Scriptside entfernt
== Anders als bei anderen Boards überschreiben wir nich einfach die IP Adressen, wir loggen sie garnicht erst!
== ein "wenig" mehr Aufwand also Geduld
[+] IP Session Management durch Cookie's ersetzt
== Gewöhnlicherweiße nutzen Forensoftware's wie vB/wBB & IPB die IP Adresse
der aktuellen Session zur Bestimmung -- nun erledigt das bei uns ein weiterer Cookie

http://hrklez.bplaced.net/k!LLu/static/images/sess_ip.PNG
[+] Logs am Reverse Proxy deaktiviert

http://hrklez.bplaced.net/k!LLu/static/images/logs.PNG
[+] X-Forwarded-For Variable angepasst, nun werden keine realen IP's mehr an das Backend übergeben
== bei Carders,HBA und co haben die Ninja's mithilfe eines Scripts die IP-Adressen und Logins beim anmelden gesammelt,
== dies ist bei uns ohne Änderung am RProxy nun unmöglich, da keine realen IP Adressen übertragen werden.
http://hrklez.bplaced.net/k!LLu/static/images/nginxIP.PNG

[+] Passwörter werden nun sicherer verschlüsselt!
== Anstatt wie gewöhnlich in md5($password,$salt) beziehen wir nun eine vielzahl statischer Parameter
== mit ein, die aus Sicherheitsgründen nicht veröffentlicht werden.
== Aber hier ein Beispiel wie es sein könnte: md5(sha1(md5($username).md5($salt1).md 5($password).md 5($memberkey)))
== Um nun die Passwörter zu entschlüsseln, muss man unsere verwendeten Parameter und die 3 Salt's kennen, was dank
== ioncube unmöglich wird.
[+] E-Mail Adressen, Beträge, Themen und PM's werden jetzt verschlüsselt gespeichert !
== Alle E-Mail Adressen usw. werden durch eine angepasste Verschlüsselung verschlüsselt
== in der Datenbank gelagert, und Local auf unserem Server entschlüsselt. Ohne zu wissen welche
== Datei die Entschlüsselung übernimmt, und ohne unsere Verschlüsselung zu kennen ist es unmöglich
== zu entschlüsseln! Was den Besitz/Raub der Datenbank absolut sinnlos macht.

http://hrklez.bplaced.net/k!LLu/static/images/mailcryptafter.PNG
http://hrklez.bplaced.net/k!LLu/static/images/postverschluesseung.PNG
=== Break ======
Fassen wir kurz zusammen, unsere Datenbank enthält nun keine IP Adressen mehr,
es ist nahezu unmöglich IP-Adressen mitzuloggen, die Passwörter sind "uncrackbar"
gespeichert. Alle Beiträge, E-Mail's, Themen und PM's sind unlesbar verschlüsselt.
Selbst ein Hack wäre nun völlig egal und sinnfrei!

und weiter gehts =)

& ob die technische Umsetzung so ueberhaupt moeglich ist, weiß ich nicht mal. Alleine die Plugins stellen eine große Huerde dar, denn viele von ihnen zeigen Inkompatibilitaeten zur "non-IP"-Version wie ich in der Vergangenheit feststellen durfte. Daher kann ich relativ wenig zu dem Ganzen sagen, obwohl es sich dann doch ganz gut anhoert.

Darueber haben wir ja schon gesprochen, das K!llu es aber nicht Bewerkstelligen konnte.. haben wir ja bereits gesehen.
Und so wie es Aussieht wird er auch mal in der Naechsten Zeit ueberhaupt nichts in der Scene machen koennen.
Ich sage mal so viel, alles was da steht ist zu 100% schon durchgefuerht worden und laesst sich bei SMF wesentlich besser Bewerkstelligen wie bei IPBoard.

Gruesse

//:

Auch mit dem User purplera1n aka K!llu hatte ich mich darueber unterhalten.
Bin mal gespannt was aus Undercover.SU wird und ob es ueberhaupt wieder Online kommen wird.

Der Forenstyle ist gut. Ich finde das Bewerbersystem gerade für den Anfang eines neuen Projektes eher unpassend. Ich werde mir das Projekt in der nahen Zukunft mal näher anschauen. Ich wünsche Euch mit dem Projekt viel Glück und gutes Gelingen.

Rechtschreibfehler in der URL sind peinlich oder ist die URL ein: Englisch.Denglisch-Englisch.com Mix oO

Das "deffensive" ist mir schon lange bewusst.
Und ich bin nicht zu dumm fuer die Deutsche Rechtschreibung.
Die Domain wurde mit so Transfert, mit der hatte / habe ich nichts zutun.
Habe nur eine fuer den Server gebraucht gehabt.

Die Domain iCrime ist von mir, deffensive-security ist nur sogesehen "Sponsored" .

Hallo,

das solltest du fixxen:


<dt class="clear">SMF Trader System</dt>
<dt>Trade Count: </dt><dd>(<a href="http://board.deffensive-security.com/index.php?action=trader&id=2">0</a>)</dd>
<dt>Positive Feedback: </dt><dd>0%</dd>
<dt><span style="color: #006400;">Positive Feedback: </span></dt><dd>0&nbsp;<img src="http://localhost/smf/Smileys/default/smiley.gif" alt="positive" /></dd>
<dt>Neutral Feedback: </dt><dd>0&nbsp;<img src="http://localhost/smf/Smileys/default/undecided.gif" alt="neutral" /></dd>
<dt><span style="color: #FF0000;">Negative Feedback: </span></dt><dd>0&nbsp;<img src="http://localhost/smf/Smileys/default/angry.gif" alt="negative" /></dd>
<dt>Total Positive Feedback: </dt><dd>0</dd>
<dt class="clear"><a href="http://board.deffensive-security.com/index.php?action=trader&sa=submit&id=2">Submit feedback for SENS.3YE</a></dt>


Gruß

noch ein board auf das alle gewartet haben , was ganz neues , sorry aber wem wollt ihr das verkaufen , wer ist die zielgruppe =?

@energy, dankesehr :')
@organer, wie genau darf ich deinen Post deuten?
Was moechtest du mir - UNS damit Mitteilen?

Zielgruppe bezieht sich auf Coding, Reversing, Security and more, kein FRAUD.
Wenn ueberhaupt wird es wenn Gewuenscht ein kleines Unterforum damit geben, aber die Haupttehmen habe ich soeben genannt.

Als kleinen zusatz haben wir auch die X-Forward Variable angepasst, somit werden keine Realen Adressen mehr uebergeben.
Ist gut, allerdings wäre das in Falle eines Hacks sinnlos. Die Ninjas sind über den Reverse-Proxy gekommen. Das heißt sie haben dazu nur ein Scriptchen am Reverse-Proxy installieren müssen und loggen. Und nichtmal HTTPS nutzt hier, wenn sie wirklich auf die Daten aus sind.

Sollte es jemand Schaffen an die Datenbank von iCrime zu kommen koennen wir euch beruhigen.
Es werden weder die Passwörter, Mail Adressen, Private Nachrichten und auch die Beiträge sowie die Themen in Plain Preisgegeben.
Ein weiteres sinnloses Unternehmen. Du kannst so viel verschlüsseln wie du willst. Wenn ihr gehackt werdet, dann kennen sie auch die Vershclüsselung (die Skripte liegen dann auch offen). Hab an sowas schon oft gedacht, allerdings auch wieder verworfen.




Bei zu einer starken Connection Anzahl schaltet sich ein weiterer Server vor den Mainserver um dem bereits geschuetzten Mainserver die intensive Belastung abzunehmen
Um sich auf iCrime einloggen zu koennen, wird ein spezieller fuer jeden User generierter Keyfile benoetigt.


Wie schön. Ein weiteres File, das verloren gehen kann. Empfinde ich als mehr unangenehm als sicher.


Aber großes Lob. Ihr versucht wenigstens etwas in Richtung Sicherheit zu unternehmen!

Reverse = Deaktiviert wie beschrieben.
Da wir momentan nicht auf dem richtigen Server sind keine SSL.
Verschluesselung = Beispielsweise I.Cube

Zu dem Thema Keyfile, kommen noch die normalen Logindaten des Users + der Boardproxy..

Ein weiteres sinnloses Unternehmen. Du kannst so viel verschlüsseln wie du willst. Wenn ihr gehackt werdet, dann kennen sie auch die Verschlüsselung (die Skripte liegen dann auch offen). Hab an sowas schon oft gedacht, allerdings auch wieder verworfen.

Dafür gibt es doch diverse Mechanismen. Ein gutes Beispiel hierfür wäre es die Dateien mit Ioncube zu obfuscaten und -oder die timestamps regelmäßig zu überprüfen.


Gruß energy16

Und genau das wird wie ich einen Post ueber dir geschrieben habe gemacht :')
Aber danke nochmal fuer die Erwaehnung!

Kind Regards

Als ich die URL gesehen habe, dachte ich schon, oh nein. Jetzt noch so ein Fraudboard.
Aber danach war ich beruhigt. Viel Glück.


Um sich auf iCrime einloggen zu koennen, wird ein spezieller fuer jeden User generierter Keyfile benoetigt.

Aber zu übertreiben sollte man es doch auch nicht. :D

Ist nicht uebertrieben, gillt nur der Sicherheit vor Leechern u.O Hacked Membern.
Denn nur mit den Login Daten kann man dann nichts mehr Anfangen. . :')

Gruss

und ja Schluss mit OT.

Du schreibst die ganze Zeit von "wir".
Wenn also mehrere am Projekt arbeiten und coden, dann kannst du nicht alleine die Verschlüsselung kennen.

Außer du scriptest das ganze doch alleine.
Dann frage ich mich aber warum du nichtmal weißt wie SMF die Passwörter hasht.
md5(md5($pass.$salt)) ist es sicher nicht.

Und die selbe Verschlüsselung für Passwörter, emails und Beiträge zu nutzen bringt ja wohl auch nichts. Passwörter gehören gehasht um nicht entschlüsselbar zu sein im Gegensatz zu den anderen Infos.

Das Bewerben hat noch nicht wirklich System oder?

Danke fuer die Erinnerung @zeitlos, dass war noch von der vorherigen Boardsoftware :)
Das nennt man dann VBulletin.
Ja richtig wir, aber nur ich habe Zugang zum Hauptserver.

@energy
Kommen gerade unzaehlige Anfragen auf, hast aber deine PM back.

Ist der Teil mit der Verschlüsselung und dem nicht speichern von IP Adressen schon umgesetzt oder kommt das erst?

Das ist soweit alles umgesetzt.
Nach jedem Post bekommt der User pro Thread eine "random" IP aus z.B Russland, Amerika, Niederlande etc. zugewiesen.
Bei der IP handelt es sich um eine zufaellig "generierte" Adresse, und steht sogesehen nur im Post.
Die Datenbank enthaelt keinerlei IP Adressen.

Kannst du den Leuten die sich nicht anmelden wollen trotzdem mal einen Überblick über eure Themen geben? iCrime hört an wie das typische Carding- und Fakingboard und soweit ich weiß haben wir unsere Einstellung bezüglich solcher Projekte nicht geändert. Keine Unterstellung aber halt die Frage: Wieso iCrime wenn es nicht um Crime geht? :P


IP Adressen werden nicht nur ueberschrieben, sie werden erst garnicht gespeichert
Wie darf ich den logischen Zusammenhang hier verstehen? IP Adressen, die es gar nicht gibt, werden zur Sicherheit überschrieben?

Es geht absolut nur um Coding / Reversing / Security etc.
Fraud wird wie gesagt nicht mit einbezogen.

Ja das kann ich machen...

Der Satz drueckt aus, dass die "Adressen" wenn diese Vorhanden waeren nicht einfach wie bei anderen Boards mit 12.0.0.1 ueberschrieben, sie werden in der Datenbank garnicht erst abgespeichert.

Und mein vorheriger Post zum Punkt Posterstellung, dass ist einfach ein Script welches Random / kann man Tracen / Ip´s erstellt, fuer den jeweiligen Post bzw. Thread.
Aber ist sogesehen unnuetz und wuerde man nicht unbedingt brauchen.

---------- Post added at 23:56 ---------- Previous post was at 23:49 ----------

Hier mal der gewuenschte Einblick.
Board ist sich gerade am fuellen, sprich Threads werden erstellt :')
Und keine Panik wegen (Suche)Packstation etc. die sind fuer legalen Warenemfang.
Nicht mehr, nicht weniger.

KLICK (http://109.236.80.128/Einblick/iCrime%20-%20Index.html)


Und wegen des Namens.
Internet Kriminalitaet hat nicht nur was mit Carding / Faking zutun.

Eine gefakte Packstation, klingt ziemlich nach Faken/Carden. Jedenfalls mindestens nach Faken. Was soll man dazu sagen?

Zielgruppe bezieht sich auf Coding, Reversing, Security and more, kein FRAUD.
Wenn ueberhaupt wird es wenn Gewuenscht ein kleines Unterforum damit geben, aber die Haupttehmen habe ich soeben genannt.

Und schon ist die Katze aus dem Sack. Mach' doch nicht so ein Tam-Tam um die ganze Fraud-Geschichte. Sag' an, was Sache ist und steh' dahinter. Alleine die Domain iCrime sagt doch schon alles aus - oder ist sie einfach nur unglücklich gewählt? Freudscher Domainkauf? Ich nenne mich ja auch nicht Ottos-Puppenstube.com, wenn ich ein Forum für Hobbyeisenbahner machen will, oder? Na ja, vielleicht ja doch. :D Soviel dazu.

Dein / Euer Engagement bzgl. der Forensicherheit ist lobenswert. Ich schlage deshalb vor, Du machst dazu ein Tutorial, damit auch andere in der Lage sind ein Forum aufzusetzen, dass ein gewisses Maß an Sicherheit bietet. Schön Punkt für Punkt. So könnten wir ein Test-Forum einrichten und es dann quasi als Honeypot oder auch einfach so auf Herz und Nieren prüfen. Könnten wir natürlich auch direkt mit iCrime machen, aber schöner wäre es doch, man würde eine 1:1-Kopie erstellen, mit allen Sicherheitshürden und dann mal schauen, wie sicher das Ganze tatsächlich ist - eine Art Trainingsumgebung. Dazu machen wir hier einen schönen Thread auf F-H und veröffentlichen dort unsere Erkenntnisse. Ziel wird am Ende sein, z.B. ein sehr ausführliches Tutorial zu veröffentlichen, wie man ein Forum aufsetzen kann, dass im höchsten Maße gesichert ist (dabei sollte man aus bekannten Gründen möglichst wenig Addons, Mods, etc. verwenden).

Das wäre mal ein Projekt. Vielleicht starte ich das die Tage einfach mal in der passenden Sektion hier auf F-H. Nun ist's aber Zeit für den Matratzenhorchdienst.

XX

Naja da der von damals bekannte Se7en aka LuRez bei Euch Admin ist, weiss ich jetzt schon, dass das kein großes Projekt werden kann. Also sorry, aber ich weiss nicht, wie du solche Leute zum Admin machen kannst. Nicht nur das dieser User einen dermaßen auf dem TS auf den Sack geht. Der Typ kann mal garnichts xDD

Wie du gesagt hast ist die Domain deffensive-security.com Sponsored, kommt daher auch einer der Server? Weil umso mehr Leute zugriff auf euren Server haben, umso mehr Sicherheitslücken menschlicher Art entstehen ;-)
Jedoch mal ein schönes Board, wo ein bisschen auf Sicherheit geachtet wir, aber wie fuckinghot auch sagte, knackt man eine eurer Sicherheitsmethoden, kann man THEORETISCH alle knacken :-)

Zu der Packstation, welche benutzt du denn fuer Legaln Warenempfang aus der Scene?
Oder Natuerlich alles auf deine Reallife - Adresse was? :')
Und wenn du dir eine "Faked Packstation" auf Wunschdaten zu kommen laesst, schadet es sicher keinem.
Weder DHL noch irgend einem Menschen auf der Welt.

Zu dem Thema LuRez kann ich dir nicht viel sagen, ist ein netter User und man kann sogesehen gut mit ihm reden.
Wenn du Probleme mit ihm hast, mag sein.. diese habe ich aber nicht.
Gehen wir mal davon aus, dass er "nichts" kann, wo ist das Problem?
Gibt genug andere leute dafuer im Board.

Ich wiederhole es gerne, nur ich habe zugriff auf die Server.
Auch LuRez nicht, er kann nur das Board "Teilweise" Verwalten da bei SMF z.B auch FTP Daten gebraucht werden fuer Plugins etc.
Umzug auf meine eigenen Server vom Hosting wird denke ich mal heute Abend vorgenommen.

Standort: China

//Domain:
Und zu der Domain, hat nur Fraud etwas mit Internet Kriminalitaet zutun, oder wie soll ich das verstehen?
Und es ist eben nur eine Domain, ob man sich darueber Aufregt ist fraglich und laesst sich drueber streiten.

Se7en aka LuRez ist aber damals ein bekannter Ripper von Global-Carding gewesen. Das mal so am Rande. Naja trotzdem viel Glück.

Zu der Packstation, welche benutzt du denn fuer Legaln Warenempfang aus der Scene?
der Natuerlich alles auf deine Reallife - Adresse was? :')
Wenns legal ist ja?

Du kannst es ja machen wie du willst, aber ich lasse Scene und RL getrennt.
Und das man das macht, weiß denke ich jeder, der bisschen mehr wie n Monat in der Scene ist, spaetenstens dann, wenn er auf die Schnauze gefallen ist.

Aber schoen, eine Faked PS auf "Wunschdaten" sprich ausgedachte Daten, schadet keinem.
Weder DHL = da Kostenlos, noch irgend einem User = da es ihn nicht gibt.

Aber gut, dankesehr ;)

Und LuRez muss man nicht mit Luppa etc. vergleichen, aber das Board bietet Truehand an und mit wem das gemacht wird, entscheiden natuerlich wie ueberall die User.

Wo steht der Server genau? In China selber, oder in der Sonderzone Hongkong?

Server habe ich momentan zu Verfuegung..
China (keine Sonderzone.)
Amerika
Russland
Niederlande

IP Range koennte ich auch bis zu Artkis eintragen lassen, sollte es z.B ein Kunde wuenschen.

Das mit Antarktis ist ziemlich egal. Gute Tools zeigen eh den richtigen Standort an.

Wie kommst du an die Lizenz für den Server in China?

Die IP Range Antartkis ist eigentlich eher aus Fun.
Aber ja damit magst du recht haben.
Sowas nennt man dann gute Kontakte, wenn man z.B selber lange dort Kunde war und sie selber viel Geld durch einen verdient haben.
Dann macht man sich mal schlau bzw. laesst ihn sich mal dort umhoeren :')
Angefangen hat es mit normalem Reseller Hosting durch diese Person.

Gruesse

Und wie will die Person dann an eine Lizenz für DICH kommen? Du bist Ausländer und es gab bis jetzt keine Person, die solch eine Lizenz erhalten hat. Seit mehreren Jahren.

Se7en aka LuRez ist aber damals ein bekannter Ripper von Global-Carding gewesen. Das mal so am Rande. Naja trotzdem viel Glück.
Da kennst du dich ja wohl richtig gut aus....
Ich habe sicherlich nicht gerippt dann kann ich nun nochmals die Geschichte erzöhlen wie das war auf Global-Carding.

zMod - Fin4lshare
Goldfield - luppa

Nun fragte mich luppa nach einiger Zeit ob ich nicht TH machen würde damit er einen User rippen kann.
Dazu sagte ich natürlich nein...

Das war es eig. auch schon dann kam einfach der Stein ins rollen.
Aus dem Team gekickt worden - luppa hat Gerüchte über mich verbreitet und naja wir kennen luppa ja denke ich alle.

Da du ja meinst, dass du ja die "große" Ahnung davon hast, ist denke ich mal mein Gespraech darueber beendet.
Man kann auch in China eine groeßere Geschaeftsstelle haben, schonmal daran gedacht?
Ebenfalls steht meine "Offshore Firma" die fuer den Transfer des Geldes zustaendig ist, auch in einem anderen Land.
Ist das ganze auch nicht moeglich? ...

Immer mehr Amuesant wenn leute hier etwas Rechtfertigen wollen.
Und erkundige dich mal auf wessen Server den FH steht.

Oben hast du jedoch davon gesprochen, dass sich jemand schlau macht für dich und gute Kontakte...

Könnt ihr bitte beim Thema bleiben, irgendwelche gestalten "Alias LUPPA" oder sonstige Konsorten, haben wenig mit dem Thread zu tun. Bleibt sachlich.

Oben hast du jedoch davon gesprochen, dass sich jemand schlau macht für dich und gute Kontakte...

Das ganze hat dich ach sogesehen garnicht zu Interessieren?
Hat auch nicht´s mit dem Board zutun, und da wir ja Sachlich und beim Thema bleiben sollen ist das Gespraech darueber beendet.
Ja genau habe ich geschrieben zur Anfangszeit, Reselling etc.
Oder such dir mal Offshore Reselling in China.

@SENS.3YE (http://free-hack.com/member.php?u=75368): Wie stehst Du denn dazu, ein paar Tipps zu veröffentlichen, inkl. Anleitung, wie man ein (von mir aus SMF) Board sicher aufsetzt? Siehe hier (http://free-hack.com/showpost.php?p=570989&postcount=24).

Da das Ganze auf Security_through_obscurity (http://en.wikipedia.org/wiki/Security_through_obscurity) beruht, denke ich kaum das er so was machen wird.
Aber man könnte natürlich diverse Sachen auslassen damit man nicht seine Sicherheit in Gefahr bringt.

Auch wenn du dort schoen geschrieben hast "ich schlage vor" .. muss ich es leider Ablehnen.
Denn wie "cby" schon sagte, kann man damit auch sein eigenen Projekt in Gefahr bringen.
Aber ich kann dir vllt. mal das ein oder andere wenn du mir Fragen stellt erlaeutern.

Gruesse

Ich hatte leider zu viel von dem Forum erwartet, anscheinend versucht man doch nur Waren zu verkaufen. (Forum DDoS bietet SENS.3YE seinen DDoS Service an - WTF) Außerdem gibt es einen Blackmarket usw.

Schade

---------- Post added at 17:10 ---------- Previous post was at 17:10 ----------

Ich hatte leider zu viel von dem Forum erwartet, anscheinend versucht man doch nur Waren zu verkaufen. (Forum DDoS bietet SENS.3YE seinen DDoS Service an - WTF) Außerdem gibt es einen Blackmarket usw.

Schade

Wenn du unter der iCrime - Services Kategorie nachsieht, ist es denke ich mal kein Wunder, dass du dort Services von iCrime nimmst.
Und wenn ich Warenverkaufen moechte, dann wuerde ich denke ich mal es nicht in Richtung NP gehen lassen.
Und der Service ist sogar FREE wie du denke ich mal gelesen hast ;)
Und von meinen ganzen Post´s auf iCrime sind 4-5 bei den Services.

Also kann ich nicht ganz Nachvollziehen, was du hier erzaehlen moechtest.

Ich hatte leider zu viel von dem Forum erwartet, anscheinend versucht man doch nur Waren zu verkaufen. (Forum DDoS bietet SENS.3YE seinen DDoS Service an - WTF) Außerdem gibt es einen Blackmarket usw.

Einen Black Market gibt's hier auch. Es kommt immer darauf an, was alles angeboten wird, bzw. was erlaubt ist.

Sofern iCrime in eine Richtung geht, die mit F-H nicht konform gehen, müsste eigtl. die Löschung dieses Threads und die Sperrung des Threadstarters logische Konsequenz sein.

Ich möchte aber auch erwähnen, dass ich kein Problem mit iCrime.biz habe. Nur ist F-H laut neuer Ausrichtung nicht der richtige Ort, um für das Projekt zu werben.

Sehr interessantes Projekt, vorallem wenn das ganze so umgesetzt wurde wie es dort steht.
Wenn du einen Test Account angelegen würdest könnte jeder mal drüber schauen, da deine .html leider Down zu sein scheint.

Wünsche dir trotz alles viel Glück.

Gruß, uni.x

Ich hatte eine kleine Unterhaltung mit dem User SENS.3YE, und habe ihn auf ein paar lücken SMF die so aber glaube ich keiner kennt aufmerksam gemacht, er hat diese immer noch nicht behoben. Ich werde ihm dann gleich mal eine kleine Warnung per Angriff auf den Webserver geben und danach wird er sich denke ich einmal melden.

so far ;)

Ich hatte eine kleine Unterhaltung mit dem User SENS.3YE, und habe ihn auf ein paar lücken SMF die so aber glaube ich keiner kennt aufmerksam gemacht, er hat diese immer noch nicht behoben. Ich werde ihm dann gleich mal eine kleine Warnung per Angriff auf den Webserver geben und danach wird er sich denke ich einmal melden.

so far ;)
Ich habe das Gefühl, dass der nur gerne gut redet.
Aber so wirkliche Beweise hat er nie gebracht.
Deshalb halte ich nichts mehr von ihm.

Ich hatte eine kleine Unterhaltung mit dem User SENS.3YE, und habe ihn auf ein paar lücken SMF die so aber glaube ich keiner kennt aufmerksam gemacht, er hat diese immer noch nicht behoben.
Ich finde es immer wieder toll, wenn Leute von 0day in einem Forum schreiben aber dann kein Wort verlieren wo die sind. Zum Beispiel würde mich nur die Datei interessieren, selber finden würde die Lücke auch jemand anders.

Ich werde ihm dann gleich mal eine kleine Warnung per Angriff auf den Webserver geben und danach wird er sich denke ich einmal melden.
Wollte er auf keine deiner Drohungen eingehen das du ihn nun angreifen möchtest oder wie sollte man diese Reaktion verstehen?

Ganz abgesehen davon... Wer 0day Lücken in einem Open Source Projekt findet, soll diese entweder verkaufen oder noch besser: Die Leute vom Projekt darauf aufmerksam machen, aber ganz bestimmt nicht in einem Public Forum irgendwelche Andeutungen machen.

Bei Closed Source und Shareware siehts natürlich anders aus...

Zur Person Senseye möchte ich mich jetzt gar nicht auslassen. Das würde zu kollektivem Fremdschämen führen.

OT@Dr. Ogen: Uffie <3

Ich nenne die Lücke aus Prinzip nicht, da ich dem User nicht Schaden möchte.
Ich denke mal er führt das Projekt weiter und Fixxt das ganze jetzt.
Aber fragen über die Vorgehensweise können im Thread gestellt werden und diese werden per PN beantwortet.

Gruß, uni.x

http://deffensive-security.com (http://deffensive-security.com/)
http://icrime.biz
http://board.deffensive-security.com


Und das mit den Umlauten ist mir bewusst.

Mich würde nur interessieren in welcher Datei die Lücke ist. Suchen kann ich dann selbst.

An der Forensoftware SMF ist nicht viel zu machen, schon aus dem Grund da er wenige Addons installiert hat und SMF so sehr sicher ist.
Der Angriff bezog sich auf seinen 'Server', dabei ist mir aber bei genauerem Ansehen aufgefallen, dass man sich mit einer Methode seinen Acivated User Account auf Admin Account Pushen kann. Und da man im Admin CP die FTP Daten + Pfad eingeben muss, ist es keine große Sache mehr.

Genaueres wird bekannt gegeben sobald SENS.3YE die Sachen Fixxt hat.
uni.x

Nach unserer kleinen Unterhaltung kamst du zu dem Entschluss, dass dein Server und die Boardsoftware sicher wären. Da muss ich dich leider enttäuschen, kein Server der Welt oder auch die Boardsoftware kann 100% Save sein. Du bist ja schon so "lange" in der Scene und solltest das eigentlich Wissen. Aber man hat gesehen das du Erfahrung in dem Gebiet hast und du deine Member nicht angelogen hast. Server für den Otto Normal Verbraucher gerecht gesichert, Datenbank wie du beschrieben hast auch Crypted. Ich könnte jetzt noch so viel schreiben, aber dafür ist mir meine Zeit zu schade ich Wünsche dir noch alles gute bei deinem Projekt. uni.x@secure-mail.biz Greetz to all FreeHack and B2H members.

Und schon ist es passiert.

@uni.x (http://free-hack.com/member.php?u=75585): Du solltest nun aber auch veröffentlichen, wo genau die Lücke am Server war, wie man es fixt und wer alles betroffen sein könnte und warum (also, welche Komponenten zusammen kommen müssen, damit die Lücke entsteht). Das ist das Mindeste. Gerne auch per PN. Ach, und sofern es entsprechende offizielle Stellen gibt, die die Lücke interessieren dürfte, damit sie gefixt werden kann und so weitere Kunden in Zukunft schützt, solltest Du diese umgehend informieren. Soviel Kodex und Selbstverständnis solltest Du haben.

Das muss er absolut nicht. Es ist seine Luecke und muss sie nicht weitergeben. Wenn er sie öffentlich stellen würde, dann würden alle Schüler denken, sie haben etwas erreicht mit einer public Lücke.

Natürlich habe ich das, deswegen habe ich das ganze ja gemacht?
Ich wollte dem Member nicht schaden sondern helfen!
Sobald er es Fixxt hat was ich ihm Mitgeteilt habe, dann kann ich auf die ganze Sache weiter eingehen.
Ich weiß nicht ob es mit dem Admin Pushen selbstverschulden der Administration war .. oder nicht.
Wie gesagt beruhte auf den Server | Space.

Gruß, uni.x

@Dr.0gen, ich danke dir. Auch wenn es sich denke ich nicht um eine Public Lücke handelt, lege ich darauf nicht sehr viel Wert.
Erläuterungen kann man denke ich immer bringen, ohne diese genau nennen zu müssen.

Sobald er es Fixxt hat was ich ihm Mitgeteilt habe, dann kann ich auf die ganze Sache weiter eingehen.

Ich nehm' Dich beim Wort. :) Das Du ihm damit nur helfen willst, ist mir schon klar. Er ist aber vermutlich nicht der Einzige, der Hilfe benötigt. ;)

Kannst du gerne tun.
Dann müsste ich ja jedem Board helfen auf dem ein bestimmtes System läuft & etwas bestimmtes auf dem Server gelagert hat.
Oder vom Server einfach nur bestimmtes Space splittet und zu Verfügung gestellt wurde.

Wie oben gesagt, werde ich auf genaueres noch eingehen.
Leute die momentan ein Board auf Linux Debian 32 Bit + nginx + mysql - phpmyadmin installiert haben, können sich ja per PN melden.
Darunter wäre auch FH betroffen, trotz das der SSH Port geändert wurde und anscheind PermitRootLogin deaktiviert wurde.

Na, da wird sich John sicher freuen. ;)

Leute die momentan ein Board auf Linux Debian 32 Bit + nginx + mysql - phpmyadmin installiert haben, können sich ja per PN melden.
Darunter wäre auch FH betroffen, trotz das der SSH Port geändert wurde und anscheind PermitRootLogin deaktiviert wurde.

Nur der Reverse Proxy laeuft momentan auf einem 32 Bit OS, das ist richtig und auch die letzten zwei Punkte stimmen. phpmyadmin ist nicht installiert und mysql laeuft auf dem zweiten Server, welches ein 64 Bit OS hat.

Habe aber vor im laufe der Tage den Reverse Proxy zu wechseln.

Hab mich wie gesagt nicht mit Free Hack befasst, wieso denn auch? :-P
Was genau verstehst du denn unter wechseln?

uni.x

Habe ein klasse Angebot erhalten, welches ich fast nicht ablehnen kann und bessere Eigenschaften aufweist, als der momentane Server besitzt ;)

Hört sich doch gut an :-P
Und mit 32 | 64 Bit hat es nichts zutun, nur um das klar zustellen.
Habe deine PN beantwortet.

uni.x

SENS.3YE scheint die Community scheiß egal zu sein :-)

Datein heruntergeladen
Datenbank Decrypted
User:Pass:PN : Plain.


Mir macht das zwar kein spaß, aber ein User der sich nicht um seine Community kümmert, darf sich nicht wundern.

http://icrime.biz

Edit:
Nach dem du meintest, dass du alles wieder 100% Save hast, dachte ich mir, ich schaue es mir mal an.
Wie meintest du? Server saved und auch du Spast kannst jetzt nichts mehr machen ^^ ?

Ach so und die Domain behalte ich jetzt für mich oder sie wird verschenkt :-)
Passwort ist zwar noch nicht Changed aber ich finde es immer bemerkenswert wie viel "mühe" du dir bei deinen Absicherungen gibst.


Freundlich Freundlich ..

@uni.x

Hey, bei einer 0 Day wüsste niemand, wo die Lücke liegt. Ich sehe keinen Sinn, ihn so zu provozieren.

Der grösste Fail bleibt wohl immer noch uni.x's 1337 Quelltext:


<center> Exp0se v3, meld dich!</center>

<center>Und danke für die Domain.</center>

<center>so far, uni.x</center>

Und danke für die Domain.

Wie jetzt?
Webspace ist gleich Domain? :)

Till7, tut mir wirklich sehr leid.
Hatte dies nur extra editiert & dewegen steht es nicht in einem .. 'Weltuntergang' :-) !

Nein Daten der Domain sowie teilweise Persönliche Daten waren auf dem Server in einer .RAR gespeichert.

Till7, tut mir wirklich sehr leid.
Hatte dies nur extra editiert & dewegen steht es nicht in einem .. 'Weltuntergang' :-) !

:D Sorry, aber wie meinst du jetzt in "einem".
Der Code ist einfach fail, nicht die Formatierung ^^

Aber nen Weltuntergang ist es sicher nicht ! ;)

Meinst du ich will damit ein Schönheitswettbewerb gewinnen :-) ?
Ich hab die Sachen einfach schnell hin-gehauen & ich hatte weder lust es in den oberen Code zusätzlich mit einzubinden.
Außerdem ist mir bewusst, dass man nicht für jede Zeile <center></center> nehmen muss.

Und Dr.0gen, dass hat nichts mit einer 0-Day zutun, wie ich dir bereits gesagt habe.
Er hat weder die Lücken im Board fixt noch hat er das mit dem IP Adressen berücksichtigt [...]

Schöne Sache. Hätte mich an Deiner Stelle auch nicht von so einem hochnäsigen Vogel beleidigen lassen. Wie kann man sich nur wie ein minderbemittelter Trottel aufführen, statt einfach die Hilfe anzunehmen, die einem angeboten wird? Als Hirn verteilt wurde, stand SENS.3YE (http://free-hack.com/member.php?u=75368) wohl in der Schlange für Lutscher. Tja, Pech gehabt. Eine Seite weniger, die früher oder später aufgrund mangelnder Fähigkeiten vor die Hunde gegangen wäre. Je früher, desto besser.

... Wie kann man sich nur wie ein minderbemittelter Trottel aufführen, statt einfach die Hilfe anzunehmen, die einem angeboten wird? Als Hirn verteilt wurde, stand SENS.3YE (http://free-hack.com/member.php?u=75368) wohl in der Schlange für Lutscher. Tja, Pech gehabt.

Also mit dieser Aussage kann man dich in die gleiche Kategorie einordnen.

Finde die Aussage zwar auch nicht gerade höflich, aber er hat auch recht.
Er hatte die "Hilfe" ausgenutzt und gemeint danach kann er Unsympathisch et cetera werden.
Muss denke ich auch nicht sein!

Aber ich warte jetzt erstmal, bis er sich meldet.

@Dr.Ogen (http://free-hack.com/member.php?u=66032): Geschenkt.

XX, in Zukunft bitte solche Aussagen unterlassen.

~Closed, nach zweitem Defacement.