iCrime.biz goes Online

[chVPN]

Ganz abgesehen davon... Wer 0day Lücken in einem Open Source Projekt findet, soll diese entweder verkaufen oder noch besser: Die Leute vom Projekt darauf aufmerksam machen, aber ganz bestimmt nicht in einem Public Forum irgendwelche Andeutungen machen.

Bei Closed Source und Shareware siehts natürlich anders aus...

Zur Person Senseye möchte ich mich jetzt gar nicht auslassen. Das würde zu kollektivem Fremdschämen führen.

OT@Dr. Ogen: Uffie <3

[uni.x]

Ich nenne die Lücke aus Prinzip nicht, da ich dem User nicht Schaden möchte.
Ich denke mal er führt das Projekt weiter und Fixxt das ganze jetzt.
Aber fragen über die Vorgehensweise können im Thread gestellt werden und diese werden per PN beantwortet.

Gruß, uni.x

http://deffensive-security.com
http://icrime.biz
http://board.deffensive-security.com


Und das mit den Umlauten ist mir bewusst.

[cby]

Mich würde nur interessieren in welcher Datei die Lücke ist. Suchen kann ich dann selbst.

[uni.x]

An der Forensoftware SMF ist nicht viel zu machen, schon aus dem Grund da er wenige Addons installiert hat und SMF so sehr sicher ist.
Der Angriff bezog sich auf seinen 'Server', dabei ist mir aber bei genauerem Ansehen aufgefallen, dass man sich mit einer Methode seinen Acivated User Account auf Admin Account Pushen kann. Und da man im Admin CP die FTP Daten + Pfad eingeben muss, ist es keine große Sache mehr.

Genaueres wird bekannt gegeben sobald SENS.3YE die Sachen Fixxt hat.
uni.x

[Ogen]

Nach unserer kleinen Unterhaltung kamst du zu dem Entschluss, dass dein Server und die Boardsoftware sicher wären. Da muss ich dich leider enttäuschen, kein Server der Welt oder auch die Boardsoftware kann 100% Save sein. Du bist ja schon so "lange" in der Scene und solltest das eigentlich Wissen. Aber man hat gesehen das du Erfahrung in dem Gebiet hast und du deine Member nicht angelogen hast. Server für den Otto Normal Verbraucher gerecht gesichert, Datenbank wie du beschrieben hast auch Crypted. Ich könnte jetzt noch so viel schreiben, aber dafür ist mir meine Zeit zu schade ich Wünsche dir noch alles gute bei deinem Projekt. uni.x@secure-mail.biz Greetz to all FreeHack and B2H members.

Und schon ist es passiert.

[XX]

@uni.x: Du solltest nun aber auch veröffentlichen, wo genau die Lücke am Server war, wie man es fixt und wer alles betroffen sein könnte und warum (also, welche Komponenten zusammen kommen müssen, damit die Lücke entsteht). Das ist das Mindeste. Gerne auch per PN. Ach, und sofern es entsprechende offizielle Stellen gibt, die die Lücke interessieren dürfte, damit sie gefixt werden kann und so weitere Kunden in Zukunft schützt, solltest Du diese umgehend informieren. Soviel Kodex und Selbstverständnis solltest Du haben.

[Ogen]

Das muss er absolut nicht. Es ist seine Luecke und muss sie nicht weitergeben. Wenn er sie öffentlich stellen würde, dann würden alle Schüler denken, sie haben etwas erreicht mit einer public Lücke.

[uni.x]

Natürlich habe ich das, deswegen habe ich das ganze ja gemacht?
Ich wollte dem Member nicht schaden sondern helfen!
Sobald er es Fixxt hat was ich ihm Mitgeteilt habe, dann kann ich auf die ganze Sache weiter eingehen.
Ich weiß nicht ob es mit dem Admin Pushen selbstverschulden der Administration war .. oder nicht.
Wie gesagt beruhte auf den Server | Space.

Gruß, uni.x

@Dr.0gen, ich danke dir. Auch wenn es sich denke ich nicht um eine Public Lücke handelt, lege ich darauf nicht sehr viel Wert.
Erläuterungen kann man denke ich immer bringen, ohne diese genau nennen zu müssen.

[XX]

Sobald er es Fixxt hat was ich ihm Mitgeteilt habe, dann kann ich auf die ganze Sache weiter eingehen.

Ich nehm' Dich beim Wort. Das Du ihm damit nur helfen willst, ist mir schon klar. Er ist aber vermutlich nicht der Einzige, der Hilfe benötigt.

[uni.x]

Kannst du gerne tun.
Dann müsste ich ja jedem Board helfen auf dem ein bestimmtes System läuft & etwas bestimmtes auf dem Server gelagert hat.
Oder vom Server einfach nur bestimmtes Space splittet und zu Verfügung gestellt wurde.

Wie oben gesagt, werde ich auf genaueres noch eingehen.
Leute die momentan ein Board auf Linux Debian 32 Bit + nginx + mysql - phpmyadmin installiert haben, können sich ja per PN melden.
Darunter wäre auch FH betroffen, trotz das der SSH Port geändert wurde und anscheind PermitRootLogin deaktiviert wurde.