Hacker
gepostet vor 19 Jahre, 9 Monate von FireWolf
der zweite angriff innerhalb von 48h auf qog!
gepostet vor 19 Jahre, 9 Monate von Mudder
und auch an dich ..
Wenn du nen Thread eröffnest, dann keinen halben Satz reinschreiben sondern vielleicht auch ein wenig erklären worums geht.
Wenn du nen Thread eröffnest, dann keinen halben Satz reinschreiben sondern vielleicht auch ein wenig erklären worums geht.
gepostet vor 19 Jahre, 9 Monate von Asrac
Das das Thema hier schon aufgemacht wird:
Bitte welchen Hackerangriff?
Über die DB oder die Scripte und ist es ein Programierfehler mit lücke gewesen oder ein Tool?
Wäre schön wenn man auch beruteilen könnte das der Admin einfach nur gepennt hat wie in deinem Fall das die Hacker über das Forum an die DB gekommen sind.
Das ging aber auch nur, weil das Forum fehlerhaft war. Das wurde veröffentlicht und wer dann nach 2 Monaten nicht ein Update macht darf sich nicht wundern.
Man sollte sich auch überlegen , ob man den FTP Port wirklich immer zu jeder Tag und Nacht Zeit offen halten muß?
Nein, muß man nicht!
Nur wenn man Scriptkiddys den Weg bereiten will!
Man kann auch per SSH öffnen und wieder nach gebrauch zumachen!
Eine Gescheite Firewall macht den Rest.
Das reicht für 90 % aller Profilneurotiker und Scriptkiddys aus.
Der Rest ist gefährlich und Interessiert sich nicht für Browsergames sondern für Versicherungen oder Banken.
Achja, wenn dann sollte man versuchen seine Ports zu Maskieren und zu verlegen.
Bitte welchen Hackerangriff?
Über die DB oder die Scripte und ist es ein Programierfehler mit lücke gewesen oder ein Tool?
Wäre schön wenn man auch beruteilen könnte das der Admin einfach nur gepennt hat wie in deinem Fall das die Hacker über das Forum an die DB gekommen sind.
Das ging aber auch nur, weil das Forum fehlerhaft war. Das wurde veröffentlicht und wer dann nach 2 Monaten nicht ein Update macht darf sich nicht wundern.
Man sollte sich auch überlegen , ob man den FTP Port wirklich immer zu jeder Tag und Nacht Zeit offen halten muß?
Nein, muß man nicht!
Nur wenn man Scriptkiddys den Weg bereiten will!
Man kann auch per SSH öffnen und wieder nach gebrauch zumachen!
Eine Gescheite Firewall macht den Rest.
Das reicht für 90 % aller Profilneurotiker und Scriptkiddys aus.
Der Rest ist gefährlich und Interessiert sich nicht für Browsergames sondern für Versicherungen oder Banken.
Achja, wenn dann sollte man versuchen seine Ports zu Maskieren und zu verlegen.
gepostet vor 19 Jahre, 9 Monate von schokofreak
bannen, bannnen, bannnen...
wenn ich nur wüste, was GN (noch) für Konkurenz hat... dann wär alles klar, woher diese User so kommen...
Gruss
wenn ich nur wüste, was GN (noch) für Konkurenz hat... dann wär alles klar, woher diese User so kommen...
Gruss
gepostet vor 19 Jahre, 9 Monate von Gambler
schokofreak wenn du echt Recht hast dann wär das ja mal ziemlich arm von denen. Aber ich glaub doch eher es sind beschränkte Kiddies
gepostet vor 19 Jahre, 9 Monate von schokofreak
Gambler... bis vor 1 Monat hab ich hier drin noch kein so "beschränktes Kind" gesehen.
Nun hat es gleich 5 oder so...
Ist das normal?
mister-x
planB
FireWolf
MagicForest
MagicForests offizieller MultieAccount
Alle nur mit dem einen Ziel, die Community zu stören.
Also ich finde das nicht normal!
Gruss
Nun hat es gleich 5 oder so...
Ist das normal?
mister-x
planB
FireWolf
MagicForest
MagicForests offizieller MultieAccount
Alle nur mit dem einen Ziel, die Community zu stören.
Also ich finde das nicht normal!
Gruss
gepostet vor 19 Jahre, 9 Monate von MagicForrest
lool.
Ich bin ein Multi?!
loool
Wie ich hier her gekommen bin, dachte ich mir, das ist ne gute Seite, die Idee ist auch jetzt noch gut.
Nur der Rest... naja.
Und wer soll ich deiner Meinung nach sein?
MagicForrestII oder was??
Ich habs echt nicht nötig mir HIER einen 2. Acc. zu erstellen.
lol
Ich glaub ich spinne...
Ich bin ein Multi?!
loool
Wie ich hier her gekommen bin, dachte ich mir, das ist ne gute Seite, die Idee ist auch jetzt noch gut.
Nur der Rest... naja.
Und wer soll ich deiner Meinung nach sein?
MagicForrestII oder was??
Ich habs echt nicht nötig mir HIER einen 2. Acc. zu erstellen.
lol
Ich glaub ich spinne...
gepostet vor 19 Jahre, 9 Monate von Sogil
Also ich weiss nicht mal fuer was qog steht. Und was das fuer ein Hackerangriff sein soll steht auch nich t dort. Ne DDOS attacke?
gepostet vor 19 Jahre, 9 Monate von Asrac
Einfach nicht beachten und mit Information oder Sinnvollem Kontern.
Bei meinem Server habe ich auch zum Schutz die Antwort des Server bei dem Versuch die Ports zu scannern Blockiert.
Das Scriptkiddy bekommt einfach keinen Port zurück.
Somit hat man nochmal rund 70 % der kleinen ausgebremst.
Was machst du noch so nebenbei zum Schutz.
Vieleicht ist ja was für mich dabei , um das System abzurunden !?
Bei meinem Server habe ich auch zum Schutz die Antwort des Server bei dem Versuch die Ports zu scannern Blockiert.
Das Scriptkiddy bekommt einfach keinen Port zurück.
Somit hat man nochmal rund 70 % der kleinen ausgebremst.
Was machst du noch so nebenbei zum Schutz.
Vieleicht ist ja was für mich dabei , um das System abzurunden !?
gepostet vor 19 Jahre, 9 Monate von cem0r
Original von Asrac
Somit hat man nochmal rund 70 % der kleinen ausgebremst.
Ich finde es witzig, wie du ständig mit völlig aus der Luft gegriffenen Prozentzahlen aufwartest. Noch lustiger ist die Tatsache, dass das immer Vielfache von Zehn sind - und das lässt das nicht grade glaubwürdig rüberkommen.
Ach ja, falls hier ein Off-Topic-Vorwurf kommt: Dein erster Post hier in diesem Thread suggeriert etwas verdammt gefährliches. Und zwar behauptest du, dass mit den von die beschriebenen Sicherungsvorkehrungen alle Leute ausgeschlossen werden würden, die interesse an einem Angriff auf besagte Systeme hätten. Das ist nicht nur falsch, sondern Verwantwortungslos.
gepostet vor 19 Jahre, 9 Monate von Gambler
Spätestens wenn einer im Rechenzentrum auf die Idee kommt ne ARP Attacke zu starten der am gleichen Switch hängt wie du hast du ein Problem. Ist echt erschreckend was man damit anstellen kann. Bei meinem Hoster ist das auch möglich.
gepostet vor 19 Jahre, 9 Monate von schokofreak
Leider, leider kommt otto Normalbürger ned in dein RZ.
Leider Leider leider, lässt sich ARP Spoofing leicht vermeiden.
Leider Leider leider, lässt sich ARP Spoofing leicht vermeiden.
gepostet vor 19 Jahre, 9 Monate von Gambler
Wer spricht denn von Otto Normalbürger? Der würd auch keine Angriffe starten. Im Rechenzentrum stehn noch massig andere Kisten von anderen Leuten rum. Und schreib mir ma per PM wie du ARP Angriffe komplett unterbinden willst?
Außerdem gibts ja noch andere Angriffe. Und Port 80 is wohl bei allen Games offen
Außerdem gibts ja noch andere Angriffe. Und Port 80 is wohl bei allen Games offen
gepostet vor 19 Jahre, 9 Monate von Kallisti
Mit Hilfe intelligenter Switches, die eine MAC fest an einen Port binden und da keine anderen output akzeptieren?
gepostet vor 19 Jahre, 9 Monate von schokofreak
1. gibt es switches, welche einen ARP Spoofing versuch detektieren und unterbinden.
2. Kann man (und sollte man!) in einem RZ die Switch Ports fix mit ARP Adressen belegen; Wiederum gibt es da Switches welche ARP antworten von Ports mit nicht gültiger ARP dahinter verwerfen.
Aber das ist eigentlich nebensächlich.
Hauptsächlich ist es So, dass ein OS selbst es eigentlich (wenn mans sauber aufsetzt) detektieren sollte, wenn da wer anderes mit seiner IP unterwegs ist...
=> Speziell im UNIX umfeld gibt es sogar schon OSe, welche fixfertig so kommen.
Viel wichtiger.
Das Aufsetzen eines IDS ist nun mal einfach Pflicht für jedes RZ. Muss nix umwerfendes sein, aber so was simples wie ne Detektion eines ARP Spoofings ist da absolut schnell möglcih.
bei ner IDS Eskalation ist dann wohl das Vorgehen: Dem Switch mitteilen, dass der Angreifer- Port deaktiviert werden muss.
Admin aufwecken
admin nimmt Server endgültig vom Netz und gibt Anklage auf.
N Portscan ist nichts schilmmes und sollt eigentlcih toleriert werden (hab aba auch schon FWall Admins gesehn, welche paraniod hinter jedem Portscan nachrennen). N ARP Spoofing hingegen ist eindeutig bösartig motiviert und kann meiner meinung kein anderes Resultat als ein Gerichtsverfahren anch sich ziehen.
Gruss
2. Kann man (und sollte man!) in einem RZ die Switch Ports fix mit ARP Adressen belegen; Wiederum gibt es da Switches welche ARP antworten von Ports mit nicht gültiger ARP dahinter verwerfen.
Aber das ist eigentlich nebensächlich.
Hauptsächlich ist es So, dass ein OS selbst es eigentlich (wenn mans sauber aufsetzt) detektieren sollte, wenn da wer anderes mit seiner IP unterwegs ist...
=> Speziell im UNIX umfeld gibt es sogar schon OSe, welche fixfertig so kommen.
Viel wichtiger.
Das Aufsetzen eines IDS ist nun mal einfach Pflicht für jedes RZ. Muss nix umwerfendes sein, aber so was simples wie ne Detektion eines ARP Spoofings ist da absolut schnell möglcih.
bei ner IDS Eskalation ist dann wohl das Vorgehen: Dem Switch mitteilen, dass der Angreifer- Port deaktiviert werden muss.
Admin aufwecken
admin nimmt Server endgültig vom Netz und gibt Anklage auf.
N Portscan ist nichts schilmmes und sollt eigentlcih toleriert werden (hab aba auch schon FWall Admins gesehn, welche paraniod hinter jedem Portscan nachrennen). N ARP Spoofing hingegen ist eindeutig bösartig motiviert und kann meiner meinung kein anderes Resultat als ein Gerichtsverfahren anch sich ziehen.
Gruss
gepostet vor 19 Jahre, 9 Monate von FireWolf
Original von schokofreak
Gambler... bis vor 1 Monat hab ich hier drin noch kein so "beschränktes Kind" gesehen.
Nun hat es gleich 5 oder so...
Ist das normal?
mister-x
planB
FireWolf
MagicForest
MagicForests offizieller MultieAccount
Alle nur mit dem einen Ziel, die Community zu stören.
Also ich finde das nicht normal!
Gruss
und was bitte schön soll das heißen? ich bin zwar meiner eltern kind, aber schon lange kein kind mehr und beschränkt schon garnicht! alle lehrer in der schule und der berufschule haben mir ein überdurchschnittliches allgemeinwissen bescheinigt und der arbeitspsyschologe hat mich in die berufsgruppe "D" eingestufft. solltest du mit deinen 15? it-professor an der uni sein werde ich "entschuldigung" sagen und mich als beschränkt ansehen.
mufg
gepostet vor 19 Jahre, 9 Monate von schokofreak
Original von schokofreak
bannen, bannnen, bannnen...
wenn ich nur wüste, was GN (noch) für Konkurenz hat... dann wär alles klar, woher diese User so kommen...
Gruss
Da die antwort...
Und den Begriff "beschränktes Kind" wurde von Gambler gewählt...
gepostet vor 19 Jahre, 9 Monate von Gambler
schokofreak und Kallisti
das ganze ist mir schon klar.
Allerdings ist so ein Schutz in den Switches meist mit hohen Kosten und etwas mehr Arbeitsaufwand zu bewerkstelligen. In der Lage dazu sind meistens nur die der teureren Preisklasse. Allerdings ist aus eigener Erfahrung dieser Schutz nicht immer gewährleistet. Bei S4Y ist das z.B. nicht der Fall. Letztes Jahr war in der CT ein großer Root Server Test, da waren noch 1 oder 2 andere dabei bei denen sowas möglich war.
Das jetzt ma nur zu den wirklich großen Netzen. In kleineren funktionieren solche attacken fast immer, aber hier gehts ja um Server
das ganze ist mir schon klar.
Allerdings ist so ein Schutz in den Switches meist mit hohen Kosten und etwas mehr Arbeitsaufwand zu bewerkstelligen. In der Lage dazu sind meistens nur die der teureren Preisklasse. Allerdings ist aus eigener Erfahrung dieser Schutz nicht immer gewährleistet. Bei S4Y ist das z.B. nicht der Fall. Letztes Jahr war in der CT ein großer Root Server Test, da waren noch 1 oder 2 andere dabei bei denen sowas möglich war.
Das jetzt ma nur zu den wirklich großen Netzen. In kleineren funktionieren solche attacken fast immer, aber hier gehts ja um Server
gepostet vor 19 Jahre, 9 Monate von Kallisti
Mag ja sein, dass es funktioniert. Die kleinere Downphase werden die User voll verschmerzen können. Der Initiator der Attacke hingegen wird danach recht unglücklich werden, sofern die Admins halbwegs fähig sind...
gepostet vor 19 Jahre, 9 Monate von schokofreak
Kalisti: Das risiko ist das, dass via ARP Spoofing ein Man in the middle ausgeführt wird.
-> Sprich es fällt niemandem auf.
und ja @ Gambler:
Wenn wir von Switches für ein RZ Sprechen, dann sprechen wir ned von Switches für 100 euro...
Ich mein, versuch du mal n 100 Euro Switch auf volllast zu betreiben?
Das heist, du hast in einem solchen Umfeld automatisch Switches der teureren Sorte.
Und wie kalisti auch schon sagt. Selbst wenn de rServer wegen sowas downgeht ist ned so schlimm...
Jeder halbwegs fähige Admin wird es hinkriegen, beweise zu sammeln. Und für den Angreifer bedeutet dies dann 10 Jahre bau oder so...
Gruss
-> Sprich es fällt niemandem auf.
und ja @ Gambler:
Wenn wir von Switches für ein RZ Sprechen, dann sprechen wir ned von Switches für 100 euro...
Ich mein, versuch du mal n 100 Euro Switch auf volllast zu betreiben?
Das heist, du hast in einem solchen Umfeld automatisch Switches der teureren Sorte.
Und wie kalisti auch schon sagt. Selbst wenn de rServer wegen sowas downgeht ist ned so schlimm...
Jeder halbwegs fähige Admin wird es hinkriegen, beweise zu sammeln. Und für den Angreifer bedeutet dies dann 10 Jahre bau oder so...
Gruss
gepostet vor 19 Jahre, 9 Monate von Gambler
Ja mag sein aber dann gibts immernoch die Inkompetenz mancher Personen die das ganze betreuen. Bei S4Y z.B. gab es oder gibt es noch (weiss nicht wies atm ist) swichting Probleme. Sprich, die haben in den HUB Modus umgeschaltet aufgrund irgendeines Problems und dann is mit Sicherheit eh nichtmehr viel.