Unser Thema phishing - in Bezug auf die Politikarena.


  • Es wird nach Benutzernamen und Passwort gefragt. Was soll ich also eingeben als diese beiden Sachen?


    Das solltest Du zukünftig tunlichst unterlassen. Solch eine Eingabeaufforderung lässt sich von jederman plazieren. Somit kann man dann Deine Zugangsdaten abgreifen und Dummheiten damit machen. Auch hier im Forum.


    @Alfred
    Eigentlich eine Sicherheitslücke

    ______________________________________________________________________________________________________________________________________________________________
    „Krieg ist ein Zustand, bei dem Menschen aufeinander schießen, die sich nicht kennen, auf Befehl von Menschen, die sich wohl kennen, aber nicht aufeinander schießen.“
    George Bernard Shaw

  • Stimmt.


    .... aber hier kommt niemand auf die Seite wo unser Verzeichnis HTACCESS geschützt ist.


    Das mag sein, aber jeder könnte hier im Strang eine Sicherheitsabfrage reinsetzen und somit die Daten der Benutzer abgreifen.

    ______________________________________________________________________________________________________________________________________________________________
    „Krieg ist ein Zustand, bei dem Menschen aufeinander schießen, die sich nicht kennen, auf Befehl von Menschen, die sich wohl kennen, aber nicht aufeinander schießen.“
    George Bernard Shaw


  • Nur von Leuten, die entsprechenden Zugriff auf den Webserver haben.
    Oder durch DNS-Spoofing und ähnliche Schweinereien. Ist aber nicht trivial.
    Also "jedermann" ist schon etwas übertrieben. :)


    Da unterliegst Du einem Irrtum. Eine Eingabeaufforderung kann jedermann provozieren und entsprechend Daten abgreifen. Dauert 20 Sek. Hab es eben getestet.

    ______________________________________________________________________________________________________________________________________________________________
    „Krieg ist ein Zustand, bei dem Menschen aufeinander schießen, die sich nicht kennen, auf Befehl von Menschen, die sich wohl kennen, aber nicht aufeinander schießen.“
    George Bernard Shaw

  • Das mag sein, aber jeder könnte hier im Strang eine Sicherheitsabfrage reinsetzen und somit die Daten der Benutzer abgreifen.


    Dann müsste er in der Lage sein unseren Server zu hacken.

    Vaterlandsliebe fand ich stets zum Kotzen. Ich wusste mit Deutschland noch nie etwas anzufangen und weiß es bis heute nicht.“ - Robert Habeck (Stellvertreter des Bundeskanzlers).

  • Da unterliegst Du einem Irrtum. Eine Eingabeaufforderung kann jedermann provozieren und entsprechend Daten abgreifen. Dauert 20 Sek. Hab es eben getestet.


    Wie willst Du Seite auf unsere Foren URL umleiten?

    Vaterlandsliebe fand ich stets zum Kotzen. Ich wusste mit Deutschland noch nie etwas anzufangen und weiß es bis heute nicht.“ - Robert Habeck (Stellvertreter des Bundeskanzlers).

  • Dann müsste er in der Lage sein unseren Server zu hacken.


    Eben nicht. Es geht auch ohne. Selbst die IP's der Nutzer lassen sich auslesen


    Wie willst Du Seite auf unsere Foren URL umleiten?


    Soll ich das wirklich erklären?

    ______________________________________________________________________________________________________________________________________________________________
    „Krieg ist ein Zustand, bei dem Menschen aufeinander schießen, die sich nicht kennen, auf Befehl von Menschen, die sich wohl kennen, aber nicht aufeinander schießen.“
    George Bernard Shaw

  • Dann müsste er in der Lage sein unseren Server zu hacken.


    Nee, dazu muss man kein Hacker sein, dass ist ja das perfide. Wie oben nachträglich geschrieben. Man kommt so auch an die IP's ran und kann sie per Zeitstempel dem Nutzer zuordnen.

    ______________________________________________________________________________________________________________________________________________________________
    „Krieg ist ein Zustand, bei dem Menschen aufeinander schießen, die sich nicht kennen, auf Befehl von Menschen, die sich wohl kennen, aber nicht aufeinander schießen.“
    George Bernard Shaw

  • Du meinst die IP unserer Seite?
    Ja, die kriegt man leicht raus.
    Dann müsste man aber den oder die DNS Server manipulieren, die unsere IP auf deutschlandforum.cc transformieren.
    Das kann nicht jeder.

    Vaterlandsliebe fand ich stets zum Kotzen. Ich wusste mit Deutschland noch nie etwas anzufangen und weiß es bis heute nicht.“ - Robert Habeck (Stellvertreter des Bundeskanzlers).

  • Du meinst die IP unserer Seite?
    Ja, die kriegt man leicht raus.
    Dann müsste man aber den oder die DNS Server manipulieren, die unsere IP auf deutschlandforum.cc transformieren.
    Das kann nicht jeder.


    Nein, die IP's der Nutzer. Also Deine, Meine usw

    ______________________________________________________________________________________________________________________________________________________________
    „Krieg ist ein Zustand, bei dem Menschen aufeinander schießen, die sich nicht kennen, auf Befehl von Menschen, die sich wohl kennen, aber nicht aufeinander schießen.“
    George Bernard Shaw

  • Wozu soll das gut sein?


    Naja, in der PA z.B. hat ein User versucht darüber die Standorte der Nutzer zu lokalisieren. Das wurde dann weitergereicht an die "Freunde".


    Leute die etwas von verstehen, können mit Hilfe der IP wesentlich leichter dein Rechner hacken. Im Übrigen auch mit kleineren DDos Attacken

    ______________________________________________________________________________________________________________________________________________________________
    „Krieg ist ein Zustand, bei dem Menschen aufeinander schießen, die sich nicht kennen, auf Befehl von Menschen, die sich wohl kennen, aber nicht aufeinander schießen.“
    George Bernard Shaw

  • Naja, in der PA z.B. hat ein User versucht darüber die Standorte der Nutzer zu lokalisieren. Das wurde dann weitergereicht an die "Freunde".


    Na ja, dass ist jetzt aber eine andere Baustelle und hat mit der Umleitung unserer Seite nichts zu tun.


    Leute die etwas von verstehen, können mit Hilfe der IP wesentlich leichter dein Rechner hacken. Im Übrigen auch mit kleineren DDos Attacken


    Zu einer DDOS Attacke müssten tausende von Bot Computern (sog. Zombi Rechner) dazu gebracht werden unseren Rechner anzusteuern, mit dem Resultat, dass der Verkehr
    so hoch wird, dass der Server zusammenbricht.
    In dem alten DF ist das mal passiert aber es waren nur so an die 50 PCs, dass habe ich sogar noch manuell mit IP Sperren hingekriegt.
    Hat ungefähr 2 Stunden Fleisarbeit und spätes Zubettgehen erfordert.


    So einfach ist das nicht und wenn ich schon diesen Aufwand betreibe und ein Botnetz von tausenden von Zombies zu erschaffen, dann hetze ich die nicht auf das DF, sondern auf wirklich interessante Server (ohne uns jetzt zu nahe zu treten), z.B. die Lügenrechner der westlichen "Qualitätsmedien".

    Vaterlandsliebe fand ich stets zum Kotzen. Ich wusste mit Deutschland noch nie etwas anzufangen und weiß es bis heute nicht.“ - Robert Habeck (Stellvertreter des Bundeskanzlers).


  • Wir reden hier von 2 unterschiedlichen Geschichten.


    Die eine Sache ist das Provozieren einer htaccess Eingabemaske in einem Strang. Was kann ich damit erreichen.
    1. Den Forenbetrieb stören, in dem ich jeden Strang mit htaccess Eingabe Aufforderungen zupflastere.
    2. Zugangsdaten abgreifen. Wir wir oben lesen konnten, haben die Benutzer der PA ohne nachzudenken ihre Forum Zugangsdaten in eine unerwartete htaccess Maske eingegeben.


    Um so eine htaccess Maske zu provozieren, muss ich weder den Server hacken, noch irgendwelche Angriffe starten. Die Sache ist viel banaler. Der Editor.
    Der Forum-Editor lässt das Einbinden von externen Inhalten zu. Und genau das ist der Knackpunkt. Somit kann jeder Depp, ja auch ein Opa Hoppenstedt z.b. ein Bild oder ein Video einbinden, dass nicht auf dem Forumserver liegt. Wenn der Opa jetzt noch Zugriff auf einen Webserver hat, kann er sein Bild htaccess schützen und jeder Besucher des Strang bekommt die htaccess Abfrage, gibt seine Daten ein, weil er denkt die Abfrage kommt vom Forum und gut ist. Der Opa sitzt am anderen Ende der Leitung und sieht den Usernamen + Passwort im Klartext. Was er mit diesen dann anstellen kann,muss ich nicht erklären, das hat uns Riddick in der PA ausführlich geschildert.


    Die 2. Sache ist das Sammeln der IP Adressen
    Mit der selben Methode kann ich auch die IP Adresse der Nutzer auslesen. Nur lasse ich diesmal natürlich die PW Abfrage weg. Der USer soll es ja nicht merken. Jeder der das Bild aufruft, hinterlässt seine IP Adresse, die URL und einen Zeitstempel auf dem Server vom Hoppenstedt. Der schaut jetzt im Forum nach, wer um 15:30 im Strang XY geantwortet hat und hat somit die IP eines Users. Damit kann er den Rechner des Users nach z.B. Sicherheitslücken, freien Ports usw scannen. Für einen DDOS Angriff auf einen privaten Rechner hinter einer DSL Leitung riechen meines Erachtens 5 Rechner mit der richtigen Software aus. Bein einem richtigen Webserver brauch man ein paar tausend, da hast Du recht. Der Provider ist ja mit entsprechenden Sicherheitsmaßnahmen geschützt.


    PS: Wer es mal testen will
    Schickt euch selber eine private Nachricht. Fügt ein Bild ein und gebt die URL der PA als Bildquelle an. :D
    http://www.politikarena.net/index.php

    ______________________________________________________________________________________________________________________________________________________________
    „Krieg ist ein Zustand, bei dem Menschen aufeinander schießen, die sich nicht kennen, auf Befehl von Menschen, die sich wohl kennen, aber nicht aufeinander schießen.“
    George Bernard Shaw

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!