Hallo,
soeben erhielt ich eine Amzon-Spam-Email. Mein Account wurde angeblich gesperrt, ich solle meinen Amazon-Username und Passwort eingeben. Die Mail war NICHT von Amazon sondern ganz klar Phishing!
Der in der eMail verwendete Username und die eMail wurden NUR HIER IM FORUM verwendet! Mit anderen Worten, das Forum wurde ganz klar gehackt.
Auch ich erhielt die Phishing-Mail an meine hier verwendete Mailadresse mit korrektem (hier verwendeten) Vornamen.
Ups, bei mir auch...[:0]
Andreas
Ich ebenfalls. [B)]
Marcus
Schließe mich an. Die Mail war aber schon automatisch als Spam aussortiert. Eine Rechnung über 745,15 Eus war dabei von einem Almer Hamuschki mit Bestellnr. 3020571682-3054809. Bloß komisch, daß ich bei den Kampffrauen gar nicht registriert bin[8D]
Hallo!
Ich habe zwar (noch) keine solche Mail erhalten, frage mich aber, was man jetzt am besten macht und wieviele User wohl betroffen sind? Vorsorglich habe ich mal mein Password geändert.
Grüße, Volker.
Morgen Leute und erstmal langsam...
ich habe diese Mail auch erhalten und zwar nicht über den Astrotreff. Ebenso meine Schwester und mein Vater, die beide nicht im Forum angemeldet wurden.
Also durchatmen und entspannen. Die Mail ist eine Phishingmail und gehört in den Müll und damit ist es auch schon getan.
Entspannten Sonntag noch!
Hallo Robert,
nur weil die eMail auch an Astrotreff-fremde Accounts gesendet wurde, ändert dies nichts an der Tatsache, dass ich die eMail an eine ausschließlich für astrotreff verwendete Adresse bekam. Auch mein Vorname inkl. Vertippter stammen von hier. Was du beschreibst ist ein normales Vorgehen der Kriminellen. Da solche Phishing Aktionen schnell bekannt werden, kommt es auf den Überraschungseffekt an. Also werden Adressen von verschiedenen Quellen gesammelt und dann alle auf einmal versandt. Mein AV blockt mittlerweile die entsprechende Seite.
Das Problem ist, die Daten sind jetzt in Fremden Händen. Daran ist nichts mehr zu ändern. Solange sich hier von den Betreibern niemand äußert, sollte man nur dann aktiv werden wenn Username und/oder Passwort auch auf anderen Seiten verwendet wurde und sie dort ändern (bei der Gelegenheit gleich überall verschiedene Usernamen/Passwörter einführen). Ich persönlich werde die hier verwendete eMail sperren, es ist klar das ab jetzt viel Spam etc. ankommen wird. Neue eMail/Passwort für astrotreff erst, nachdem der Hack hier von Betreiber Seite geklärt wurde.
Grüße
Tomm
Nach kurzer Suche bei Google ist alles klar. Der Betreiber möchte bitte dringend seine Foren Software aktualisieren. Das Ding ist über 10 Jahre alt und hat üble Lücken.
<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">Zitat:<hr height="1" noshade id="quote"><i>Original erstellt von: tomm73</i>
<br />Nach kurzer Suche bei Google ist alles klar. Der Betreiber möchte bitte dringend seine Foren Software aktualisieren. Das Ding ist über 10 Jahre alt und hat üble Lücken.
<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">
Ach was?
Also nochmal wie so oft hier schon angemerkt. Der Astrotreff dient eigentlich lediglich als Mail-Relay und macht echtes POP. Deine Email, die du ausschliesslich für den Astrotreff verwendest, kann in jedem Outlook-Adressbuch jedes Empfängers, der jemals über eine PN von dir kontaktiert wurde gespeichert worden sein.
Das bedeutet, das die EMail von daher kommen kann und nicht zwangsläufig vom Astrotreff.
Moin,
bevor ich mich bei tomm73 für all die hilfreichen Hinweise bedanke, werde ich der Sache nachgehen.
Niemand muss sterben.
matss
<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">Zitat:<hr height="1" noshade id="quote"><i>Original erstellt von: sweeper</i>
Also nochmal wie so oft hier schon angemerkt. Der Astrotreff dient eigentlich lediglich als Mail-Relay und macht echtes POP. Deine Email, die du ausschliesslich für den Astrotreff verwendest, kann in jedem Outlook-Adressbuch jedes Empfängers, der jemals über eine PN von dir kontaktiert wurde gespeichert worden sein.
Das bedeutet, das die EMail von daher kommen kann und nicht zwangsläufig vom Astrotreff. <hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">
Das hat mit dem Thema überhaupt nichts zu tun. Die Forensoftware hat gleich mehrere schwere SQL Injection Vulnerabilities. Jeder der google bedienen kann, kann hier ganz einfach von seinem Windows Browser aus sämtliche Userdaten auflisten (NICHT ausprobieren, das ist zumindest in Deutschland strafbar!). Jetzt angekommen? Die hier verwendete Foren-Version ist von 2002!
Davon abgesehen habe ich diese eMail nur ein einziges mal verwendet und, da ich den Usernamen vergessen hatte, nach dem Anlegen auch niemals jemanden per PN kontaktiert. Aber wie gesagt, das hat nichts mit diesem Thema zu tun.
Tomm, matss als Eigentümer des Astrotreff hat doch gerade oben geschrieben, dass er bereits nachforscht ob etwas passiert ist. Nun warten wir das doch mal ab. Nicht immer ist der erste und scheinbar logischte Schluss auch am Ende der richtige...
Alles gut.
Was tomm73 schreibt klingt schlüssig, Ich bin besorgt!
Ich bekam ebenfalls so eine Mail.
Jetzt habe soeben mein Passwort geändert und warte auf weitere Anweisung von Matts.
Moin,
hier mal ein Zwischenstand:
Zunächst einmal ergibt eine Google Suche nach dem Text der Phishing Mail leider, dass Mails mit praktisch exakt dem verwendeten Wortlaut seit letztem Herbst kursieren.
Wenn es eine Attacke auf die Daten des Astrotreff gab, kann diese also schon einige Zeit her sein.
Unsere Logfiles bewahren wir nur sehr kurz auf, sie dienen nur der Fehlerbehebung bei akt. techn. Problemen, nicht der Überwachung der User. Das ist nun etwas nachteilig.
Eine Kontrolle der aktuellen Logfiles ergab, dass ständig SQL-Injection Attacken auf den Astrotreff stattfinden.
Sie funktionieren aber nicht, der Server blockiert sie mit:
"Query string length exceeded maximum allowed. Request will be rejected."
Das liegt daran, dass seit Jahren alle URLs vom Webserver generell gefiltert werden, so dass selbst bei Schwachstellen der Forensoftware Angriffe (wie z.B. SQL Injections) erschwert werden (das merkt ihr z.B. daran, dass bei Uploads Dateien mit mehrfachen Punkten oder irgendwelchen Sonderzeichen im Dateinamen/ der URL gar nicht angezeigt werden können).
Eine Eskalation von User-Rechten fand ebenfalls nicht statt, es gibt nach wie vor exakt 2 Admins auf dem System.
Trotz alledem:
Ich kann das Gegenteil im Moment nicht beweisen. Man kann Konzerne mitsamt ihren Expertenteams ausspionieren - also _kann_ der Astrotreff ausspioniert werden (schon allein deswegen, weil die Kommunikation zwischen user und forum (noch) umverschlüsselt läuft).
Ebenso ist bekannt, dass die alte Server- und Forensoftware nicht mehr behebbare Schwachstellen aufweist.
Was sollte man jetzt tun?
- im Astrotreff ein Passwort verwenden, was man _nur_ im Astrotreff verwendet
Das ist zwar trivial und gilt für alle Internet Dienste.
Aber es verhindert, dass, falls irgendwo Userdaten ausgespäht werden, dann auch auf andere Daten der Benutzer bei anderen Dienstleistern zugegriffen werden kann.
Was tut der Astrotreff?
Wir prüfen, ob wir per sofort die Filteroptionen des Webservers noch strenger einstellen können, ohne die Benutzer zu behindern.
Wir haben bereits im Herbst letzten Jahres ein Projekt gestartet, die gesamte Software des Astrotreffs auszutauschen. Das erfordert viel an Zeit und Entwicklungsarbeit und es wird voraussichtlich vor dem 15. Astrotreff Geburtstag abgeschlossen sein.
Zusätzlich zu techn. Schutzmassnahmen wird der Astrotreff schon seit Jahren mehrfach täglich von Admins und Moderatoren auf Unregelmässigkeiten gecheckt.
Liebe Grüße
Matthias
PS: Da ein "Hack" nicht nachweisbar ist, habe ich das Topic von "ACHTUNG! Astrotreff wurde gehackt!" in "Datensicherheit im Astrotreff" geändert.
Das soll die Diskussion etwas versachlichen ...
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!
