Tweakers gehacked......?

Er is echter geen enkel bewijs dat iemand in de database heeft gerommeld.

Als we Peter R. de Vries nou ff laten kijken, weten we het zeker

De beuk erin!

Geef de dader maar

De dader is geen beuk waard

Hoe weten jullie nou zeker dat deze hacker niks heeft gedaan... misschien een bestandje op de server gezet waarmee bv logs gaat creeren op zijn eigen server, en daarmee passwords in handen krijgt. En dan zijn sporen uitwissen.. Is bij mijn vaders werk ook gebeurd. maar die zijn niet via telnet binnengekomen

Op donderdag 01 november 2001 00:06 schreef smaij het volgende:
Hoe weten jullie nou zeker dat deze hacker niks heeft gedaan... misschien een bestandje op de server gezet waarmee bv logs gaat creeren op zijn eigen server, en daarmee passwords in handen krijgt. En dan zijn sporen uitwissen.. Is bij mijn vaders werk ook gebeurd. maar die zijn niet via telnet binnengekomen

Denk niet dat kees gek is, bovendien.. dan hebben ze je password ge'bruteforced' dmv die md5 strings. En dan?

* jep vind 't allemaal niet zo erg hoor.. iedereen wordt weer even tot de aandacht geroepen

Op woensdag 31 oktober 2001 22:18 schreef WouterTinus het volgende:
Er is echter geen enkel bewijs dat iemand in de database heeft gerommeld.

Dat lijkt me ook helemaal niet kunnen, aangezien die op een hele andere server draait. Als ie daar ook op is geweest haddne we een nog veeeeel groter probleem.

Wordt de bewuste server opnieuw geïnstalleerd, of is dit reeds gebeurt.

Kees > < De nog onbekende.

Kees is aan het winnen, en * Diamon Diamon ziet het gebouw al binnen treden om "De nog onbekende" op te halen.


Kees, reken het je zelf niet aan, dit soort dingen gebeuren nu eenmaal.
Een server kun je nooit 100% beveiligen tegen Hackers, ongeacht waardoor ze binnen konden komen.

ik ben de servers grondig aan het scannen, verder update ik een x-aantal pakketten die mogelijk gecomprised zouden kunnen zijn (sshd, tcpip kit, inetd).
Ik hoop dat dat genoeg is, zo niet dan zal ik de boel opnieuw moeten instaleren.

<-- heeft er ook niets mee te maken.

Defacen is altijd lame, no matter what.

Op donderdag 01 november 2001 03:12 schreef Kees het volgende:
ik ben de servers grondig aan het scannen, verder update ik een x-aantal pakketten die mogelijk gecomprised zouden kunnen zijn (sshd, tcpip kit, inetd).
Ik hoop dat dat genoeg is, zo niet dan zal ik de boel opnieuw moeten instaleren.

Even de paranoide vraag: HOE weet je dat het genoeg is?

Wim

Ik heb er niks mee te maken, sterker nog ik wist er niet van tot dit moment, maar ik ken een paar gasten van phreak en ik kan je zo al vertellen dat ze verder niks doen. In 99% van de gevallen pleuren ze alleen hun eigen index online.

Maarja 't is wel vervelend natuurlijk als je gehackt wordt

Ik kijk er helemaal niet van op, dat Tweakers gehackt is! Eigenlijk vrij logisch, omdat 'n beetje hacker weet, dat als 'n server pas geinstalleerd is, de kans groot is, dat nog niet alle security-fixes zijn gedraaid & de boel is geoptimaliseerd. Ik vind 't dan ook 'n beetje flauw dat er afgegeven wordt op de sys-admins. Ze hebben dit weekend hard gewerkt om alles lekker draaiend te krijgen & snap best dat ze 1, of andere security-leak over 't hoofd hebben gezien.

Ik kijk er helemaal niet van op, dat Tweakers gehackt is! Eigenlijk vrij logisch, omdat 'n beetje hacker weet, dat als 'n server pas geinstalleerd is, de kans groot is, dat nog niet alle security-fixes zijn gedraaid & de boel is geoptimaliseerd. Ik vind 't dan ook 'n beetje flauw dat er afgegeven wordt op de sys-admins. Ze hebben dit weekend hard gewerkt om alles lekker draaiend te krijgen & snap best dat ze 1, of andere security-leak over 't hoofd hebben gezien.

Wijze woorden

Op donderdag 01 november 2001 09:43 schreef Traag het volgende:

[..]

Wijze woorden

onzinnige woorden. Een server gooi je NOOIT in productie voordat hij volledig gepatched is, zeker niet met webservers in een vijandige omgeving (internet dus). Als het nou een moeilijke en knappe hack was geweest ala, maar telnet is het eerste wat je dichtzet!

(sterker nog; een nieuwe machine is juist vaak beter dichtgezet dan een machine die al enige tijd draait..)

Op donderdag 01 november 2001 10:05 schreef Paz het volgende:
onzinnige woorden. Een server gooi je NOOIT in productie voordat hij volledig gepatched is, zeker niet met webservers in een vijandige omgeving (internet dus). Als het nou een moeilijke en knappe hack was geweest ala, maar telnet is het eerste wat je dichtzet!

(sterker nog; een nieuwe machine is juist vaak beter dichtgezet dan een machine die al enige tijd draait..)

De tijd werktte tegen hen. Er waren inmiddels zoveel time-outs e.d. dat ze snel de nieuwe server online wilden hebben. Ik snap dat wel..

Yep, en de beste stuurlui staan nou eenmaal aan wal he, het is heel makkelelijk om kritiek te leveren op dingen die fout zijn gegaan.

Ik denk dat het ego van Kees het zwaarst getroffen is

beaves / TwwT-unexplained; da's een windows reactie, we hebben het hier over SERVERS, *NIX servers en een telnet deamon niet patchen is net zoiets als het openzetten van je file en printersharing op je chello verbinding.

ik reageer niet om kees een veeg uit de pan te geven maar om de -onzinnige- woorden van iemand recht te zetten.

Wel grappig, altijd lekker zeiken op MS dat het zo buggy en lek is, en dat MS admins fouten maken omdat ze alleen met gui's kunnen werken, maar weer eens een goede les dat de meeste hacks veroorzaakt worden door menselijke fouten.

Op donderdag 01 november 2001 10:30 schreef Paz het volgende:
beaves / TwwT-unexplained; da's een windows reactie, we hebben het hier over SERVERS, *NIX servers en een telnet deamon niet patchen is net zoiets als het openzetten van je file en printersharing op je chello verbinding.

ik reageer niet om kees een veeg uit de pan te geven maar om de -onzinnige- woorden van iemand recht te zetten.

Windows reactie? Doe alsjeblieft niet zo kortzichtig. Ik heb ruime ervaring (meer dan 3 jaar) met Linux, ook in productieomgevingen, dus ik weet wel waar ik over praat.

Daarbij, ik zeg dat ik het SNAP. Niet dat ik het ook zo zou doen.

Op donderdag 01 november 2001 11:42 schreef TwwT_Unexplained het volgende:

[..]

Windows reactie? Doe alsjeblieft niet zo kortzichtig. Ik heb ruime ervaring (meer dan 3 jaar) met Linux, ook in productieomgevingen, dus ik weet wel waar ik over praat.

Daarbij, ik zeg dat ik het SNAP. Niet dat ik het ook zo zou doen.

Precies. En zoals ze zeggen, de beste stuurlui staan aan wal.

Dat de beste stuurlui aan wal staan weten we nu wel. Dat deze hack niet alleen heeft aangetoond dat er onzorgvuldig met security policies wordt omgesprongen is duidelijk (haastige spoed is belangrijker dan zorgvuldigheid kennelijk), echter wat het ook heeft aangetoond is dat T.net wellicht nu toch wel eens wat haast mag maken met een uniforme security policy, zodat beheer/bouw en users die wat meer mogen dan alleen tekstjes posten hier op het forum zich er aan te houden hebben en je ook met een vinger kunt wijzen naar een persoon (of personen), indien er een fout is gemaakt. We hebben het hier niet over een vrijwilligersjob, maar een betaalde sysadmin baan voor een gewone organisatie die de sysadmin betaalt voor zn diensten.

Op woensdag 31 oktober 2001 11:30 schreef Llewella het volgende:

[..]

Dit is een vlammetje, let er een beetje op...

Maarreuh ik vond het ook niet zo geweldig staan...
Het robin hood imago uitbuiten...
En ik ben geen vvd-er hoor, verre van dat
Kijk het is een mooi statement, alleen gemaakt door de verkeerde persoon of althans tijdens de verkeerde actie

Maar wel liev om te zien dat deze mensen zo begaan zijn met de wereld en graag mensen willen helpen

Tja dan zal ik wel een wereldverbeteraar zijn...

Ya'll give it up for mister EgoVVD "BAZZA" KakFreak!

Dat wat daar staat klopt...500.000 doden is erger dan 5000...niet dan?

Misschien een vlammetje..maar iedereen weet wat ik bedoel...argumenten zijn overbodig...als je het toch nog niet snapt vraag gerust om mijn uitleg...

Tja zulke dingen gebeuren nou eenmaal he, ik heb het nog gezegd, maarja niet luisteren he.
Mijn pentium 60-je (die ik een poosje geleden gratis aanbood) een beetje afkraken etc etc, maar kon wel mooi als extra firewall dienen(ofziets dergelijks in die buurt)
Dan was dit nooit gebeurd

Op donderdag 01 november 2001 03:12 schreef Kees het volgende:
ik ben de servers grondig aan het scannen, verder update ik een x-aantal pakketten die mogelijk gecomprised zouden kunnen zijn (sshd, tcpip kit, inetd).
Ik hoop dat dat genoeg is, zo niet dan zal ik de boel opnieuw moeten instaleren.

Kijk je ook even met aandacht naar de steeds populairder wordende rootkit-kernelmodules die alles wat je niet mag zien heel makkelijk voor je verborgen kunnen houden, waaronder zichzelf?

Komt er eigenlijk nog een officieel bericht op de frontpage ofzo? De meeste sites vertellen toch meestal wel wat er gebeurd is. Het enige wat ik er hier over kan vinden is dit topic.

Op donderdag 01 november 2001 03:12 schreef Kees het volgende:
ik ben de servers grondig aan het scannen, verder update ik een x-aantal pakketten die mogelijk gecomprised zouden kunnen zijn (sshd, tcpip kit, inetd).
Ik hoop dat dat genoeg is, zo niet dan zal ik de boel opnieuw moeten instaleren.

Zet er meteen een fileindexer op, zodat je in het vervolg zeker weet, welke bestanden wel en niet gecompromised zijn.

En please gebruik die tcpwrappers als je geen firewall gebruikt/hebt. Ze zitten er niet voor niks op.

Ik hoef niet te zeggen, dat direkte root-logins niet mogelijk moeten zijn en dat het verstandig is om SSH/telnet voor de buitenwereld maar op een paar machines open te zetten (de rest moet via een van die machines verbinden).

Inderdaad de beste stuurlui staan altijd aan wal, maar ja dat houdt de mens scherp. Elke machine die services draait en niet in beton gestort is, zonder netwerkkabel en toetsenbord is in den beginne te hacken.

Op donderdag 01 november 2001 00:12 schreef RG© het volgende:

[..]

Dat lijkt me ook helemaal niet kunnen, aangezien die op een hele andere server draait. Als ie daar ook op is geweest haddne we een nog veeeeel groter probleem.

Als je de webserver hebt kun je uit de php scripsels zo het database pass halen hoor. Of gewoon de db-admin gebruiken. Kunnen kan/kon het dus makkelijk.

Op woensdag 31 oktober 2001 22:18 schreef WouterTinus het volgende:

[..]

Alle wachtwoorden van bezoekers die in de database staan zijn MD5 strings. Daarmee kan men dus niet direct wachtwoorden aflezen of inloggen, maar als je een "makkelijk" pass hebt (zoals "boom" bijvoorbeeld ) dan is het wel erg makkelijk te bruteforcen.

Er is echter geen enkel bewijs dat iemand in de database heeft gerommeld.

Het lijkt me toch wel handig om dit ff goed duidelijk te maken aan alle forum gangers en iedereen te adviseren, bijvoorbeeld op de frontpage, zijn wachtwoord te weizigen en ook op andere plaatsen waar men dat wachtwoord gebruikt. Je hebt nl. ook geen bewijs dat niemand de passwords heeft, of heb ik dat verkeerd begrepen?
Ik weet niet of jullie database queries loggen en of die bak ook gecompromised is, maar zelfs als jullie loggen en die data is te vertrouwen lijkt het me _nogal_ lastig om het vershil tussen queries van de crackers en 'gewone' queries te zien.

Mijn wachtwoord mogen ze wel hebben, zo'n ramp is het niet.....

BTW: Het zijn MD5 hashes, dus ze zullen nooit je echte wachtwoord weten. Je zult hem alleen wel op GoT moeten wijzigen, maar stel je hebt 'puk' als wachtwoord, en je gaat die brute-forcen, dan kun je ook 'piet' als wachtwoord krijgen, wat dan ook kan werken. (Kort gezegd: Een MD5 heeft meerdere 'oplossingen')

Op woensdag 31 oktober 2001 09:00 schreef Floris Diemel het volgende:

[..]

Dat was voor mijn tijd gelukkig, met mij hadden ze echt onwijze ruzie gehad anders.

Net zoals we keihard hebben opgetreden n.a.v. het FWF forum.

is dat de reden dat die RobtH gebanned blijft? Omdat ie meer wist over de FWF-hacks en hoe dat werkelijk is gegaan?

WAt dachten jullie er van om aangiften te doen je hebt een een naam van de groep die het gedaan heeft.
Hacken blijft hacken dus bij wet strafbaar.
Want jullie heben natuurlijk geen toesteming gegeven van kom en probeer ons maar uit.

{ Maar dat heeft Tweakers en FOK! als vast wel gedaan }

Op donderdag 01 november 2001 20:00 schreef uibeltje het volgende:

[..]

is dat de reden dat die RobtH gebanned blijft? Omdat ie meer wist over de FWF-hacks en hoe dat werkelijk is gegaan?

Hmmz ja, Robth is gebanned omdat hij simeplweg de waarheid sprak in dat geval. Nu ontken je het zelf niet... dan vind ik niet dat je Robth gebanned moet houden.

Nou Kees zal deze fout niet snel weer maken

En verder Kees veel succes. Wat mij betreft ben je een hele goede sysadmin en iedereen maakt wel een seen foutje

Eerste hack die ik kan waarderen.

Op donderdag 01 november 2001 20:00 schreef uibeltje het volgende:

[..]

is dat de reden dat die RobtH gebanned blijft? Omdat ie meer wist over de FWF-hacks en hoe dat werkelijk is gegaan?

flikker toch eens op met je RobtH. hij is gebanned, klaar uit. dus kap nu aub eens met dat gezeur over één of andere kneus die gebanned is, daar bereik je niets mee (behalve irritaties)

zo, dat moest er ff uit

[ontopic]
ik weet niet goed hoe ik er over moet denke. aan de ene kant is het op zun minst dom te noemen dat er zo met de beveiliging wordt omgesprongen (zeker op een grote site met veel bezoekers) maar aan de andere kant vind ik het ook geen ramp ofzo. sterk vind ik ook dat Kees er geen lulverhaal om heendraait maar het gewoon "recht voor zijn raap" zegt.

Op donderdag 01 november 2001 23:21 schreef Theeboon het volgende:
Eerste hack die ik kan waarderen.

Wat valt er te waarderen aan een stomme kant-en-klare exploit draaien op een bekende vurn. service (telnet) en pagina's slopen? 't Wordt tijd dat de pubers niet zoveel positieve aandacht krijgen, alleen maar omdat andere mensen blijkbaar niet weten hoe simpel het is wat ze doen.

Op woensdag 31 oktober 2001 09:18 schreef Flipke het volgende:
WANTED, Alive!

[afbeelding]

hij is wel eng

t'is gewoon een broekie

Op donderdag 01 november 2001 23:40 schreef nelis het volgende:

[..]

flikker toch eens op met je RobtH. hij is gebanned, klaar uit. dus kap nu aub eens met dat gezeur over één of andere kneus die gebanned is, daar bereik je niets mee (behalve irritaties)

Doe eens even normaal zeg, je kunt heus wel even op je taalgebruik letten. Robth zat hier al langer dan jij, Robth is geen kneus, Robth is volgens mij en anderen onterecht gebanned --> iets dat hier duidelijk naar voren komt.

Marre, ik heb wat plaatjes gezien dat de bek van het Tweakhoofdje linksbovenin andersom is gezet. Is dat gedaan tijdens die kraak????

Op vrijdag 02 november 2001 19:54 schreef saviour het volgende:

[..]

Doe eens even normaal zeg, je kunt heus wel even op je taalgebruik letten. Robth zat hier al langer dan jij, Robth is geen kneus, Robth is volgens mij en anderen onterecht gebanned --> iets dat hier duidelijk naar voren komt.

Wat maakt het nou uit hoe lang iemand hier komt ?? Waarom hij gebanned is hoef ik niet te weten, maar kan me nog wel herrineren dat hij niet zo'n grote (positieve) bijdrage heeft geleverd aan got.....dus 0,0 verlies

Op donderdag 01 november 2001 03:12 schreef Kees het volgende:
ik ben de servers grondig aan het scannen, verder update ik een x-aantal pakketten die mogelijk gecomprised zouden kunnen zijn (sshd, tcpip kit, inetd).
Ik hoop dat dat genoeg is, zo niet dan zal ik de boel opnieuw moeten instaleren.

Als ik jou was zou ik dat maar doen ja..
http://files.tweakers.net/counter-strike/?file=hl1108.exe

Op vrijdag 02 november 2001 21:57 schreef RedRoon het volgende:

[..]

Wat maakt het nou uit hoe lang iemand hier komt ?? Waarom hij gebanned is hoef ik niet te weten, maar kan me nog wel herrineren dat hij niet zo'n grote (positieve) bijdrage heeft geleverd aan got.....dus 0,0 verlies

En dáár heeft het nou mee te maken, jij kent Robth helemaal niet goed. De reden dat zijn postgedrag destijds veranderde was omdat er problemen waren crew <--> users. Dus praat niet over zaken waarvan jij niet weet waar ze over gaan ajb, dank.

Op vrijdag 02 november 2001 22:15 schreef saviour het volgende:

[..]

En dáár heeft het nou mee te maken, jij kent Robth helemaal niet goed. De reden dat zijn postgedrag destijds veranderde was omdat er problemen waren crew <--> users. Dus praat niet over zaken waarvan jij niet weet waar ze over gaan ajb, dank.

zo was dat ja, maar ik zal me er niet teveel over uitlaten, aangezien de admins of mods er toch niet over wensen te spreken tot zover ik heb begrepen/ervaar.

Nou kees veel suc6 met het herstellen enzo, nu weet je wel in iedergeval zeker dat je een mens bent, want mensen kunnen fouten maken

hoeii het moest er een keer van komen

best koel... ik vraag me af hoe ze dat gedaan hebben

/me is scriptkiddy wannaB

Uhm ja, om er nou na een half jaar echter te komen lijkt me een beetje traag .

Er staat overigens uit mijn hoofd in dit topic hoe ze binnen zijn gekomen.

Op dinsdag 21 mei 2002 14:34 schreef emingee het volgende:
best koel... ik vraag me af hoe ze dat gedaan hebben

en dan nog het topic niet lezen ook?

Volgens mij is dat ook al eerder genoemd...