Angriff auf diverse Tracker

[SP4C3]

100% Sicherheit gibt es nicht. Aber man kann sich der 99,99 annähern
Das script selbst muss erstmal "sicher" sein. Dann müssen sämtliche an der auslieferung beteiligten Dienste auf dem aktuellen Stand sein. Sicherheitsupdates zu verschlafen ist ein no-go. Schlussendlich sollten für sicherheitskritische Seiten nur die php Funktionen aktiviert sein die wirklich benötigt werden...

[Waiti]

so dann will ich auch mal mein senf zu den thema beitragen.

was war die bonker source doch gleich? richtig eine nv source und was predigt ihr immer...nemmt ne orginal nv und baut euch die um.
soweit so gut, aber ....wen ich mir die orginal nv umbaue und dafür die sachen von hier da einbaue weiss ich zwar was drin ist, aber noch lange nicht ob es das alles ist was ich benötige.

ich sag mal so, das problem bei der bonker ist doch das sie jeder hat weil bonker sie freigegeben hat und jeder sich das ding zurecht gebastelt hat nach seinen bedürfnissen.

wobei die von bonker immer noch besser als die orginal nv ist, wo ich meine daten gleich als txt datei auf dem desktop zum download verlinken kann.

ich gebe euch auch recht wen ihr sagt selber schuld müsst ihr halt besser absichern...... jetzt kommt das aber wieder :-)

1) keiner weiss 100% was er macht, weil jeder macht es anders
2) wen ich was einbaue bin ich mir immer sicher das es richtig ist, nur wie man sieht gibt es immer wieder ein hintertürchen oder einen der es besser kann
3) wen dieses board nicht wäre (und auch andere) würde es noch viel mehr schwachstellen geben und auch der beste coder wird sie nur finden wen sowas wie jetzt wieder passiert, denn nur so kann man fehler aufdecken und beseitigen

so wie ich das seh wen ich mir das board so anschaue, gab und wird es sowas immer wieder geben was ja schon die ganzen mod hier im board beweisen und das beste von allen.....

alle die jetzt schrein selber schuld haste pech gehabt musste halt besser coden....die haben bei den andern hacks die schon aufgedeckt wurden selber zum teil in der liste gestanden die betroffen waren.


denkt mal drüber nach wen ihr wieder schreit selber schuld könnte mir nicht passieren, auch ihr könnt euch nicht 100% sicher sein.

lg waiti

p.s.

ist nicht böse gemeint aber ich kann es einfach nicht mehr hören wen alle gleich schrein ..typisch wieder ne bonker.. wen ihr eure so weiter geben würdet wie bonker, würde es nicht anders aussehen den da sind bestimmt auch noch einige macken drin ;-)

[tantetoni2]

doch ich weiß zu 100% was ich mache, du musst profis von hobby bastlern unterscheiden.

jeder halbwegs profesionelle programmierer was hier wirklich nur ne hand voll ist, sollte davon ahnung haben und tut auch vieles um bekannte sichheits relevate themen wie xss oder sql incetions weitgehens zu unterbinden

[Stifler]

Perl Dateien??
Habt ihr alle Perl mit DBI installiert?

[Lex]

Danke an Angelice für den Report, ich habe mir erlaubt den Post in einen anderen Bereich zu verschieben wo es sich eine Hand von Codern ansehen wird.
Dadurch möchte ich verhindern das Scriptkiddys die Angriffsmethode lesen und versuchen erneut durchzuführen.

Wie gesagt werden wir, falls notwendig einen Hack präsentieren sobald wir den Hack analysiert haben.

Lg Lex

[Zero111]

Wir konnten dank einige Hinweise seitens der User feststellen wo und wie die Angreifer ins System gekommen sind

Dafür sag ich mal danke an die betreffenden User.

Die Schwachstelle liegt am Bitbucket V2.0 ( Bitbucket 2.0 )

und bei beiden Untersuchten Pichostern :
Tracker Interner Pichoster by Dontcha
Pichoster V3 Final by D@rk-€vil™

Wer diese Hacks installiert hat sollten unbedingt den Entsprechenden Bugfix installieren:

Fix: Bitbucket
Fix: Pichoster

Wollen wir hoffen dass das Trackersterben vorerst wieder ein Ende hat