1. ist so ziemlich alles, was auf dem Server läuft veraltet und teilweise unsicher, z.B.
3. 22/tcp open ssh OpenSSH 3.8p1 (protocol 1.99)
(aktuell ist 4.2)
80/tcp open http Apache httpd 2.0.54 ((Unix) PHP/5.0.4)
(aktuell ist 2.0.58 - nicht ohne grund -> sicherheitslücken)
Ebenso ist die Forumsoftware veraltet und unsicher...


Wollt ihr unbedingt Ziel von Hackeratacken werden oder warum wurd das ganze nicht aktualisiert? :|

Seit wann kann man sich auf die Versionsangaben verlassen?

Die kann man im Quellcode, vorm compilieren, anpassen oder im besten Fall in den Konfigurationsdateien. Ausserdem kann man derartige Programme patchen, ohne das die Versionsnummer geändert werden muss...

Gast[/POST]']Seit wann kann man sich auf die Versionsangaben verlassen?

Die kann man im Quellcode, vorm compilieren, anpassen oder im besten Fall in den Konfigurationsdateien. Ausserdem kann man derartige Programme patchen, ohne das die Versionsnummer geändert werden muss...
Theoretisch schon, praktisch denk ich aber nicht, das irgendwer bisher versucht hat, daran was zu ändern, ergo die Versionsnummern passen, ungepatcht...

Ergo: 3DCenter ist unsicher, glücklicherweise hat sich kein Hacker am Forum versucht...

StefanV

Du machst das Forum besimmt sicherer indem du Hacker (oder eher Kinder, die gerne mal Hacker werden wollen) indirekt herausforderst das Forum zu hacken. Das tust du indem du diese "Mängel" hier öffentlich machst. Du hättest besser einem der verantwortlichen eine Mail oder PN geschickt. Das hier ist aber die ungeschickteste Art auf einen solchen Misstand (so es denn einer ist) hinzuweisen.

Jupp, deshalb erwähnt MS auch erst lücken wenn sie den Patch schon parat haben. Alles andere ist nicht grad sicherheitsfördernd...

Tjo, da würd ich mal sagen, sollten sich die Verantwortlichen mal Gedanken um ein größeres Update machen...

So wie es jetzt ist, kanns ja nicht bleiben, es sei denn man will unbedingt gehackt werden...

achso, @Mr Will Rock:
Ich gehe mal davon aus, das die Verantwortlichen dieses Forums um die Sicherheitslücken wissen...

Mr Will Rock[/POST]']StefanV

Du machst das Forum besimmt sicherer indem du Hacker (oder eher Kinder, die gerne mal Hacker werden wollen) indirekt herausforderst das Forum zu hacken. Das tust du indem du diese "Mängel" hier öffentlich machst. Du hättest besser einem der verantwortlichen eine Mail oder PN geschickt. Das hier ist aber die ungeschickteste Art auf einen solchen Misstand (so es denn einer ist) hinzuweisen.
Ich find wenn nun zufälligerweise das Forum gehacked wird, bekommt StefanV als Auszeichnung zum Forensicherheitsberater einen Beförderungsban. ; )

SgtDirtbag[/POST]']Ich find wenn nun zufälligerweise das Forum gehacked wird, bekommt StefanV als Auszeichnung zum Forensicherheitsberater einen Beförderungsban. ; )

Gute Idee. Ich mach mich dann mal frisch ans Werk. Die Lücken habe ich dank StefanV ja schon ...... :uban: :lol:

Mr Will Rock[/POST]']StefanV

Du machst das Forum besimmt sicherer indem du Hacker (oder eher Kinder, die gerne mal Hacker werden wollen) indirekt herausforderst das Forum zu hacken. Das tust du indem du diese "Mängel" hier öffentlich machst. Du hättest besser einem der verantwortlichen eine Mail oder PN geschickt. Das hier ist aber die ungeschickteste Art auf einen solchen Misstand (so es denn einer ist) hinzuweisen.
komisch, die gleichen argumente kriegen die windows-lücken-veröffentlicher auch immer zu hören. :uponder:

zweifellos wäre eine mail an die crew nicht unsinnig, aber spätestens in dem moment, ab dem jemand von der existenz einer seite seinen lebensunterhalt bestreitet (ich werfe hier bewusst 3dcenter.de und forum in einen topf, ich denke ohne forum währe auch die page deutlich weniger besucht) sollte ein gewisses maß an sicherheitsdenken vorliegen.
wähend aber einerseits praktisch jede andeutung eines rechtsverstosses (was ich ausdrücklich nicht bemängeln möchte) im forum (trotz des sitzes in timbuktu) gelöscht/editiert/sanktioniert wird, wird steinalte forumssoftware genutzt.

ob das sinnvoll ist möchte ich mal bezweiflen.

Die Diskussion ist so oder so überflüssig...

Niemand kann garantieren das "neuere Software" sicherer ist, als die alte.

Wenn es danach ginge, müsste hier wohl jede woche mindestens ein Update gemacht werden, welches das forum jeweils ein paar stunden lahm legt. Wollt ihr das wirklich?

Ja, ich würde das wirklich wollen. Ehrlich gesagt bin ich davon ausgegangen das kritische Sicherheitslücken auch sofort gepacht werden sobald sie in Erfahrung gebracht wurden. :(

Bei einem Forum dieser Größe sollte das eigentlich selbstverständlich sein.

Mr Will Rock[/POST]']StefanV

Du machst das Forum besimmt sicherer indem du Hacker (oder eher Kinder, die gerne mal Hacker werden wollen) indirekt herausforderst das Forum zu hacken. Das tust du indem du diese "Mängel" hier öffentlich machst. Du hättest besser einem der verantwortlichen eine Mail oder PN geschickt. Das hier ist aber die ungeschickteste Art auf einen solchen Misstand (so es denn einer ist) hinzuweisen.

ach ... schickst du deinem mechaniker auch ein mail dass er bitte beim service den ölstand kontrollieren soll, die klima überprüfen soll, bei den bremsen nachschaut ...?
das ist eine SELBSTVERSTÄNDLICHKEIT
insofern finde ich es gut dass es hier öffentlich gemacht wird

Gast[/POST]']Die Diskussion ist so oder so überflüssig...

Niemand kann garantieren das "neuere Software" sicherer ist, als die alte.

Wenn es danach ginge, müsste hier wohl jede woche mindestens ein Update gemacht werden, welches das forum jeweils ein paar stunden lahm legt. Wollt ihr das wirklich?

ein httpd/php/mysql sicherheitsupdate dauert zwischen 1-5 minuten (bei gentoo vielleicht 20 :) )
von einem openssh update merkst du gar nichts.

httpd updates:
Apache httpd 2.0.55 - Update Released: 14th October 2005
Apache httpd 2.0.58 - Update Released: 1st May 2006

tjo wir ham 2.0.54 X-D

nachzulesen hier: http://httpd.apache.org/security/vulnerabilities_20.html

Aber du merkst bei einem Forenupdate das... dadurch wird das Forum meist lahm gelegt und eventuell müssen individuelle Änderungen nochmal wiederholt werden, was die Sache für eine Seite ohne feste Mitarbeiter ziemlich zeitaufwendig werden lässt.

Gast[/POST]']ach ... schickst du deinem mechaniker auch ein mail dass er bitte beim service den ölstand kontrollieren soll, die klima überprüfen soll, bei den bremsen nachschaut ...?
das ist eine SELBSTVERSTÄNDLICHKEIT
insofern finde ich es gut dass es hier öffentlich gemacht wird

Nur dummerweise gehört das Forum nicht StefanV und der ist genausowenig derjenige, der das Forum irgendjemand anders anvertraut um es zu betreuen. Soll heißen: Setzen sechs, Thema verfehlt. :rolleyes:

StefanV
Wenn der Forenbetreiber von den Sicherheitslücken weiß ist er selber schuld. Dann verstehe ich deinen Eröffnungspost noch viel weniger.

Kurgan
Der Vergleich "Microsoft - Leonidas" hinkt doch zugegebenermaßen ein wenig... MS würde die Lücken nicht stopfen, wenn sie nicht öffentlich gemacht würden. Denn die "dumme Masse" bemerkt nichts. Soll heißen: MS handelt in diesem Fall eigennützig. Genau das tut Leonidas auch, nur genau andersherum: Er sollte an der Sicherheit des von ihm betriebenen Forums interessiert sein, da er so viel ich weiß u.a. damit seinen Lebensunterhalt bestreitet.

Ihr scheint alle viel Ahnung von Software zu haben.

In aktuellen Linux-Distributionen werden die Sicherheitsupdates in die alte Version reingepatcht, sprich du hast die neuen Features nicht, dafür sind die Sicherheitslücken aber geschlossen.

Man kann also davon ausgehen, das die Sicherheitslücken behoben sind, aber halt noch die "neuen" Features nich mit drinne sind... Wo is also das Problem?

gruß
chris

ssh lässt übrigens ssh verbindungen der version 1.0 zu ...

hier mal ne meldung über ssh protokoll version 1.0 aus dem jahre 2001
http://ssh.com/company/newsroom/article/210/

KraetziChriZ[/POST]']Ihr scheint alle viel Ahnung von Software zu haben.

In aktuellen Linux-Distributionen werden die Sicherheitsupdates in die alte Version reingepatcht, sprich du hast die neuen Features nicht, dafür sind die Sicherheitslücken aber geschlossen.

Man kann also davon ausgehen, das die Sicherheitslücken behoben sind, aber halt noch die "neuen" Features nich mit drinne sind... Wo is also das Problem?

gruß
chris

glaubst du das ernsthaft?
ich glaube es erst wenn ein Admin das bestätigt hat -> siehe ssh, sie lassen version 1.0 zu obwohl es schon seit 5 JAHREN als unsicher gilt und keine sau noch 1.0 braucht ;)

Mr Will Rock[/POST]']
Kurgan
Der Vergleich "Microsoft - Leonidas" hinkt doch zugegebenermaßen ein wenig... MS würde die Lücken nicht stopfen, wenn sie nicht öffentlich gemacht würden. Denn die "dumme Masse" bemerkt nichts. Soll heißen: MS handelt in diesem Fall eigennützig. Genau das tut Leonidas auch, nur genau andersherum: Er sollte an der Sicherheit des von ihm betriebenen Forums interessiert sein, da er so viel ich weiß u.a. damit seinen Lebensunterhalt bestreitet.
ich hab lediglich festgestellt das hier wieder der bote aufgehängt wird, statt die ursachen zu beseitigen. und hier werden lücken nicht gestopft, egal ob öffentlich oder nicht .. insofern in der tat kein guter vergleich.

das forum kostet leo geld. ich bezweifle allerdings das die eigentliche page ohne dahinterstehendem forum eine ähnlich große sogwirkung (und damit zaster) erzielt wie mit ;)

normalerweise konfiguriert man nen Server (z.B. mit Debian) so, das er jede nacht mittels crontab die Security Updates einspielt :wink:

Ob ichs glaube oder nich, is nich dein Problem :D

gruß
chris

KraetziChriZ[/POST]']normalerweise konfiguriert man nen Server (z.B. mit Debian) so, das er jede nacht mittels crontab die Security Updates einspielt :wink:

Ob ichs glaube oder nich, is nich dein Problem :D

gruß
chris

ja normal schon ... nur sich für mich als aussenstehenden der server eher wie - aufgesetzt - rumgefrickelt bis es ging - schnell hände weg und nix mehr angreifen aus :)
wenn man nichtmal ssh absichert ... (wahrscheinlich darf sich der root user auch noch direkt einloggen ...)

Kurgan
Naja, der Bote selbst geht davon aus dass seine Botschaft den entscheidenden Leuten bereits bekannt ist. Wozu also öffentlich machen und die Gefahr erhöhen? Davon abgesehen: Wenn die Lücken tatsächlich nicht gestopft wurden, was ich nicht glaube, KraetziChriZ' Version klingt für mich als Laien plausibel, dann ist der Betreiber selber schuld wenn sein Forum gehackt wird.

Das Forum kostet ihn Geld, stimmt, ich vergaß. Aber wie du völlig richtig gesagt hast: Es ist gute Werbung für seine Seite.

Gast[/POST]']wenn man nichtmal ssh absichert ... (wahrscheinlich darf sich der root user auch noch direkt einloggen ...)

... und das PW ist sicher "3dcenter"

*SCNR*

gruß
chris

KraetziChriZ[/POST]']... und das PW ist sicher "3dcenter"

*SCNR*

gruß
chris

hmm ne grad probiert X-D

also, nur ums mal klarzustellen, hacker sind die leute, die den kram sicherer machen. das was ihr meint, sind cracker.
hacker sind halt leute die was in der birne haben, und das fuer gute zwecke nutzen, cracker allerdings tun das gegenteil.

Schaut euch bitte erst mal das Apache 2 Changelog an.

Gertz[/POST]']also, nur ums mal klarzustellen, hacker sind die leute, die den kram sicherer machen. das was ihr meint, sind cracker.
hacker sind halt leute die was in der birne haben, und das fuer gute zwecke nutzen, cracker allerdings tun das gegenteil.

Nein.

Es gibt zwar auch "legale" Hacker. Allerdings ist das nur die Minderheit, die meisten sind unprofessionelle Möchtegern Hacker.
Das Ansehen von Hackern in der Hackerszene steigt, in dem sie schwierige Sachen hacken, also dort eindringen und einen Beweis hinterlassen, dass sie drin waren, bzw. irgendwas dort kopieren.

Cracker bekommen Ehre in der Crackerszene, wenn sie möglichst viele Computer angreifen. Je mehr z.B. ein Virus Computer befallen hat, desto höher steigt das Ansehen.

(Hacker greifen also nur 1 Ziel an, Cracker soviele wie gehen)

Darin liegt der Unterschied von den beiden.

RaumKraehe[/POST]']Ja, ich würde das wirklich wollen. Ehrlich gesagt bin ich davon ausgegangen das kritische Sicherheitslücken auch sofort gepacht werden sobald sie in Erfahrung gebracht wurden. :(

Bei einem Forum dieser Größe sollte das eigentlich selbstverständlich sein.

Habt ihr immer noch nicht begriffen, dass das Forum dem Leo vollkommen am Arsch abgeht?

Mr Will Rock[/POST]'] Aber wie du völlig richtig gesagt hast: Es ist gute Werbung für seine Seite.
da bin ich mir im moment nicht sooo sicher :frown:

Gast[/POST]']Habt ihr immer noch nicht begriffen, dass das Forum dem Leo vollkommen am Arsch abgeht?
das glaub ich kaum. er mischt sich halt nur nicht ein.

Kurgan[/POST]']da bin ich mir im moment nicht sooo sicher :frown:

X-D
Ok, das ist ein anderes Kapitel der 3dc-Geschichte :biggrin:

Aber das Forum zieht ja immer noch Besucher an, Besucher die dann auch auf die Hauptseite verwiesen werden. Und davon profitiert Leonidas dann wieder.

Es ist schon traurig. Hier im Forum sind so viele faehige Computerexperten unterwegs und es gibt kaum welche, die Zugriff auf den Forumsserver haben, um dort Wartungsarbeiten durchzufuehren. Mir ist klar, dass man aus Sicherheitsgruenden nicht jeden ranlassen will, aber die momentan Zustaendigen sind anscheinend ueberfordert.

Es ist sowohl ein Update der Server- als auch der Foren-Software geplant. In dieser Form, als das der Server komplett neu aufgesetzt wird.

KraetziChriZ[/POST]']... und das PW ist sicher "3dcenter"


Wenn einwas sicher ist, dann sind es von mir kreiierte Passwörter. Da läuft nix unterhalb von 10stelligem Buchstaben- und Zahlensalat.

Leonidas[/POST]']Es ist sowohl ein Update der Server- als auch der Foren-Software geplant. In dieser Form, als das der Server komplett neu aufgesetzt wird.

naja, d.h. Sicherheitsupdates wurden keine eingespielt?

benutzt ihr neuerdings Windows XP Home Edition? :)

Leonidas[/POST]']Es ist sowohl ein Update der Server- als auch der Foren-Software geplant. In dieser Form, als das der Server komplett neu aufgesetzt wird.
Gibts dafür auch schon einen Zeitplan oder passiert das ganze erst, wenn D wieder Fussballweltmeister ist? :|

Mhmm,

in 3.0.9 sind keine Bugs gemeldet?
http://www.vbulletin-germany.com/forum/forumdisplay.php?f=52

Welcher ist so wichtig das DU Dich wieder aufspielen musst?
Viele der Sec. Bugs treffen besonders Machinen auf denen User arbeiten bzw von denen aus User per SSH arbeiten, welcher eingehende Bug ist denn in dieser Version so irre wichtig ?
Auf Securitywarnings reagiert bei mir jeder Kunde auch intern sofort, auf reines simples BugFixing ganz sicher nicht - nicht außerghalb der normalen Patchrunde.

Sicherlich hast Du mit Netcraft gleich noch alle anderen Foren gescheckt...oder darfst Du Dich da nicht aufspielen?
Gibts dafür auch schon einen Zeitplan oder passiert das ganze erst, wenn D wieder Fussballweltmeister ist?
Mensch? Bist der neue Elitesponsor? Dachtest Dir wohl das es besser ist ein wenig Druck zu erzeugen weil...ja, warum eigentlich? Ego im Eimer? Nicht das sowas auch intern gegangen wäre, nein - machen wir ein Posting draus damit auch jeder mitbekommt was für ein Held Du bist....

Wäre ja mal interessant wer als erstes schreit wenn das Bord off ist, Zweiter wäre bestimmt Stefan weil er es ja schon immer wusste :D

MFG

Leonidas[/POST]']Es ist sowohl ein Update der Server- als auch der Foren-Software geplant. In dieser Form, als das der Server komplett neu aufgesetzt wird.
Ähm ja, das wird schon lange versprochen... Worte sind das eine, Taten das andere... :rolleyes:
Mogul[/POST]']Mhmm,

in 3.0.9 sind keine Bugs gemeldet?
http://www.vbulletin-germany.com/forum/forumdisplay.php?f=52

Welcher ist so wichtig das DU Dich wieder aufspielen musst?
Viele der Sec. Bugs treffen besonders Machinen auf denen User arbeiten bzw von denen aus User per SSH arbeiten, welcher eingehende Bug ist denn in dieser Version so irre wichtig ?
Auf Securitywarnings reagiert bei mir jeder Kunde auch intern sofort, auf reines simples BugFixing ganz sicher nicht - nicht außerghalb der normalen Patchrunde.

Sicherlich hast Du mit Netcraft gleich noch alle anderen Foren gescheckt...oder darfst Du Dich da nicht aufspielen?

Mensch? Bist der neue Elitesponsor? Dachtest Dir wohl das es besser ist ein wenig Druck zu erzeugen weil...ja, warum eigentlich? Ego im Eimer? Nicht das sowas auch intern gegangen wäre, nein - machen wir ein Posting draus damit auch jeder mitbekommt was für ein Held Du bist....

Wäre ja mal interessant wer als erstes schreit wenn das Bord off ist, Zweiter wäre bestimmt Stefan weil er es ja schon immer wusste :D

MFG
Hehe, Full Ack! Genau meine Meinung! :up: :biggrin:

glaubst du das ernsthaft?
ich glaube es erst wenn ein Admin das bestätigt hat -> siehe ssh, sie lassen version 1.0 zu obwohl es schon seit 5 JAHREN als unsicher gilt und keine sau noch 1.0 braucht ;)

Hat sich in diesem Punkt was geändert oder eher nicht?!
Ich würd mal sagen, eher nicht...

Aber du merkst bei einem Forenupdate das... dadurch wird das Forum meist lahm gelegt und eventuell müssen individuelle Änderungen nochmal wiederholt werden, was die Sache für eine Seite ohne feste Mitarbeiter ziemlich zeitaufwendig werden lässt.Ja, aber eine gewisse Grundsicherheit muss natürlich trotzdem gegeben sein. Das ist soweit ich weiß auch der Fall, aber die Interna dürften eh nur die Admins wissen – die ja ihr Wissen nicht unbedingt ausplaudern müssen.

Habt ihr immer noch nicht begriffen, dass das Forum dem Leo vollkommen am Arsch abgeht?Nee aber dank deinem Posting weiß ich es jetzt.

Gibts dafür auch schon einen Zeitplan oder passiert das ganze erst, wenn D wieder Fussballweltmeister ist? :|Fußball. Mit ß.

...

X-D

Darf ich das in meine Liste der "Stilblüten der Moderation" aufnehmen? Huha hat den ersten Platz, so viel ist sicher, aber du folgst ihm ganz dicht.

Ich dachte aths wäre gar kein Moderator?

Ich dachte aths wäre gar kein Moderator?

Er hat afaik nur in 2 kleinen Unterforen Modrechte.. doch das langt, um den Titel inne zu haben.

Ja, aber eine gewisse Grundsicherheit muss natürlich trotzdem gegeben sein. Das ist soweit ich weiß auch der Fall, aber die Interna dürften eh nur die Admins wissen – die ja ihr Wissen nicht unbedingt ausplaudern müssen.
Wie es scheint, ists eher nicht der Fall...

Anscheinend wohl aus mangelndem Wissen oder Interesse seitens derer die Zugriff auf den Server haben...

warum glaubt jeder forentroll, dass er der bessere admin ist? X-(

hauptsache irgendwelche statements abgeben, ohne ahnung, im versions- und buzzwordwahn.

Mhmm,

in 3.0.9 sind keine Bugs gemeldet?
http://www.vbulletin-germany.com/forum/forumdisplay.php?f=52

Welcher ist so wichtig das DU Dich wieder aufspielen musst?
Viele der Sec. Bugs treffen besonders Machinen auf denen User arbeiten bzw von denen aus User per SSH arbeiten, welcher eingehende Bug ist denn in dieser Version so irre wichtig ?
Auf Securitywarnings reagiert bei mir jeder Kunde auch intern sofort, auf reines simples BugFixing ganz sicher nicht - nicht außerghalb der normalen Patchrunde.

Sicherlich hast Du mit Netcraft gleich noch alle anderen Foren gescheckt...oder darfst Du Dich da nicht aufspielen?

Mensch? Bist der neue Elitesponsor? Dachtest Dir wohl das es besser ist ein wenig Druck zu erzeugen weil...ja, warum eigentlich? Ego im Eimer? Nicht das sowas auch intern gegangen wäre, nein - machen wir ein Posting draus damit auch jeder mitbekommt was für ein Held Du bist....

Wäre ja mal interessant wer als erstes schreit wenn das Bord off ist, Zweiter wäre bestimmt Stefan weil er es ja schon immer wusste :D

MFG

Full Ack - und die anderen sollten sich einfach mal zurücknehmen mit ihrer perfiden "ich-bin-der-Gosu-Admin-Alleswisser-Superuser-der-alles-besser-weiß-als-die-eigentlichen-Mods/Admins-hier"-Art.

Grüße

warum glaubt jeder forentroll, dass er der bessere admin ist? X-(

hauptsache irgendwelche statements abgeben, ohne ahnung, im versions- und buzzwordwahn.

Meinst du etwa sowas?! (http://www.heise.de/security/news/meldung/78730)

Wie es scheint, ists eher nicht der Fall...

Anscheinend wohl aus mangelndem Wissen oder Interesse seitens derer die Zugriff auf den Server haben...

spiel dich doch nicht immer so auf, ist ja schon lächerlich langsam...

Mir doch Latte, ob 3DCenter bugs hat oder net. Solange ich nichts davon merke, kann es mir doch Latte sein. ;)

Mit anderen Worten:
Dir ists egal, ob 3DC wegen DDOS Atacken nicht erreichbar ist, verursacht durch buggy SW/Einstellungen

Dir ists egal, ob dein Account gehackt wird und mit deinen Daten Schabernack getrieben wird? ;)

Mit anderen Worten:
Dir ists egal, ob 3DC wegen DDOS Atacken nicht erreichbar ist, verursacht durch buggy SW/Einstellungen

Dir ists egal, ob dein Account gehackt wird und mit deinen Daten Schabernack getrieben wird? ;)

Wir haben eben noch ein Leben.

Wir haben eben noch ein Leben.

Ja..........das ist es. Das ist der Punkt.

Wenn ICH nur am PC sitzen und hier im Board posten würde.........wie StefanV.....würde ich mir auch grosse Sorgen machen wenn mein ständiger Anlaufpunkt unsicher wäre.

Alle anderen....so denn sie ein richtiges Leben haben, mit Arbeit und so........lehnen sich zurück und vertrauen der 3DC-Crew!:biggrin:


mfg