Antifaschistische Seiten gehackt.
Aktuell wurden mehrere linke Webseiten offnebar von Nazis gehackt. Alle gehackten Webseiten basieren auf der CMS Software PHP KIT...
Aktuell wurden mehrere linke Webseiten offnebar von Nazis gehackt. Alle gehackten Webseiten basieren auf der CMS Software PHP KIT.
Der/Die Hacker scheinen sich Webseiten mit der Software über Google ausgesucht zu haben. Folgenden Referrer konnte ich ausfindig machen, über welchen ich auf weitere gehackte Seiten stieß. http://www.google.de/search?q=antifa+phpkit&hl=de&rlz=1B3GGGL_deDE212DE212&start=0&sa=N
Offenbar gibt es in dieser Software (trotz aller installierten zusätzlichen Sicherheits Addons und .htaccess) eine Lücke, die es den Angreifern erlaubt Zugriff auf den Admin Account zu bekommen, oder sogar auf die MySQL Datenbank.
Die Server-Logs wurden noch nicht ausgewertet, sollten aber von allen Betroffenen gesichert werden. Diese Aktion scheint ja einen größeren Umfang zu haben.
http://aasalbke.aa.funpic.de/
http://www.Hamburg-Punk.de
http://antifahooligan.an.ohost.de
sind Seiten, die gehackt wurden. Auf der antifahooligan Seite wurde ebenfalls die Grafik hinterlegt, die auf allen gehackten Seiten zu sehen ist.
Ich habe Hamburg-Punk.de mitlerweile zwar wieder so weit, dass ich wieder einen Admin-Zugang habe, aber Content der futsch ist, ist futsch.
Dabei sieht es auf den ersten Eindruck so aus, als sei explizit die Tabelle mit den Inhalten gelöscht worden.
Dieser Beitrag soll in erster Linie die Admins anderer, noch nicht betroffener Webseiten, die ebenfalls diese Software nutzen, darauf aufmerksam machen, dass auch sie betroffen sein könnten. Ich kann nicht erahnen, seit wann udn bis wann diese Aktion geht. Der Hack muss heute im Laufe des Tages passiert sein, die Suchanfrage via Google kam allerdings schon am 27.03.07 um 00:57 Uhr.
Da ich nicht weiß, worin die Sicherheitslücke besteht, hoffe ich, dass alle ihre Adminpassworte schnellstens auf ein defakto sicheres passwort ändern, mit zahlen, groß-/kleinschreibung und den erlaubten sonderzeichen.
Hoffen wir, dass solche Aktionen in nächster Zeit nicht zunehmen. Es wird sicher noch weitere betroffene Seiten geben.
Solltet ihr auch betroffen sein und nicht mehr an eure Admin Daten kommen, schreibt mir gerne ne Mail, ich sag dir/euch gerne, wie ich wieder an meinen Account gekommen bin.
FIGHT FASCISM
Der/Die Hacker scheinen sich Webseiten mit der Software über Google ausgesucht zu haben. Folgenden Referrer konnte ich ausfindig machen, über welchen ich auf weitere gehackte Seiten stieß. http://www.google.de/search?q=antifa+phpkit&hl=de&rlz=1B3GGGL_deDE212DE212&start=0&sa=N
Offenbar gibt es in dieser Software (trotz aller installierten zusätzlichen Sicherheits Addons und .htaccess) eine Lücke, die es den Angreifern erlaubt Zugriff auf den Admin Account zu bekommen, oder sogar auf die MySQL Datenbank.
Die Server-Logs wurden noch nicht ausgewertet, sollten aber von allen Betroffenen gesichert werden. Diese Aktion scheint ja einen größeren Umfang zu haben.
http://aasalbke.aa.funpic.de/
http://www.Hamburg-Punk.de
http://antifahooligan.an.ohost.de
sind Seiten, die gehackt wurden. Auf der antifahooligan Seite wurde ebenfalls die Grafik hinterlegt, die auf allen gehackten Seiten zu sehen ist.
Ich habe Hamburg-Punk.de mitlerweile zwar wieder so weit, dass ich wieder einen Admin-Zugang habe, aber Content der futsch ist, ist futsch.
Dabei sieht es auf den ersten Eindruck so aus, als sei explizit die Tabelle mit den Inhalten gelöscht worden.
Dieser Beitrag soll in erster Linie die Admins anderer, noch nicht betroffener Webseiten, die ebenfalls diese Software nutzen, darauf aufmerksam machen, dass auch sie betroffen sein könnten. Ich kann nicht erahnen, seit wann udn bis wann diese Aktion geht. Der Hack muss heute im Laufe des Tages passiert sein, die Suchanfrage via Google kam allerdings schon am 27.03.07 um 00:57 Uhr.
Da ich nicht weiß, worin die Sicherheitslücke besteht, hoffe ich, dass alle ihre Adminpassworte schnellstens auf ein defakto sicheres passwort ändern, mit zahlen, groß-/kleinschreibung und den erlaubten sonderzeichen.
Hoffen wir, dass solche Aktionen in nächster Zeit nicht zunehmen. Es wird sicher noch weitere betroffene Seiten geben.
Solltet ihr auch betroffen sein und nicht mehr an eure Admin Daten kommen, schreibt mir gerne ne Mail, ich sag dir/euch gerne, wie ich wieder an meinen Account gekommen bin.
FIGHT FASCISM
Indymedia ist eine Veröffentlichungsplattform, auf der jede und jeder selbstverfasste Berichte publizieren kann. Eine Überprüfung der Inhalte und eine redaktionelle Bearbeitung der Beiträge finden nicht statt. Bei Anregungen und Fragen zu diesem Artikel wenden sie sich bitte direkt an die Verfasserin oder den Verfasser.
(Moderationskriterien von Indymedia Deutschland)
(Moderationskriterien von Indymedia Deutschland)
Ergänzungen
anonym
@ antifanerd
außerdem, wenn es zur sicherheit langt. frag mal denic. hamburgpunk.de ist von freecity registriert. also lediglich eine weiterleitung. ebenfalls auf eine andere emailadresse, bzw. die domain auf hamburg-punk.de. hamburg-punk.de hingegen ist nicht auf freecity registriert. also hat niemand, der zugriff auf den adminacc der seite hatte, auch automatisch zugriff auf freecity um die emailweiterleitung zu verstellen. zumal die passwörter auch völlig unterschiedlich waren.
gibt es hier keinen beitrag mehr bei indymedia, wo nicht jmd. meint, dass dieser von nazis geschrieben wurde? paranoia schön und gut, aber phpkit und serverzugriffsrechte etc. haben NIX miteinander gemein.
PHPKit
scriptkiddies vom dorf?
eigentlich hat es extrem lange gedauert bis mal irgendetwas aus der ecke von rechts aussen kam, schliesslich waren die dicken hacks gegen die ganzen grossen nazicommunities und händler mit grossem abstand spektakulärer und ein grosser erkenntnisgewinn!
antifahooligan.an.ohost lebt bald wieder
natürlich ist phpkit keine Sichere Sache um Websites zu betreiben. Aber Jede Seite ist Hackbar. Ob auf Afa oder auf Naziseite.
Das Antifaseiten gehackt werden/wurden ist schon länger bekannt. Und es ist inzwischen raus das es ein einfacher Amateur-Hack war.
Dieser lausige Amateur hat nur die Passwörter ausgetauscht und die Seite von uns geschlossen. Sätmliche Inhalte sind aber noch vorhanden.
Kein Megabyte den Nazis - Niemals und Nirgendwo
super - *admin?
PHPKIT Version 1.6.1 Release 2
13.09.2004
eher ein schlechter witz, undzwar irgendwo von beiden seiten:
http://search.securityfocus.com/swsearch?sbm=%2F&metaname=alldoc&query=phpkit&x=0&y=0
vielleicht steigt ihr also irgendwann doch nochmal auf eine andere software um.
datenantifa
keep on rockin´!
subkultur-ffm.de
Hatten auch PHP Kit benutzt, sind nun auf neues umgestiegen
Grüße
Beiträge die keine inhaltliche Ergänzung darstellen
ähm
könnte jetz genauso gut n naziposting sein der zugang zu den mails hat.....schließlich hat der typ ne mailadresse angegeben die sich auf die domain bezieht....
sicher kanns übertriebene paranoia sein....aber sicher is sicher!
ergänzend
ich habe 2 IPs ermitteln können. Die IP, mit der auf den adminbereich zugegriffen wurde, kam über einen offenen Proxy und die IP, die über google auf die seite kam durch die suchworte und die auch KURZ nach dem hack zufälligerweise wieder auf der seite war.
wie schlau wäre es, diese IPs zu veröffentlichen?
ganz schön
Infos...
@j.
Ip is egal
Mit der IP-Adresse kann man nun auch nix mehr wirklich anfangen - Außer man rennt zu den Bullen, es ist eine statische IP (aber wer is so blöd ?) oder arbeitet zufällig bei dem zur IP gehörenden Internet Service Provider.
Beängstigender ist es, dass Fackos "hacken" können, wobei das, wie gesagt, bei einem PHP-Kit keine wirklich große Kunst ist.
Ansonsten kann man nur sagen, hoffentlich keine persönlichen Daten auf den Servern... Viel Erfolg bei der Rekunstruktion der Daten, aber bitte diesmal ohne PHP-Kit, sondern mit eigener Oldschool Programmierung...
Und eins wissen Fackos auch : Auf jede Aktion erfolgt eine Reaktion !
PHPKIT ist Flickwerk
phpkit
ich selber kann kein PHP, geschweige denn ein ausführliches CMS proggen. also greife ich wie quasi alle auf ein CMS zurück und installiere die security fixes.
zugriff auf den FTP hatte wohl niemand. ist auch strikt getrennt voneinander. also kein zugriff auf persönliches.
und mit der IP... das ist die frage. innerhalb von 33 std war dieselbe IP auf dem system und ist beidemale mit der aktion in zusammenhang zu bringen. und das ist die einzige deutsche IP, denn die anderen, die den hack selber durchführten kamen von proxys mit wechselnden IPs.
die überlegung ist eben, was man unternehmen kann. eine anzeige dürfte ja mal wieder kaum was bringen, da ja kein finanzieller schaden auftret blabla... aber es muss was passieren, wenn die jetzt solche geschütze auffahren.
nur WAS?
doch ne zusammengelgte anzeige diverser betroffener? aber wem hat dieses "justizsystem" schonmal "geholfen"?
erschreckent
irgend wie erschreckend das die so was hin bekommen
auch wenn es sich eher um kleiner seiten handelte und nicht um einen grossen versand mit adressen und so weiter
ansonsten bleibt nur auf einen weitern antifa hack als antwort zu hoffen
(muss ausgefüllt werden)
!!Coole Kinds benutzen keinen Windowsmüll!!
mensch
Ich weiß es ist schon spät aber...