Wieder mal: Sicherheitssperrung

[Mone]

Ehe ich wieder viele Mails schreibe:

Gestern und heute wurden etliche Accounts "gehackt". Jemand kannte die Klammpassworte (vielleicht auch noch von anderen Loseseiten) und hat sich in die Accounts eingeloggt. Es gab auch Logins in EFs.

Ich weiß nicht, wer das war. Ich weiß nur, dass sich eine Person nacheinander in Dutzende Accounts eingeloggt hat.

In der letzten Zeit gab es mehrere brute force-Angriffe auf klamm-Accounts. Es gibt zwar eine kurzzeitige Loginsperre, wenn das Passwort zu oft falsch eingegeben wurde. Dieser Mechanismus wurde aber umgangen, indem jeweils ein Account nur wenige Male "getestet" wurde, und danach eben der nächste. Um solche automatischen Loginversuche zu verhindern, wurde der Code (Captcha) beim Login geändert.

Diesmal betroffen:

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

40999; 50673; 54545; 133774; 135312; 135471; 164220; 165171; 168354; 180488; 209964; 215299; 237076; 243841; 262116; 274727; 287159

neu 24.06.08:
69988; 84245; 89114; 91169; 100412; 103831; 123788; 140696; 143516; 171703; 262830; 263256; 284689; 308195; 312009

vom 22.06.08:
18720; 24480; 26233; 28926; 90978; 122358; 145235; 216268; 264440; 287159

neu:
424; 2514; 13651; 14383; 24556; 91023; 91510; 92557; 117728; 127647; 132906; 134678; 138558; 144110; 192776; 206831; 221126; 237822; 241534; 268681; 284330; 295616

78788; 101839; 117728; 133677; 135846; 181878; 220161; 229371; 231577; 244899; 264512; 269538; 269806; 277878; 283959; 285254; 286376; 291160; 297926; 298344; 299055; 300283;

Unberechtigte Logins am 28.06.08:
55458; 67923; 127640; 167370; 172284; 196236; 212409; 249104; 267923; 303757

Unberechtigte Logins am 29.06.08:
37383; 89768; 110475; 159127; 185223; 210681; 212231; 226194; 294794; 307205; 313541; 315636; 318887; 322419

Unberechtigte Logins am 02.-04.07.08:
239219; 284270; 286373; 300028; 304589; 306972

Unberechtigte Logins am 07.07.08:
52958; 134425; 141382; 158469; 167965; 170838; 198470; 212588; 267076; 294572; 297521; 302282; 310699; 313066; 323619

Unberechtigte Logins am 08.07.08:
63404; 309043; 298719; 303714; 301322; 273128; 200539; 12905; 181185; 200199; 207802; 76550; 271204; 219970; 298060; 70261; 75767; 64687; 202920; 201529; 88831

Unberechtigte Logins am 09.07.08:
68225; 135500; 279248; 284397; 316581; 169645; 221644; 263558; 291904; 295286; 296561; 298111; 300659; 301575; 307236; 311425; 314192; 304160; 127585; 55207; 104016; 172108; 192258; 223670; 232225; 239345; 270104; 138851

Unberechtigte Logins am 11.07.08:
259303; 227657

Unberechtigte Logins am 22.07.08:
273406; 274417; 276542; 278284; 278707; 278721; 308208; 308551; 309638

Unberechtigte Logins am 25.08.08 - 28.08.08:
4171; 4441; 6208; 8858; 10361; 13911; 36888; 39602; 44986; 46279; 47274; 50013; 70501; 74762; 86668; 88182; 88582; 103195; 128188; 135515; 136818; 152112; 194079; 271310; 298702
1611; 67572; 153073; 189505; 190732; 202748; 209319; 222318; 222640; 225547; 235737; 237821; 239807; 253472; 260607; 272633; 272854; 289336; 295031; 296076; 301685; 302312; 303961; 305630; 313599; 313704; 314415; 314425; 316163; 316655; 318591; 319469; 320394; 322538; 323125; 326434
81497; 243129; 273431; 300000; 307881;
1840; 13028; 43141; 64723; 65554; 74882; 80151; 108523; 138558;

Unberechtigte Logins am 30.08.08:
727; 10066; 66242; 121425; 154973; 155076; 157432; 169948; 172864; 175953; 189926; 232614; 233496; 242877; 244723; 248188; 271412; 276757; 279528; 282213; 289986; 296526; 314583; 327429

<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<

Ich habe alle Accounts gesperrt, werde sie aber nach Rückmeldung, dass dieser Thread gelesen wurde, wieder freischalten.


In den letzten Tagen gab es schon mehrmals solche unberechtigten Logins. Ich habe dann die Passworte geändert. Mindestens 3 User haben diese Änderung aber wieder rückgängig gemacht .

Als ich dann die Accounts gesperrt habe ("Account wurde gehackt. Sicherheits-Passwortänderung wurde ignoriert, User benutzt das unsichere Passwort weiter - Sicherheitsrisiko!!!"). Danach bekam ich lustige Mails:

Zitat:

Hallo, ich habe selber mein Passwort geändert, schalten Sie bitte mein Account wieder frei,

Zitat:

Habe versehentlich mein altes Passwort benutzt, da ich dies mit dem Losepasswort vertauscht habe. Bitte schalten sie meinen Account wieder frei, damit ich dies ändern kann.

Leute, ich hab echt kein Bock mehr auf diese Spielchen. Wenn ich schon die Passworte ändere, dann hat das einen Sinn. Dann werde ich echt unlustig, wenn die User einfach wieder die alten PWs eintragen.

Sowas interpretiere ich dann als Zustimmung, dass fremde User den Account benutzen, was einen AGB-Verstoß darstellt. Dann sperre ich endgültig .


Ganz wichtig:
Das frühere ("gehackte") Passwort darf niemals wieder verwendet werden. Nicht bei klamm und auch auf keiner anderen Seite!!!

[Black_Kaktus]

tsia dummheit.. ich war auch befallen, aber mir wurde nichst wegtransverriert oder großartig geändert, auser passwort...

kleiner tipp an alle, achtet alle auf Dateien die ihr ICQ oder andere Messenger geshickt bekommt, eventuell ist eine Datei manipuliert gewesen, ich habe die vermutung das es bei mit beim X Slot passiert ist, da ich den heute per email versenden wollte, aber es nicht ging wegen virus fehler

eventuell könnte sich das jemand anschauen ?

[webrula]

Die Losegeilheit hat mal wieder um sich geschlagen

Welcome to the Internet.

Verstehe eh nicht warum du Mone immer so kulant bist, ich hätte da schon lange keine Lust mehr drauf :>

[VWBenni1985]

mit wurden auch bei ner seite lose geklaut - 151.361.00023.06. 21:08Bonus an 322684 (as) ef der seite ist: 15223. vllt sehe ich meine lose ja wieder *hoff* vielen dank schonmal gruß benni

[Mone]

Nein, die Lose sind weg. Kann ich nicht zurückholen.

[VWBenni1985]

hmm schade trotzdem danke

[menschi]

könnte man hier vielleicht auch die betroffenen Seiten nennen ??

[Meister196]

Wen du den
Trojaner geöffnet hast würde ich alle passwörter änder nicht nur lose seiten
zB
ebay
pay pal
icq
msn
und so weiter

Das-Lose-Programm.de

[VWBenni1985]

Zitat:

Zitat von menschi

könnte man hier vielleicht auch die betroffenen Seiten nennen ??

war bei zockclub.de

[X360X]

Bin leider auch betroffen, aber habe keine Datei geöffnet! War das ganze WE wie auch in der Woche kaum am Rechner geschweige denn habe etwas bekommen an Daten.

Habe PWs geändert!

[VWBenni1985]

Zitat:

Zitat von X360X

Bin leider auch betroffen, aber habe keine Datei geöffnet! War das ganze WE wie auch in der Woche kaum am Rechner geschweige denn habe etwas bekommen an Daten.

Habe PWs geändert!

bei welcher seite war es bei dir?

[X360X]

Zitat:

Zitat von VWBenni1985

bei welcher seite war es bei dir?

Bei keiner Seite. Bei mir wurden die Lose vom EF auf mein KlammAxx geschickt und dort alles geschreddert!

[Mone]

Wieder neue Accs von letzter Nacht

69988; 84245; 89114; 91169; 100412; 103831; 123788; 140696; 143516; 171703; 262830; 263256; 284689; 308195; 312009

(habe ich im 1. Beitrag auch ergänzt)


Und vom 22.06., also vorgestern:

18720; 24480; 26233; 28926; 90978; 122358; 145235; 216268; 264440; 287159

Was mir auffällt: übermäßig viele der Accounts haben eine Email webmaster@<eigene Domain>. Der Anteil ist viel höher als sonst bei zufällig ausgewählten Accounts. Ich habe noch keine Erklärung dazu.

[JayJay]

Zitat:

Zitat von X360X

Bei keiner Seite. Bei mir wurden die Lose vom EF auf mein KlammAxx geschickt und dort alles geschreddert!

Zitat:

Zitat von Mone

Was mir auffällt: übermäßig viele der Accounts haben eine Email webmaster@<eigene Domain>. Der Anteil ist viel höher als sonst bei zufällig ausgewählten Accounts. Ich habe noch keine Erklärung dazu.

Das sieht irgendwie danach aus, als wäre da eine Sicherheitslücke in einem Script.
Kann es sein, dass da viele eine Website mit dem selben Script betreiben?

[X360X]

Sind bei den User Shops dabei ?
Also z.B. der Shop von Mac ?

www.losescriptshop.de