Zufallshack - was tun?

[djsuck]

Hallo zusammen,

hab mich hier mal registriert, da ich mal einen Ratschlag brauche.
(Ne recht amüsante Geschichte ist es ausserdem auch^^)

Während ich testweise mein eigenes Netzwerk beobachtete trudelte eine Werbe-mail/newsletter ein.
Kann mich zwar nicht erinnern, mich dort mal registriert zu haben, aber ganz auszuschließen ist es nich (interessierte mich damals mal für das Thema - kann aber auch Zufall sein... naja - ist ja jetzt auch erstmal egal).

Wie gewohnt löschte ich diese Mail (per Hand) und machte mit meiner eigentlichen Arbeit weiter.
Kurze Zeit später bemerkte ich jedoch, dass mein Passwort-Sniffer was aufgeschnappt hatte.
Nen FTP-Account.
Um sicherzugehen, dass nicht irgend n unerwünschtes, plödes Tool auf meinem Rechner Plain-Text nach Hause telefoniert, hab ich mich mal per Hand auf den FTP-server conected (im Log steht meine IP ja eh *lol*)

Nach kurzer Analyse der dort vorhandenen Dateien, war mir auch schnell klar, wem dieser Server gehörte - nämlich dem Absender der o.g. Werbemail.
Veränderungen an der Homepage sind problemlos möglich.

Nachdem ich mir dann nochmal den QT der Email angeschaut habe (username & pw im Klartext), war es eigentlich recht klar: Da hat jemand scheisse gebaut *hihi*
(Ein Bild wird via ftp://username:passwort@domain.de/usw.. geladen)

Dazu kommt noch, dass die Firma einen (mir zufällig bekannten Open-Source) Online-Shop betreibt.

Was man mit Zugangsdaten zum Webserver, editierbaren .htaccess Dateien und nem Online-Shop anstellen KÖNNTE, brauche ich ja wohl nicht zu erklären. ^^

Mein Problem:
Ich würde gern den betreffenden Webmaster auf diese nun wirklich gravierende Sicherheitslücke hinweisen - er verschickt ja offensichtlich regelmäßig unwissend seine Zugangsdaten an wer weiss wie viele Newsletter-Empfänger.

Meine Frage ist nun:
Wie/auf welchem Wege sollte ich mich an den betreffenden Webmaster wenden, um ihn darauf hinzuweisen, dass er doch vielleicht mal schleunigst seine Zugansdaten ändern sollte und sich danach mal Gedanken über sein Newsletter-Skript machen sollte.

Meine Bedenken sind halt: Wenn ich eine meiner normalen Email-Adressen benutze, über die man relativ schnell Rückschlüsse auf meine eigentliche Person ziehen könnte, der Webmaster sich aber auf den Schlipps getreten fühlt, könnte das ja u.U. zu Problemen führen.

Hab ich mich schon der Computersabotage strafbar gemacht, weil ich mich auf dem Webspace umgesehen hab und getestet hab, ob Änderungen an der Homepage möglich sind (kleine unmerksame Änderungen, die ich auch sofort wieder rückgängig gemacht hab)

Ne Passwortsperre hab ich ja eigentlich nicht umgangen - der Knallkopp hats mir ja quasi geschickt^^

Sollte ich für den Driss jetzt extra n anonymes Email-Konto einrichten und die Mail an den Webmaster übern Proxy schicken?!? Wäre eigentlich n biserl viel Aufwand, um jemanden freiwillig auf eine Sicherheitslücke hinzuweisen, oder?

Des Weiteren: Sollte ich weitere Maßnahmen ergreifen, wenn keine Antwort vom Webmaster kommt?
(Wenns irgend n sch** Viagra-Spam-Versender wäre hätten wir ja glaub ich ALLE schon ein paar nette Ideen, aber so ist es ja nunmal nicht)

Ich denke, das sind recht ehrbare Ziele, die ich verfolge und hoffe somit, dass ihr mir helfen könnt.
Greetz
- djsuck -

 

[Prometheus]

Hm, also ich frage mich nur wie es technisch überhaupt möglich war seine eigene Zugansdaten per Email an dich zu schicken. Er würde wohl kaum diese in seine Email reinschreiben. Oder macht das ein Script automatisch - aber das wäre mehr als dämlich.
Dann frage ich mich noch was dein Passwort-Sniffer genau für eine Rolle spielt. Stand das Passwort verschlüsselt in der Email und der Sniffer hat den Aufbau und den Algorythmus erkannt?
Also das wäre schonmal sehr interessant und auf der einen Seite auch wichtig für die rechtliche Seite.

Was das "Aufmerksammachen" auf diese Sache angeht, so würde ich dir unbedingt raten dies zu tun. Nicht auszudenken, wenn einpaar Defacer-Kiddies dahinter kommen was der gute Mann oder Frau da mittels Newsletter verschickt. Ich glaube da würde haufen Arbeit zerstört, Kunden verloren gehen und beim schlimmsten Fall könnte es passieren das sensible Daten missbraucht werden.
Falls du glaubst der Webmaster würde sich auf den Schlips getreten vorkommen, wenn du ihn bescheid gibst, so könntest du sicher Recht haben. Aber wenn der Webmaster nicht dumm ist, würde er der Sache auf den Grund gehen.
Wenn du Angst hast, das er dir die Polizei wegen deines "rummschnüffeln" an dich ansetzt, so könntest du auch hier zu vielleicht 40 % richtig liegen. Aber das Internet bietet die Möglichkeit Nachrichten anonym zu versenden, als z.B. Emails über Remailer. Oder du hinterlegst den Admin auf den FTP-Server eine Nachricht, die er schnell findet und kein anderer. Oder du schreibst die Seite um, mit einen Vermerk: "Achtung Sicherheitslücke: Admin schau mal auf ftp://domain/Adminverz/blablabla/Lückebeschreibung.txt"

 

[THRALL]

Also wieso sollte sich nen Webmaster auf den schlips getreten fuehlen. Sag doch einfach was du hier gesagt hast, das du die website ganz toll findest dich beruflich und privat fuer security interessierst und normalerweise fuer $ arbeitest in diesem fall wegen der drinnglichkeit und respekt fuer die website auf eine kurze email vertraust. Dazu schreibst du dann noch das du zur keiner Zeit einblick in sensible informationen genommen hast ....

Die harte tour waere ein proxy, und ueber nen freemailer/anonymousmailer,und wenn du ganz doll angst hast den ccc zwischen schalten.


@Prometheus

Wie ich das verstehe wurden die bilder nicht ueber http verlinkt sondern uebers ftp protokoll. Dafuer wurde in der url username und passwort angegeben. Als der mailclient dann versucht hat die bilder zu laden. Ist das passwort in seinem zufaelliglaufenden Sniffer aufgetaucht.

 

[djsuck]

Moin.

@ Prometheus: Jo... mit dem Passwort ist das schon so, wie es THRALL verstanden/vermutet hat.
Hier mal n Auszug aus dem QT:

<BODY text=#000000 vLink=#0000ff aLink=#0000ff link=#0000ff bgColor=#666666>
<TABLE height=1040 cellSpacing=0 cellPadding=0 width=600 align=center border=0>
<TBODY>
<TR bgColor=#ffffff>
<TD width=600 colSpan=3 height=100><IMG height=120 

src="ftp://********:********@******.de/newsletter-bilder/logo_bild.jpg" 

width=600></TD></TR>
<TR bgColor=#6699ff>
<TD width=600 colSpan=3 height=20> </TD></TR>

(Die betreffenden Daten ntürlich per "*" unkenntlich gemacht^^)

Diesen FTP-Connect hat der Sniffer (Cain) natürlich geloggt.
Wie das passieren kann, frage ich mich auch.
Entweder n Fehler in einem echt schlechten Newsletter-Skript, oder da hat einfach jemand schwer gepennt.

Eine Nachricht auf dem Server zu hinterlassen, fände ich glaub ich nicht sooo klasse.
Wenn ich abends nach hause komme, möchte ich auch keinen Zettel im Wohnzimmer liegen haben, wo drauf steht: "Du hast Deinen Schlüssel liegen gelassen - tausch mal das Schloss aus"
Dabei muss ich auch ehrlich gestehen, dass ich als Webmaster soetwas nicht mal unbedingt bemerken würde, wenn ich bei einer meiner fertigen Sites nur sporadisch Änderungen vornehme.
Wenn ich plötzlich sowas auf einem FTP von mir sehen würde, wär ich schon etwas angepisst... schließlich war da jemand drauf, der da absolut nichts zu suchen hatte - wer weiss, welche Informationen der mitgenommen hat (z.B. mit den PWs vom OnlineShop mal eben n Dump der Kundendatenbank gezogen)
Ich persönlich würd zwar keine rechtlichen Schritte einleiten, weil ich weiss, dass jemand, der mich auf sowas hinweist i.d.R. keine bösen Absichten hat - aber mit ein biserl mehr Paranoia werden da ganz schnell die Logs analysiert (die kann ich nun mal nicht löschen) und die IP-Adresse verfolgt.

Die eigentlich Seite verändern, sodass der Webmaster darauf aufmerksam wird, finde ich auch nicht sooo klasse. Die Veränderung müsste ja schon deutlich sichtbar in einem öffentlichen Bereich sein - da sehen es dann auch die Kunden und denken sich "WAT? Sicherheitslücke? Hier soll ich meine Kreditkarteninformationen eingeben?" (oder wie würdet ihr Euch da verhalten?)

Ich glaub per Email wäre das schon am Besten, oder?
Hättet ihr nen guten Link zu nem Anonymousmailer, oder muss ich meinen Ar*** selber zum Suchen bewegen? Hehe - würd ich ja auch noch machen - ist aber schon irgendwie blöd, dass ich jetzt so viel Zeit investiere, nur um jemandem zu sagen, dass er grob fahrlässig handelt, oder? (Hab eigentlich echt Besseres zu tun... normalerweise verdiene ich nämlich wirklich $ mit (u.A.) Security, so wie es THRALL schon recht realitätsnah geschrieben hatte)

Für weitere Infos/Tips/Ratschläge bin ich natürlich weiterhin offen... vllt. hilft dieser Thread ja auch anderen, die mal auf ähnliche Lücken stoßen und nicht wissen, wie sie reagieren sollen.

Greetz

 

[0wnZ]

Schreib ihm anonym ne mail das dein sniffer da und da die ftp daten erkannt hat und das er die sicherheitslücke bitte schließen will ( häng ggf. noch nen pic an).
Kannste dann ganz anonym machen. Die mittel wurden ja scho beschrieben

Aber ich denke ma der wird ziemlich dankbar sein

 

[djsuck]

Geklärt

Soderle...
hatte die letzten Wochen ziemlich viel Stress anner Backe, habe es aber doch noch geschafft, mich um die Angelegenheit zu kümmern.

Habe dem Geschäftsführer und dem betreffenden Webmaster eine (nicht-anonyme) Mail geschickt, in welcher ich ihnen ihr Problem erklärt habe.

1. Antwort (sinngemäß)
"Hai,

Vielen Dank für Deinen freundlichen Hinweis !
..wir werden dran arbeiten !
"

Hmmm... undankbare **** dacht ich mir^^

Ein paar Stunden später kam eine Mail des Webmasters:

Hi,

ich bin ***** bei den Internetsachen behilflich und lese überrascht Ihre Mail. Es wurden in letzter Zeit einige Sachen geändert und ich kann den Fehler nicht sehen. Wäre nett wenn du Sie sich melden (0172 *******) oder mir Ihre Nummer geben.
Gruß

*******

"Ok" dacht ich mir... "rufste ma an... bist eh grad betrunken"
Kurzerhand den Kerl angerufen, um ihm mal auf die Nase zu binden, wo er denn den Fehler findet.
Aber nach einem kurzem "Hallo... ich bin... bla bla bla" hat er mir dann erzählt, dass er den Fehler schon selber gefunden hat.

Hat sich allerdings noch ca. 10x bei mir bedankt. Dann meinte er noch, dass er aufgrund meiner Email-Adresse darauf schliesst, dass ich wat mit DJing zu habe (was auch stimmt)... und hat mir angeboten, einen "Special-Preis" auszuhandeln, sollte ich in naher Zukunft mal was in diesem Bereich benötigen.

Ende vom Lied:
Die Zugangsdaten wurden geändert; der nächste Newsletter wurde ordentlich verschickt und der Webmaster war froh, dass ich seinen Allerwertesten gerettet hab.

Ich poste das eigentlich nur, um anderen, die Sicherheitslücken finden (und solche nicht aktiv ausnutzen) und (wie ich) vielleicht auch nicht wissen, was sie tun sollen, zu zeigen, dass eine freundlich formulierte Mail ausreichen kann um unwissende Leute vor großem Schaden zu bewahren!

So far
Greetz - djsuck -

 

[SUID:root]

Hallo. Das ist löblich und eine gute Sache. Leider habe ich aber auch schon andere Erfahrungen in dem Bereich machen müssen. Von Zeit zu Zeit packt es mich und sehe mir verschiedene Sites an, suche nach Lücken und finde auch öfter mal welche. Grundsätzlich informiere ich dann den Betreiber (ich finde, das sollte man immer tun), doch manche Hobby-Admins nehmen einem das sehr übel. Mir ist es schon passiert, dass Leute der Meinung waren, ich wäre ein böser Mensch, weil ich mich mit ihrer Web-App messen will und verstehen dabei gar nicht den eigentlichen Hintergrund und die durchaus postive Absicht. So kam schon manche Hassmail zurück und es ging gewiss mehr als ein Mailaccount, aufgrund von plötzlich auftretendem Spam, den Bach runter. Deshalb verwende ich nurnoch Wegwerf-Adressen für solche Hinweise.

root

 

[ghostdog]

Original von djsuck
Passwort-Sniffer was aufgeschnappt hatte.

Ich verstehe alles was du geschrieben hast bis auf die Sache mit dem Passwort Sniffer. Also Sniffer sind ja da um Datenpakete zu analysieren, die in deinem Netzwerk fließen, nicht wahr? Wie kommt jetzt aber dein Sniffer dazu dir auf einem Tablett Passwort und ID von nem FTP Server zu liefern? Konntest du das nachvollziehen? Was hat der Sniffer tatsächlich "ausgegeben", als Meldung?
Das Thema finde ich interessant. Wozu benutzt den Sniffer denn gewöhnlich in deinem Netzwerk?
edit: Auch wenn es sich schon erledigt hat, hast du gut gemacht. Gerade so Onlineshops bieten ja Kiddies eine große Angriffsfläche um vieles zu zerstören, u.a. auch die Finanzen des Betreibers.

 

[Heinzelotto]

Es gibt Sniffer, die alles "Interessante" automatisch herausfiltern und dann nur das ausgeben, ich glaube, dsniff ist so einer, bin mir aber nicht sicher.

 

[djsuck]

@ ghostdog:
Der Sniffer wird i.d.R. für Man-in-the-middle Attacken benutzt.

Mich hat halt interessiert, was sich aus meinem normalen Arbeits- und Surftraffic so alles rausfiltern lässt.
Mache ich einen FTP-Connect (und sei es, wie in meinem Fall: unabsichtlich), so läuft auch dieser Traffic über den "Mann in der Mitte"

Der Sniffer analysiert den Traffic und sucht nach bestimmten... sagen wa mal "Strings"
Da der Benutzername und dat Passwort bei einer normalen FTP-Verbindung nunmal im Klartext übermittelt wird, ist es also ein leichtes, die FTP-Pakete nach "Username" und "Password" zu durchsuchen und diese Daten eben in einee Tabelle zu schreiben.

Äquvalent verhät er sich bei z.B. http-requests (wobei man die sogar noch seinen eigenen Bedürfnissen nett anpassen kann)
Schickt der Client sein Passwort über irgendeine HTML-Form an den Server, geht das auch über den Sniffer-in-the-middle und der durchsucht dann halt den Traffic nach Strings wie "pass=" "password=" "username=" "login="...usw.
POP3, SMTP, Telnet, VNC, ICQ, VOIP (mitschneiden), SMB... alles was Klartext ist, ist direkt da... ansonsten die Hashes, die dann eben gebruteforced werden.

Eigentlich erschreckend, wie einfach ein Klickibunti-Tool unmengen an persönlichen Daten/Logins klauen kann (man nehme einen Flughafen/Konferenz/Meeting... irgendwas, wo die tollen "Entscheider" alle 5 Minuten ihre Mails checken (müssen), Daten versenden, oder sich sonstwo einloggen... und ich tippe, dass man bei genügend Gästen binnen Minuten mind. 1 Duzend Accounts zu den unterschiedlichen Services hat)

Just my 2 cent

 

[Gulliver]

Wir machen das bei "Werbeemails" mit verschiedenem content aehnlich.
Und unsere links stehen teilweise ebenso in den mails.
Anhand der usernamen lassen sich leichter statistiken und zugriffe fuer die Kunden
basteln, wenn wir den content "vermieten".

Allerdings haben dann diese User natuerlich nur leserechte in einem bestimmten, gejailten,
verzeichns.

Nur mal so als Hinweis dass sowas nicht unbedingt ein fehler/bug sein _muss_.

mfg

 

[djsuck]

Jo... das hab ich im ersten Moment auch gedacht (nachdem ich der festen Überzeugung, dass so ein Fehler eigentlich nicht auftreten darf)

... aber nachdem ich dann den Content der Website verändern und in "geschützte" Bereiche des Online-Shops lunzen konnte, war der Fall eigentlich klar^^

Prinzipiell ist die Idee ja gar nicht schlecht.
So lässt sich leicht eine Validierung der Email-Addys bewerkstelligen, sofern Email-Addy und Username/-pw miteinander verknüpft sind.

Welche Daten erhebt ihr denn noch so und wie wertet ihr die aus? (rein interessehalber).
Würd mir vorstellen, dass ein Script die Email-Addys z.B. als Benutzernamen übernimmt (PW kann ja ruhig gleich bleiben) und diese dann als Accounts auf dem FTP anlegt.
Nach Versenden des Newsletters (oda SPAMs) wird dann ein anderes Skript über die Logs des Servers geschickt und wertet die Zugriffe der User = Email-Addys aus.

So?
Oder so ähnlich?

Greetz

 

[THRALL]

@guliver:
greift ihr dann aber ueber ftp zu ?
Ist es denn nicht einfacher, nen extra ordner aufzumachen und dann http zu verwenden ?


Zum besuchertracking:
Da koennte man doch einfach nen php script hinterhaengen:
Also bild.php?bild=banner01&user=me@example.com

 

[amenophis]

Ananym Kontaktieren???

Nimm ein Stift mit 3 seiten Papier schreib ein paar beweise, Briefmarke und weg damit.

Vor lauter Bäume sehe ich den Wald nicht.