Haefft.de Hack

Sunday, 6. December 2009 14:12 - daniel - Other - 0 Comments


(I'm goning to write this in German)

Vor ein paar Tagen hat der CCC eine Schwachstelle beim Login auf haefft.de aufgedeckt. Das ganze ging dann auch durch die Presse und die üblichen Sites und haefft.de ist mittlerweile offline. Angeblich wurden die Passwörter als Klartext gespeichert und mit dem ILIKE Operator auf Ähnlichkeit überprüft. Wenn man nun ein '%' (oder mehrere) als Passwort verwendet dann matcht '%' alle Zeichen und man kann sich ohne Passwort einloggen.

Außerdem war das nicht das erste Mal dass haefft.de wegen Datenschutzproblemen in der Kritik ist. Im Mail 2008 deckte iX auf, dass man über die Passwort Recovery Funktion problemlos die eMail Adressen von Nutzern auslesen kann.

Normalerweise würde ich hier nicht dazu schreiben, aber mir ist da noch etwas aufgefallen während ich auf Google nach haefft.de Schnippseln gesucht haben. Neben Links zu Yaoi Fanfic Seiten findet man auch ein Maillist Posting mit einem interessanten Logfile.

Anscheinend wurde der haefft.de Webserver www1.haefft.de im Mai 2008 gehackt und als Zombie für SSH Dictionary Attacken verwendet. Das ganze ist mir nur zufällig aufgefallen, weil jemand ein Problem mit DenyHosts hatte und deshalb einen Auszug aus seinem Logfile gepostet hat. In diesem Auszug findet man dann auch den Verbindungsversuch von www1.haefft.de.

May  6 15:37:46 LegoSoft sshd[17891]: User root from www1.haefft.de not allowed because not listed in AllowUsers
May 6 15:37:47 LegoSoft sshd[17893]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=www1.haefft.de user=root
May 6 15:37:49 LegoSoft sshd[17891]: error: PAM: Authentication failure for illegal user root from www1.haefft.de
May 6 15:37:49 LegoSoft sshd[17891]: Failed keyboard-interactive/pam for invalid user root from 194.97.156.23 port 4358 ssh2
Wenn man jetzt etwas weiter stöbert findet man die IP von www1.haefft.de, 194.97.156.23, auch auf diversen Listen, die SSH Dictionary Attacken mitloggen bzw dagegen schützen sollen: ubuntuforums.org, Google Groups Posting, SSH Dictionary Angreifer.

Möglicherweise ist dieses Problem mittlerweile behoben, aber man kann sich vorstellen, was mit den Daten passiert ist wenn der Server so löchrig war, dass jemand ein Rootkit installiert und ihn als Zombie in einem Botnet verwendet hat.

Update: Laut diesem Thread im Heise Forum ging der Hack wie folgt: Das Passwort wurde eingelesen, auf 12 Zeichen beschränkt, wenn es kürzer als 12 Zeichen war wurde in Padding angehängt. Danach wurde in der Datenbank mit ILIKE (case insensitive like) verglichen und wenn der Vergleich ok war, dann war man eingeloggt.

Bei dem Ganzen wurde das Passwort allerdings nicht escaped (o_O) und wenn man jetzt als Passwort 12 Wildcards (%) hintereinander gehängt hat, damit kein Padding angehängt wird, dann matchte die Abfrage auf jedes beliebige Passwort.

Und fefe hat noch ein Update wegen dem DenyHosts Posting angehängt :D.



Comments