Danke, ich habe mich lange nicht mehr sooo sicher gefühlt!

Ich hab das alles gelesen...
... und schmeiß mich weg... !!!
:Lachanfall: :Lachanfall: :Lachanfall:

Naja in der Theorie können solche Responses auf Scans auch gefaked sein oder Verwundbarkeiten mit z.b. einer WAF mitigiert werden.

:Blumen:

Das ist korrekt.
Und um das möglichst authentisch zu tun, setzt man auch gleich die Verschlüsselung herab. So kann man die Angreifer hart verarschen, hrhr.

Siehe auch hier.

Gruß Matthias

Vbulletin 3.6.1 ist übrigens von 2006, also nicht ganz so aktuell. ;)

Der Arbeitsaufwand für eine Aktualisierung der Softwarekomponenten dürfte recht hoch sein, weil man wahrscheinlich das Board neu anpassen / programmieren muss und man nicht einfach automatisch Updates laufen lassen kann. Solange die Systeme laufen, finde ich da kein Problem für mich als Nutzer, da es sich schliesslich ja nicht um Bankensoftware oder einen Shop handelt.

Da hast du natürlich Recht. Ich habe mich beim Abgleich irgendwie vertan. Hätte ich mir allerdings auch denken können, eine wenigstens halbwegs aktuelle Forensoftware ist im Leben nicht mehr mit PHP4 lauffähig.

D.h es wäre dir zB egal, wenn das Board hier deinen Browser attackiert, weil in die Forensoftware Schadcode injiziert wurde. Und es wäre dir auch wurscht, wenn jmd. in deinem Namen hier Sachen postet. Komplette DB-Dumps, inkl. sämtlicher privaten Kommunikation, wären auch egal.
Kannst ja mal nach vbulletin und xss suchen. Da findet man nach 3.6.1 so einiges.

Aber schon klar: Ist ein Triathlonforum. Da kann ich nicht erwarten, dass die Benutzer eine Vorstellung von den zahlreichen Angriffsvektoren haben.

Ja, wäre es mir. Ich halte "das Internet" nicht für eine "sichere Welt", deswegen bin ich hier in einer VM unterwegs.

Ja, wäre es mir. Das mit den Beiträgen fällt schnell auf.
PNs in Foren schreibe ich so, dass ich damit nicht belastet werden kann.

Da unterschätzt Du das Forum und seine Benutzer. Die Anzahl der Nutzer mit entsprechenden Vorstellungen dürfte nicht besonders klein sein.

Als jemand der sich auskennt ist mir all das total egal.
Selbst dass hier quasi jeder mit seinem echten Namen zu finden ist, ist egal.
Was soll passieren außer dass man Ergebnisse findet?
Auf Facebook hinterlassen die meisten mehr Spuren.
Der User xxxxx postet dort regelmäßig Bilder seiner Familie inklusive kleiner Kinder.
Da hätte ich wesentlich mehr bedenken.

Wenn man TS aus einer VM aufruft so ist diese VM trotzdem im privaten Netz und einfach zu kompromittieren wenn man will.

Jemand der sich „auskennt“ sollte eigentlich nicht mit der Argumentation „ist mir egal“ kommen. Als nächstes kommt ja schon die Stufe ich hab nichts zu verheimlichen hört mich ruhig ab. Der User der weniger Ahnung hat, überall einen identischen user/passwort hat usw. für den hat das evtl. andere Auswirkungen.

Imho kann man schon erwarten, dass zumindest halbwegs regelmäßig gepachted wird.
Im Fall der Fälle hat es evtl. sogar Konsequenzen für die Betreiber.

Denke hier muss man alles neu aufsetzen. Aber das ist die Hölle.
Und dann ist da ja auch noch das Portal (ich glaub Joomla)
Ich hätte da auch keine Lust zu, möchte da nicht mit Arne tauschen.

Bin gespannt, ob sich da mal irgendwann etwas tut.
Meine Frau schaut immer so von der Seite auf mein IPad und sagt dann: Das Forum vom Arne sieht auch immer noch gleich aus, ist schon son running gag bei uns. ;)

Evtl. einfach mal ein Angebot einholen, die Option mit User-Spenden stand ja auch mal im Raum.
Verstehe auch, dass da keiner seine Freizeit opfern will ... aussitzen verbessert die Situation aber auch nicht

Wer möchte, kann hier klicken und nachsehen, ob von unserem Server Schadcode (Malware) ausgeht:
Google Transparency Report > triathlon-szene.de

Selbstverständlich ist das nicht der Fall.
:Blumen:

Das war auch gar keine Unterstellung, dass das pauschal so ist. Nur erhöht man die Chance, dass etwas passiert, dadurch, dass man >10 Jahre (!) keine Updates einspielt, halt massivst. Die Möglichkeiten einen erfolgreichen Angriff zu landen sind ja auf allen Ebenen vorhanden (OS, PHP, Apache und vBulletin). Sowas wie den mysql-Port (3306) exponiert ins Netz zu hängen kommt dann halt noch on top. Es geht auch nicht nur darum, dass pot. Foren-Nutzer attackiert werden, sondern halt auch darum, dass solche Server gerne mal zu Teilnehmern von Botnetzen werden.

Aber gut, lassen wir das. Ich hab's verstanden, dass es dir egal ist und du das auch weiterhin aussitzen wirst. Wundere dich halt nicht, wenn der "Laden" früher oder später komplett kompromittiert ist und/oder Abuse-Mails via Plusline eintrudeln. Spätestens dann wird eh alles neu aufgesetzt werden müssen, weil nur durch das Zurückspielen eines hoffentlich vorhandenen Backups ja das eigentliche Problem nicht gelöst wird. Denn wenn ein "Pfad" mal erfolgreich beschritten wurde, dann kannst dir sicher sein, dass das immer wieder passieren wird.

Ich weiss mich zu schützen. Mich wundert nur Dein Optimismus, aktuelle PHP- und vbulletin Systeme wären safe. :Lachen2:

Meine Haustüre ist auch nicht 100% sicher, trotzdem hab ich mir eine zugelegt und mich nicht für den offenen Höhleneingang von damals entschieden. :confused:

Stichwort Hürde höher legen.

Je älter desto höher Wahrscheinlichkeit.

Der Punkt mit den Botnetzen wurde ja schon genannt, die Erfahrung zeigt auch, dass viele User nach wie vor das gleiche Passwort für Online Dienste nutzen, hab ich also TS Datenbank kompromittiert, und oder den Code so geändert, dass ich User Passwörter bei Eingabe im Klartext mitlesen kann, nutz ich das Passwort um auch auf die Emails des Users zugreifen zu können.

Mag ja sein, dass einige aktive User "nix zu verheimlichen" oder "mit einer VM im Internet / auf TS.de" gehen - manche Leute vergleichen das aber auch gerne mit Impfen, wenn sich nicht 99 % sondern nur 90 % um Datenschutz / Sicherheit online kümmern, gefährdet das die restlichen, die es sich evtl. nicht leisten können oder die durch Online Probleme durchaus auch Probleme im realen Leben bekommen.

Der Aufwand, ein System von Version N auf Version M zu patchen wird sicherlich nicht geringer wenn die Anzahl der einzuspielenden Patches größer werden.

Alex

Ich habe für viele Dinge Verständnis und grundsätzlich würde ich mir ja auch wünschen, dass die Forensoftware, DB...... auf aktuellem Stand ist, aber bei Leuten, die seit 10 Jahren den Namen ihrer Katze bei Mail, Onlineshops und Foren nutzen hört mein Mitleid auf.

Im vorliegenden Fall kommt man mit patchen wohl nicht mehr weiter. Die Versionen sind so alt, dass man alles neu installieren müsste und nur die Inhalte des Forums übernehmen könnte.

Ist im Übrigen immer noch so ... :Huhu:

In der jetzigen Forumssoftware sind Änderungen enthalten, die vermutlich bei einem Update des Forums neu zu programmieren sind, weil sie bei einem Update nicht automatisch in die neue Forumssoftware übernommen werden und über eine Konfiganpassung hinausgehen. Und eventuell braucht es auch Programmierscriptarbeit, um die Daten von der jetzigen DB dann in die neue DB zu bringen, da sich die DB-Struktur änderte, und man nicht einfach den bisherigen MySQL-DB-Dump einlesen kann. Also richtig viel Installations-, Konfigurations- und vor allem Scriptprogrammierungsarbeit, um aktuelle Softtwarekomponenten zu haben. Arne und Jörn haben sicher Ihre Gründe, weshalb sie den Update-Zeitraum so gross halten wie er gerade ist.

Egal ob aktuelle oder ältere Server-Software: Es ist sowieso nie zu empfehlen, für das Onlinebanking, Ebay oder Amazon usf. und seine Mailbox die gleichen Passwörter wie für ein Diskussionsforum zu verwenden. Manchmal machen auch Administratoren Server-Konfigurationsfehler (irren ist menschlich), z.B. bei Ebay und anderen auch sehr grossen Anbietern, und schon werden sensible Daten zugänglich.

sagt mein Firefox Browser

Firefox hat mit einem der letzten Updates die Verbindung als "nicht sicher" eingestuft. Dies hat mit dem Übergang von SSL auf TLS 1.2 zu tun. Wir verwenden SSL und TLS 1.2, also TSL 1.2 nicht exklusiv.

Wir verwenden die höchsten Sicherheitsmethoden, die unser Server-Betriebssystem derzeit ermöglicht. Dieses Betriebssystem ist jedoch schon recht alt. Für eine Modernisierung werden wir etwas später auf einen neuen Server umziehen, der sich besser aktualisieren lässt. Dadurch werden aktuellere Verschlüsselungsmethoden und der Apache-Webserver automatisch aktualisiert. Es lohnt sich nicht, für den alten Server noch größere Maßnahmen durchzuführen.

Unser Zahlungssystem für die Filme läuft bereits auf diesem aktuelleren Server. Die Zertifizierung durch eine Agentur der Sparkassen haben wir für diesen Server erfolgreich bestanden. Die Tests sind recht rigoros, und entweder man besteht sie oder nicht. Wir haben sie bestanden.

Die Verschlüsselung für das Forum betrifft vor allem die Angabe von Username und Passwort. Wer der Ansicht ist, diese Verschlüsselung oder die Speicherung von Username/Passwort wäre nicht sicher, kann sein Passwort jederzeit so ändern, dass es nur im Forum benutzt wird (und nicht zugleich fürs Online-Banking).

Ich würde den Thread gerne schließen, weil das Support-Forum für akute Hilfen gedacht ist und ich jedesmal einen Alarm auf meinem iPhone bekomme, wenn jemand darin postet, damit ich zur Hilfe eilen kann. Für Debatten ist es nicht gedacht; eröffnet dafür ggfs. einen anderen Thread. Besten Dank! :Blumen:

mach mal.
Wenn du das noch fixen könntest: