Was ist eigentlich los?


2005-06-03 15:05 #1
Da alles wohl etwas länger zu dauern scheint, schnell ein paar Infos, was eigentlich passiert ist!
Wie bereits im Header steht wurde das gesamte ezBoard-Netzwerk am 31.5. Opfer eines zielgerichteten Hacker-Angriffs. Dabei wurden nicht nur so ziemlich alle Postings auf sämtlichen Boards (über 100.000!) gelöscht, sondern wohl auch noch einige der Tages-Backups.
Der letzte, sicher verfügbare Stand ist vom 9.Mai 2005 aus einem inkrementellen Backup der Gold-Communities (gut 8000, zu denen auch wir gehören). Der Restore-Prozess läuft wohl bereits, da bei einigen Boards verschwundene Postings inzwischen wieder aufgetaucht sind. Dass das alles etwas länger dauert, kann man sich leicht vorstellen.
Was mit neueren Postings ist, kann augenblicklich nicht geklärt werden. Eventuell können einige aus dem Arbeitsspeicher der Server restauriert werden, aber sicher ist das natürlich nicht.
Glücklicherweise war im Robot-Forum in den letzten Wochen wenig los, sodass wir hoffentlich kaum etwas verlieren werden.
Also: Augenblicklich hilft nur geduldiges Warten. Meinetwegen könnt Ihr Euch hier über den Hacker aufregen, aber bitte meckert nicht über die ezBoard-Leute. Die müssen in den Help-Foren schon genügend ertragen und sind mit der Situation sicher auch nicht glücklich.
So, dann wollen wir 'mal hoffen und vielleicht noch ein paar Sonnenstrahlen einsammeln...😉

waiting www.tom-productions.de - www.tofahrn-foto.de - www.tofahrn.de

2005-06-03 21:16 #2
Puh, das mit dem letzten, verfügbaren Stand ist wohl doch etwas anders. Nach den aktuellen Infos sind von dem Angriff nicht nur die Postings der Boards sondern auch die regelmässigen Backups und die historischen Archive gelöscht worden. Es steht lediglich noch ein Backup von Anfang Mai zur Verfügung, welches etwa 8000 Gold-Communities berücksichtig. Ob wir dabei sind, muss sich erst noch zeigen.
Augenblicklich laufen die automatisierten Restore-Prozesse. Nach ezBoard-Aussagen dauert das pro Server in etwa 6 Stunden, und sie können 8-10 Server gleichzeitig bearbeiten. Macht also im Schnitt 35 Server pro Tag. Wir sitzen auf Server 89, den Rest könnt Ihr selber ausrechnen. Ob die allerdings die Liste numerisch abarbeiten, kann ich nicht sagen.
Ansonsten gibt es wohl schon Informationen, welche den Täterkreis eingrenzen. Immerhin mussten für den Angriff einige Sicherheits-Barrieren in Form von internen, passwortgeschützten Netzwerken durchbrochen werden, was wohl nur mit Insiderwissen erklärbar ist. Inzwischen wurde sogar das FBI eingeschaltet.
Weitere Informationen könnt Ihr über die aktuellen Ankündigungen (in englisch) in den ezBoard-Help-Foren erhalten: p079.ezboard.com/fezboardimportantannouncements

waiting www.tom-productions.de - www.tofahrn-foto.de - www.tofahrn.de

2005-06-04 12:41 #3
Ich muss leider auch feststellen, dass es hier angeblich nur noch 50 registrierte Benutzer gibt. Auweia...😬
2005-06-04 14:16 #4
Quote:
Ich muss leider auch feststellen, dass es hier angeblich nur noch 50 registrierte Benutzer gibt. Auweia...
Globale User müssen wohl nur erneut Posten, damit sie aufgelistet werden. Wie das mit den lokalen ist, kann ich augenblicklich nicht sagen. Bei ezBoard hab' ich da auch noch keine Info zu gefunden... 😞

waiting www.tom-productions.de - www.tofahrn-foto.de - www.tofahrn.de

2005-06-05 05:17 #5
Dann poste ich mal als Lokaler USer, dann sehen wir ja ob's dann geht 😉 ---
Heute schon 'nen Roboter gejagt ?
2005-06-05 16:25 #6
Quote:
Ich muss leider auch feststellen, dass es hier angeblich nur noch 50 registrierte Benutzer gibt. Auweia...
Ich hab' mir eben einmal unsere Mitglieder angeschaut, von den 50 Verbliebenen sind genau zwei globale User dabei, Grandy und meine Wenigkeit. Der Rest sind lokale User, aber ich glaube, mehr als 48 waren das ohnehin nicht.
Ist also wohl nichts verloren, zumindest bei den User-Accounts.

waiting www.tom-productions.de - www.tofahrn-foto.de - www.tofahrn.de

2005-06-05 19:25 #7
So, wieder ein kleines Update.
Nach den letzten Informationen wurden mittlerweile die Hälfte der Server restored. Damit dauert das dann doch deutlich länger, als angenommen, oder die haben mittlerweile verdammt viele Server. Wenn die Nummerierung durchgängig ist, sind es über 200 und damit müssten wir eigentlich bei der ersten Hälfte dabei sein.
Dass aber noch immer keine Beiträge sichtbar sind, ist noch kein Indiz, dass alles verloren ist. Denn erst ganz am Ende, wenn also sämtliche, noch verfügbaren Backups zurückgespielt wurden, werden sämtliche Foren neu indiziert. Und erst dann werden die Threads wieder auftauchen.
Wenn wir jetzt die Hälfte haben, dann wird diese Situation also noch ein paar Tage andauern. So leid mir das tut... 😞

waiting www.tom-productions.de - www.tofahrn-foto.de - www.tofahrn.de

2005-06-07 13:15 #8
So, die Neuigkeiten von gestern will ich natürlich auch keinem vorenthalten. Auch diesmal muss ich vom letzten Update wieder etwas Fortschritt herausnehmen. Zwar stimmt es schon, dass mittlerweile rund die Hälfte der Server einen Restore-Zyklus hinter sich haben, aber von diesen Zyklen gibt es (aktuell) 5. Und erst wenn alle diese Zyklen abgeschlossen sind, ist auch der Restore-Prozess beendet und erst dann kann man die Schäden begutachten.
Warum das alles so lange dauert? Offensichtlich war bei dieser Attacke nicht nur das eigentliche Repository (also die produktive Datenbank) das Ziel, sondern insbesondere die Backup-Server, welche bei ezBoard zwar in einem separaten und geschützten Netzwerk verwaltet wurden, aber offensichtlich immer online sind (um schnell einzelne Boards restaurieren zu können). Diese Funktionalität wurde ezBoard nun zum Verhängnis.
Folglich müssen die Techniker andere Quellen und Verfahren finden, um wieder an die Daten heranzukommen. Zu den Quellen gehören z.B. die Speicherinhalte aller Server zum Zeitpunkt des Angriffs oder auch die Festplatten, wo zuvor die Backups gespeichert waren. Insgesamt gibt es eben (aktuell) fünf solcher Quellen, welche alle einzeln zurückgespielt werden. Für einige dieser Vorgänge müssen ersteinmal Verfahren definiert und als Programm implementiert werden, damit man überhaupt die Daten restaurieren kann.
Dass das alles auch ersteinmal getestet werden muss, um nicht noch mehr Schaden anzurichten, und dass das alles sehr viel Zeit benötigt, kann sich wohl jeder vorstellen.
Die Probleme auf den Nebenschauplätzen (z.B. gar nicht erreichbare Boards, Probleme beim Editieren oder Antworten), welche wohl auf Überbleibsel des Angriffs zurückzuführen sind, sollen aktuell behoben sein.
Nach dem aktuellen Wissensstand bedeutet das für uns allerdings noch keine Entwarnung. Offensichtlich haben Boards, Foren und Threads, die häufig frequentiert werden, eine höhere Chance, auch restauriert zu werden. Das liegt einfach daran, dass die Daten in mehreren Caches und auf verschiedenen Systemen zwischengespeichert wurden und folglich redundant verfügbar sein können.
Unser Board, was in letzter Zeit zugegeben wenig frequentiert wurde, lag wohl zum größten Teil nur in den Haupt-Datenbanken und den Backups vor, und beides ist eben zerstört worden.
Ich habe zwischendurch über den Google-Cache zumindest von einigen unserer Foren die erste Seite Topic-Listen retten können, sodass wir zumindest bei den Bug-Reports noch eine kleine Übersicht haben, was da diskutiert wurde. Wenn der ganze Spuk vorüber ist und das Bug-Forum tatsächlich leer bleibt, werde ich die Threads neu posten und bräuchte dann wieder Eure Hilfe.
Augenblicklich ist es aber noch zu früh, an den Worst-Case zu denken. Wir müssen einfach weiter abwarten und z.B. das Wetter geniessen.

waiting www.tom-productions.de - www.tofahrn-foto.de - www.tofahrn.de

2005-06-07 17:53 #9
Wie kann man eigentlich Backups zerstören?
Professionelle Unternehmen haben ihre Backups nicht einmal im gleichen Gebäude, so dass theoretisch nicht einmal ein Flugzeugabsturz dem etwas anhaben kann (ja, ja, Atomkriege einmal ausgeschlossen).
Professionelle Unternehmen verwenden immer mehrere Backup-Generationen. Aber das sind eigentlich EDV-Binsenweisheiten aus den 40er/50er-Jahren.
Ich schliesse daraus, dass der Anbieter definitiv nicht zu den Profis gehört - dafür sicher auch viel Preisgünstiger ist, oder?
Klar sind Hacker ein Problem, aber das fehlende Backup und die Sorglosigkeit der Betreiber mit den Kundendaten waren hier das Grössere. 😡:">
Gruss,
____________
_/_lachmann
/

Gruß,
_________
_/_
/lachmann

2005-06-07 20:32 #10
Was nützt dir, wenn die Backups in nem atomsicheren Bunker stehen, wenn sie auf irgendeine Weise ans Netz angebunden sind?
Die Backup-Server müssen auf eine Art und Weise mit den anderen Servern verbunden sein. Schliesslich müssen die Server ja von irgendwas ein Backup erstellen 😉
Die Backup Server sind meist in einem eigenen Netzwerk mit den Webservern verbunden. Man muss also den Webserver zuerst knacken und die Kontrolle über diesen übernehmen, damit dieser die Datenpakete in die anderen Netzwerke weiterleitet, an denen die Backupserver hängen.
Willst du die Backupserver vor Hackern schützen, dürfen diese an keinem Netzwerk hängen, in welchem sich Rechner befinden, die gleichzeitig über andere Netzwerke oder direkt Zugang ins Internet haben. Wäre dieser Fall gegeben, wären die Backup-Server in ihrer Funktion nutzlos, da sie dann auch keinen Kontakt zu den Webservern haben dürfen.
Letztendlich ist es auch so, dass kein Netzwerk wirklich sicher ist. Es ist immer nur die Frage, was sich derjenige davon verspricht, dort einzubrechen. Versucht man zum Beispiel Militärserver zu knacken, so setzt man sich doch einem erheblichen Risiko aus, da die Bestrafung nicht gering sein wird. Man muss sich also etwas davon versprechen, was den Aufwand wert ist. Wenn das gegeben ist, wird derjenige alles daran setzen, um an sein Ziel zu gelangen. Man kann einfach nicht durch solche Fälle auf eine unprofessionelle Sicherung schliessen.
Hinzukommt, dass der Angreifer offenbar Kenntnisse von der Beschaffenheit der Netzwerke gehabt haben muss, die ein Aussenstehender gar nicht haben kann. Wenn der Angriff also aus den eigenen Reihen rührt, dann kann man da gar nicht viel machen. Das sicherste System nützt nichts, wenn der Angreifer die Beschaffenheit und Schwachstellen genau kennt. Bei der Absicherung dieser Netze ist ja schliesslich davon ausgegangen worden, dass derart tiefgreifende Kenntnisse nicht von Anfang an vorhanden sind und dass der Angreifer bemerkt und aus dem Netzwerk ausgesperrt wird, noch bevor die gesamte Beschaffenheit des Sysfems ausfindig machen konnte. Einen derart gründlichen Schaden bekommt ein Unwissender einfach nicht hin.--
[externes Bild: http://windowsclone.de.vu/banner88x31.gif]
www.windowsclone.de.vu
- games & progs for casio cfx-calculators
- some old games coded in QBasic
Linux is for people who want to know why it works.
Mac is for people who don't want to know why it works.
DOS is for people who want to know why it does not work.
Windows is for people who don't want to know why it does not work.

www.windowsclone.de.vu

  • games & progs for casio cfx-calculators
  • some old games coded in QBasic

Linux is for people who want to know why it works.
Mac is for people who don't want to know why it works.
DOS is for people who want to know why it does not work.
Windows is for people who don't want to know why it does not work.

2005-06-07 21:02 #11
@moormaster: Alles völlig korrekt!
Bei ezBoard gibt es eben einen Konflikt zwischen regelmässigen Backups, der Möglichkeit, einzelne Boards und Threads auf Bedarf (Anfrage der Board-Admins) jederzeit restaurieren zu können und der absoluten Sicherheit.
Bei der Datenmenge, die ezBoard da verwalten muss, kann man für Backups nicht 'mal das Board-System runterfahren. Ein Vollbackup würde da wahrscheinlich deutlich länger als einen Tag brauchen. Das schliesst natürlich auch schon wieder Backup-Generationen aus. Es kann eigentlich nur inkrementelle Backups geben, einfach wegen der Datenmenge.
Folglich laufen die Backups ständig parallel zum Produktions-Betrieb und folglich müssen die Backup-Server auch allesamt ständig mit dem Hauptnetzwerk verbunden sein.
Natürlich legt ezBoard die internen Strukturen nirgends offen, weil das einem Angriff Tür und Tor öffnen würde. Das Einzige, was mit dem Vorfall nun öffentlich gemacht wurde ist, dass die Backup-Server in einem speziellen Netzwerk stehen und von dort nur über einen Firewall mit entsprechendem Zugang (die sprechen von Passworten) auf die Produktiv-Server zugreifen können.
So ein System ist ohne Kenntnis von sensiblen Interna schon als sicher einzustufen. Das Problem hier sind aber die Menschen, welche Kenntnis von diesen Strukturen haben. Da muss nur einer dabei sein, der sich in irgend einer Form an ezBoard rächen will (z.B. ein ehemaliger Mitarbeiter), und schon kann er das Wissen entsprechend ausnutzen. Eventuell hat er auch schon zuvor innerhalb des Netzwerkes einen persönlichen Zugang geschaffen, um später von aussen diesen Zugriff durchführen zu können.
Aus dem Angriff kann man jedenfalls schliessen, dass hier sehr zielgerichtet gearbeitet wurde, denn es wurden "nur" die produktiven und Backup-Daten in einem schnellen Angriff gelöscht.
Das funktioniert eben nur mit internen Kenntnissen und dagegen hilft eben kein Firewall oder sonstwas.
Also, bitte nicht über ezBoard meckern. Die haben offiziell über 100.000 Boards laufen, ich möchte gar nicht wissen, wieviele Gigabytes an Daten sich dort täglich ändern. Wenn die keine Ahnung hätten, würde das sicher nicht funktionieren... 😉

waiting www.tom-productions.de - www.tofahrn-foto.de - www.tofahrn.de

2005-06-08 15:10 #12
Oh Mann, da schaut man ein paar Tage nicht hier rein
und schon geht es so hab.
Echt heftig...---
Robert Schwortschik,
Webmaster Game-of-Robot.de
Webmaster Prince of Persia World (http://www.schwortschik.de/prince/index.htm)

Game-of-Robot.de

2005-06-08 18:53 #13
Quote:
Oh Mann, da schaut man ein paar Tage nicht hier rein
und schon geht es so hab.
Yep, es geht allerdings schon eine Woche so ab, ein Indiz dafür, dass Du als Moderator und Admin viel zu selten hier hereinschaust... 😉
Zumindest hast Du bewiesen, dass globale Accounts automatisch wieder den Members zugewiesen werden, wenn man wieder posted. Ich hoffe also noch immer, dass wir keine lokalen Member verloren haben... 😞

waiting www.tom-productions.de - www.tofahrn-foto.de - www.tofahrn.de

2005-06-09 18:11 #14
So, wieder ein kleines Update.
Nach Aussagen von ezBoard haben heute alle Server die ersten drei von insgesamt fünf Restore-Schritten abgeschlossen. Die letzten beiden werden Server für Server umgesetzt und sind offiziell die Rechen-intensivsten. Aktuell kalkuliert ezBoard für die restlichen Schritte 7-10 Tage.
Leider musste ich aus der letzten Info auch herauslesen, dass wohl nur von aktiven Boards eine grössere Anzahl von Posts restauriert werden konnten. Wie das mit den inaktiven Boards ist, dazu gibt's kein Statement.
Wir können also weiterhin nur hoffen, und schauen was passiert bzw. übrig ist, wenn die fünf Steps auf allen Servern abgeschlossen sind.

waiting www.tom-productions.de - www.tofahrn-foto.de - www.tofahrn.de

2005-06-11 00:31 #15
Heute gibt nicht viele Neuigkeiten, nur eine kleine Zusatzinformation: Während der letzten beiden Restore-Schritte werden zurückgespielte Postings nicht in chronologischer Reihenfolge auftauchen. In einem abschliessenden Sortiervorgang wird das allerdings korrigiert.
Hoffen wir einmal, dass auch bei uns möglichst viel auftaucht... 😉

waiting www.tom-productions.de - www.tofahrn-foto.de - www.tofahrn.de

2005-06-13 23:57 #16
Die ersten alten Posts tauchen auf, und zwar in den Allgemeinen-Foren und im Bug-Report-Fixed-Forum! 😀 😀
Vielleicht ist ja doch nicht alles verloren, hoffen wir noch ein bischen weiter...

waiting www.tom-productions.de - www.tofahrn-foto.de - www.tofahrn.de

2005-06-16 11:44 #17
Bei ROBOT Allgemein sind auch schon Beiträge wieder aufgetaucht. Immer weiterhoffen😀
2005-06-16 12:27 #18
Schon richtig. Was mich allerdings nicht glücklich stimmt ist, dass in jedem Thread immer nur das erste Posting existiert und sich an der Gesamtmenge seit zwei Tagen nichts mehr geändert hat.
Naja, die fünfte Restore-Stufe kommt ja noch und soll um das Wochenende herum abgeschlossen sein. Anschliessend folgt noch der Recache, und bis dahin müssen wir eben weiterhoffen und Daumen drücken... 😉

waiting www.tom-productions.de - www.tofahrn-foto.de - www.tofahrn.de

2005-06-17 12:03 #19
Die Restore-Prozesse laufen laut ezBoard wie erwartet und sollen bis Montag abgeschlossen sein. Zumindest die bisher angekündigten 5 Schritte. Inzwischen konnte noch ein weiteres "Datenpaket" gefunden werden, welches im Anschluss zurückgespielt wird, das wäre dann der 6. Schritt.
Ob das Recache vor oder erst nach dem letzten Schritt durchgeführt wird, wurde nicht gesagt. Zumindest soll mit Abschluss des 5. Schrittes (also bis Montag) der Großteil älterer Posts wieder auftauchen.
Na, dann hoffen wir 'mal weiter...

waiting www.tom-productions.de - www.tofahrn-foto.de - www.tofahrn.de

2005-06-17 16:02 #20
Da vergisst man mal vor lauter Uni-Stress seine Robot Sucht und kommt dann doch vor lauter Langeweile mal wieder hier vorbei und zack! Alles weg, na sowas.
Böse Hacker. Hoffentlich finden sie den Täter, ist ja schließlich nicht nur dieses Forum, das vernichtet wurde sondern auch noch einige andere (100 000, stimmt so, oder?)
So, und jetzt eine Runde Robmem 😀
Bibi