rechenkraft.net hacked

[WikiWill]

Did any of you Yoyo or other Rechenkraft.net project members receive an email about their forum being attacked and restored? My German and Google's translation aren't great - is there an English version around?

I think the gist of it is that I need to assume the password is compromised and change it anywhere else it's used (eg BAM).

Content:

The following is an e-mail sent to you by an administrator of
"Rechenkraft.net e.V.". If this message is spam, contains abusive or other
comments you find offensive please contact the webmaster of the board at
the following address:

kontakt@rechenkraft.net

Include this full e-mail (particularly the headers).

Message sent to you follows:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Liebe Mitglieder des Forums www.rechenkraft.net,

wie die meisten sicherlich mitbekommen hatten, war unsere Webseite, und
somit auch das Forum, seit dem 19.8.2011 nicht erreichbar.

Grund hierfür war ein Hackerangriff, der uns dazu veranlasste, den Server
vorsorglich vom Netz zu nehmen, um den Schaden in Ruhe inspizieren zu
können.

Dies ist nun geschehen und außer einem automatisierten Skript, dass die
Ports anderer, fremder Server nach Schwachstellen absuchte, konnten wir
keine Ungereimtheiten finden.

Wir haben nun sämtliche auf dem Server befindliche Software aktualisiert
und das Wiki und das Forum nun wieder online gestellt.


***
WICHTIG
***
Dennoch möchten wir auf Nummer Sicher gehen und bitten jeden einzelnen sein
PASSWORT sowohl im FORUM als auch im WIKI (sofern dort ebenfalls ein
Account registriert ist) zu ERNEUERN.
***


Wir hoffen, dass nun alles wieder wie gewohnt läuft. Sollten noch kleine
Fehler in der Darstellung oder Funktion des Forums oder Wikis auftreten,
freuen wir uns über einen Hinweis.


Abschließend möchten wir uns für die entstandenen Unannehmlichkeiten durch
die Nichterreichbarkeit von www.rechenkraft.net entschuldigen. Die
ungewohnt lange Dauer des Wiederherstellungsprozesses ist auf fehlende
Manpower zurückzuführen.


Viele Grüße,
der Vorstand von Rechenkraft.net e.V.


PS: Ein großes Dankeschön geht an unsere freiwilligen Serveradministratoren
nico und LinuxFan, die trotz Zeitmangel den Server unter die Lupe genommen
und wieder einsatzbereit gemacht haben.


--
Mit freundlichen Grüßen, die Administratoren von Rechenkraft.net

[kashi]

Yes I got the email, there's a bit more in the forum here. The last post there has me tricked though.

"Wir gehen von einer Lücke in PHP bzw. phpBB aus, da der Portscanner unter diesem Benutzernamen lief. root konnte er dank einem aktuellen Debian und gutem root-Passwort nicht werden.

Passwort lässt sich hier ändern: ucp.php?i=profile&mode=reg_details (Persönlicher Bereich -> Profil -> Registrierungsdetails ändern)

Wer das Root-SSL-Zertifikat für das SSL-Zertifikat von RKN noch nicht importiert hat, kann das hier tun: https://www.cacert.org/index.php?id=3

Dort einfach auf die PEM Links klicken. (außer für IE5/6 Nutzer). Es empfiehlt sich ebenfalls die Widerrufszertifikate (CRL) zu importieren."

Google translation:
"We start from a vulnerability in PHP and phpBB, since the port scanner running under this user name. root it could be due to a non-current Debian and good root password.

You can change your password here: ucp.php?i=profile&mode=reg_details (User Control Panel -> Change registration details -> Profile)

Those who have not yet imported the root SSL certificate for the SSL certificate from RKN can do so here: https://www.cacert.org/index.php?id=3

There simply click on the links PEM. (Except for IE5 / 6 users). It is also recommended the revocation certificates (CRL) to import."

I changed my password OK (not with the link in the post which is also Untrusted), but that link to import the root SSL certificates comes up in Firefox as Untrusted so I clicked the "Get me out of here" button. I have no idea what the revocation certificates (CRL) are. PHP, phpBB? As Sergeant Schultz said, "I know nothing! Nothing!". ;D

[WikiWill]

I changed my password OK (not with the link in the post which is also Untrusted), but that link to import the root SSL certificates comes up in Firefox as Untrusted so I clicked the "Get me out of here" button. I have no idea what the revocation certificates (CRL) are. PHP, phpBB? As Sergeant Schultz said, "I know nothing! Nothing!". ;D

It's very unusual for an internet site to generate its own SSL certificate these days (you can buy a trusted cert for $60) and Firefox is right to warn you - and you're right to consider it untrustworthy.  It's all pretty suspicious.

If they are generating their own SSL cert (ie for a https:// link), the browser will considered it untrusted and display big warnings unless you also import their generated root certificate into your computer's certificate store.  The root cert is how the browser knows to trust the web site's SSL cert.  Vendors like Microsoft pre-populate the operating system's certificate store with root certs they consider trusted.  The CRL will accompany the root cert and list any certificates that the root certificate authority has cancelled/revoked.

Unless you need to access the site for anything, I would wait a few days and see if they sort this out.  Only use links from the site's home page and not from email or forums.

If you used the same password on any other site, I strongly recommend changing those other passwords to something unique.  If you need a way to record them, keep a notebook next to the computer, or use a tool like Passwordsafe or Keepass.

[kashi]

Thanks for the explanation.

Hmm, used the same password on all BOINC projects, makes it easier to attach at various times. If I may be forgiven for using American spelling, looks like I may need Keepass to Saveass!

[Mysteron347]

Aye, Saveass-all.