08.10.2016, 18:11
Bislang wissen wir nichts darüber ob es Goldalgor 2 geben wird oder nicht.
Ein komplett neues Programm ist an sich nicht notwendig. Mehr Sicherheit ist notwendig,
vor allen Dingen dann wenn es um Geld geht. Meine Beiträge sind hier als Anstoß gemeint.
Mir ist zu Ohren gekommen, dass mehrere Mitglieder des Forums sich bei einem Teammitglied
über meine Kritik, bzw. dass ich Martin wegen etwas "beschuldigen" würde, beschwert haben.
Es tut mir Leid, wenn meine Anstöße, Hilfestellungen und Ratschläge als
zu viel Wind machen empfunden werden. Ich kann nur mein Bestes geben
und möchte darauf hinweisen, dass ich es förderlich für die Algors meine.
Ich habe wieder den Fehler gemacht, dass ich mich als Admin hier im Forum hilfreich
beteiligen wollte, was im Endeffekt anstrengender ist, als alles seinen Lauf zu lassen.
Leider werde ich immer wieder missverstanden, was wohl an meinem Ausdruck liegt.
So lag es nicht in meiner Absicht, Martin für irgendetwas Schuld zu geben, sondern
mein erster Satz des ersten Beitrags war "Schuld trägt niemand aber Verantwortung".
Mittlerweile weiß man auch mehr, wie man im Profitalgor-Thema lesen kann.
Bei dem Hack der den Aglor-Programmen unterlaufen war, handelt es sich
um keine direkte Injection und nun bleiben mehrere Möglichkeiten offen,
die einen Angriff über das Goldcoders-Script nicht komplett ausschließen.
Diesbezüglich habe ich auch mit dem PMS-Programmierer eine lange Konversation geführt.
Es gibt mehrere Möglichkeiten, innerhalb des Webspaces auf dem auch das GC-Script liegt,
eine Datei zu integrieren, die sich mit der Datenbank verbindet und Fake-Nutzer erstellt.
Laut den Informationen die ich habe, ist es so geschehen.
Vielleicht möchte EvilsMAMA oder Martin dazu selber noch
Stellung nehmen oder mit mir persönlich in Kontakt treten.
Unser PMS-Programmierer, der seit seiner Jugend programmiert, hat hier einige
Möglichkeiten genannt, wie man bei so einem System eine Sicherheitslücke findet.
Soweit ich verstanden habe, bietet die Programmiersprache PHP hier
an sich schon genügend Sicherheitslücken, auch in der Version 5,
auf der das Goldcoders-Script übrigens seit 2014 nun basiert,
was unter anderem auch etwas an mir vorbei ging, weil
der GC-HYIP-Monitor noch auf PHP 4 geschrieben ist.
Nun kann man das natürlich so sagen, dass das GC-Script nicht verantwortlich ist
aber um es auf den Punkt zu bringen, wird laut dem PMS-Programmierer jedem Server
auf Grund der Programmiersprache des GC-Scripts eine Konfiguration aufgezwungen,
die nicht sonderlich sicher ist, wenn es um Programme geht, die mit Geld zu tun haben.
Da ich hier lediglich die verschiedenen Eventualitäten und Sichtweisen anbieten möchte,
sage ich nur noch, dass es z.B. laut ihm auch die Möglichkeit gibt, sich auch ohne die
Zugänge für den FTP-Server z.B. mittels Cross-Site-Scripting in eine offene Session
oder per Manipulation eines aktiven Scripts in die Script-Struktur reinzuhacken.
Ob nun so oder per Hack/ Abfrage der FTP-Daten, gibt es immer die Möglichkeit
eine PHP-Datei einfach auf den Server hochzuladen und gleichzeitig auszuführen.
Da besonders bei der Scriptsprache PHP oftmals die Datenbank-Daten offen auf
dem Webspace des Servers rumliegen (damit das Script die Verbindung herstellt),
kann eine hochgeladene Datei auf diese zugreifen und die Datenbank umschreiben.
Tashi hatte hier noch den Witz gemacht: "Im Prinzip ist .EXE und .PHP das selbe".
Da die Aglor-Programme auch von Cloudflare geschützt werden, ist es wahrscheinlich,
dass dies so geschehen ist und dies kann immer wieder passieren, wenn man nicht
darauf achtet, entsprechende Sicherheitsvorkehrungen zu treffen, um zumindest
die meisten Wege zu unterbinden, durch die Sicherheitslücken zustande kommen.
Der PMS-Programmierer verwendet genau deshalb eine andere Programmiersprache
für unsere künftigen Projekte, weil er sich mit dem Problematiken sehr gut auskennt.
Er plant hier eine Struktur mit mehreren Container über "Docker" (und kein FTP mehr),
damit dann solche einfachen Zugriffe auf die Datenbank nicht mehr geschehen können.
Ich lasse dies letztmalig als Hinweis auf meine Sichtweise und die damit verbundene Kritik
an die erneute Wahl des GC-Scripts, sowie die Schuldzuschreibung an dieses Script hier
(nicht an den Admin!) und verlinke nur noch eine interessante PDF, vom Programmierer,
in dem auch die zehn häufigsten Sicherheitslücken aufgeführt werden (Seite 4, unten).
MYSQL-Injections sind dort auf Platz 1 verzeichnet und war bereits in der Vergangenheit
eine häufig genutzte Sicherheitslücke (vor 2014), weshalb ich das sehr nahelegend fand.
Sollte es Fragen dazu geben - auch gerne seitens des Admins - kann man mich jederzeit
persönlich kontaktieren und ich werde gerne alles beantworten, was ich weiß oder es
in Erfahrung bringen. Gerne helfe ich zumindest auf die Art, für die ich Zeit finde.
Für's erste ziehe ich mich nun aber nicht nur aus dem Thema hier zurück,
sondern erneut aus dem Programmbereich aber bedanke mich bei Lesern
und Befürworten, die erkennen, dass meine Beiträge gut gemeint sind und
möchte alle, die das nicht so sehen können, für's nächste Mal bitten, zu mir
persönlich zu kommen - falls es ein nächstes Mal gibt, da es mir offen gesagt
keinen Spaß mehr macht, mich dauernd rechtfertigen zu müssen, weil ich das
Gefühl habe, dass man den Sinn meiner Worte nicht verstehen möchte aber
meine Ausrichtung immer skeptischer unter die Lupe nimmt, als jeden Ponzi.
Ich wünsche allen noch weiterhin viel Erfolg und bin mir sicher, dass alles
so oder so seinen freien Lauf nimmt, in den ich mich nicht mehr einmische!
PS. Ich möchte noch den Ratschlag anbieten, dass eventuelle Helfer von Martin,
die die FTP-Daten besitzen, diese nirgends auf dem PC und auch nicht in Filezilla
oder im Browser (o.ä.) abspeichern, da diese auch dort Hacker rauslesen können.
Ein komplett neues Programm ist an sich nicht notwendig. Mehr Sicherheit ist notwendig,
vor allen Dingen dann wenn es um Geld geht. Meine Beiträge sind hier als Anstoß gemeint.
Mir ist zu Ohren gekommen, dass mehrere Mitglieder des Forums sich bei einem Teammitglied
über meine Kritik, bzw. dass ich Martin wegen etwas "beschuldigen" würde, beschwert haben.
Es tut mir Leid, wenn meine Anstöße, Hilfestellungen und Ratschläge als
zu viel Wind machen empfunden werden. Ich kann nur mein Bestes geben
und möchte darauf hinweisen, dass ich es förderlich für die Algors meine.
Ich habe wieder den Fehler gemacht, dass ich mich als Admin hier im Forum hilfreich
beteiligen wollte, was im Endeffekt anstrengender ist, als alles seinen Lauf zu lassen.
Leider werde ich immer wieder missverstanden, was wohl an meinem Ausdruck liegt.
So lag es nicht in meiner Absicht, Martin für irgendetwas Schuld zu geben, sondern
mein erster Satz des ersten Beitrags war "Schuld trägt niemand aber Verantwortung".
Mittlerweile weiß man auch mehr, wie man im Profitalgor-Thema lesen kann.
Bei dem Hack der den Aglor-Programmen unterlaufen war, handelt es sich
um keine direkte Injection und nun bleiben mehrere Möglichkeiten offen,
die einen Angriff über das Goldcoders-Script nicht komplett ausschließen.
Diesbezüglich habe ich auch mit dem PMS-Programmierer eine lange Konversation geführt.
Es gibt mehrere Möglichkeiten, innerhalb des Webspaces auf dem auch das GC-Script liegt,
eine Datei zu integrieren, die sich mit der Datenbank verbindet und Fake-Nutzer erstellt.
Laut den Informationen die ich habe, ist es so geschehen.
Vielleicht möchte EvilsMAMA oder Martin dazu selber noch
Stellung nehmen oder mit mir persönlich in Kontakt treten.
Unser PMS-Programmierer, der seit seiner Jugend programmiert, hat hier einige
Möglichkeiten genannt, wie man bei so einem System eine Sicherheitslücke findet.
Soweit ich verstanden habe, bietet die Programmiersprache PHP hier
an sich schon genügend Sicherheitslücken, auch in der Version 5,
auf der das Goldcoders-Script übrigens seit 2014 nun basiert,
was unter anderem auch etwas an mir vorbei ging, weil
der GC-HYIP-Monitor noch auf PHP 4 geschrieben ist.
Nun kann man das natürlich so sagen, dass das GC-Script nicht verantwortlich ist
aber um es auf den Punkt zu bringen, wird laut dem PMS-Programmierer jedem Server
auf Grund der Programmiersprache des GC-Scripts eine Konfiguration aufgezwungen,
die nicht sonderlich sicher ist, wenn es um Programme geht, die mit Geld zu tun haben.
Da ich hier lediglich die verschiedenen Eventualitäten und Sichtweisen anbieten möchte,
sage ich nur noch, dass es z.B. laut ihm auch die Möglichkeit gibt, sich auch ohne die
Zugänge für den FTP-Server z.B. mittels Cross-Site-Scripting in eine offene Session
oder per Manipulation eines aktiven Scripts in die Script-Struktur reinzuhacken.
Ob nun so oder per Hack/ Abfrage der FTP-Daten, gibt es immer die Möglichkeit
eine PHP-Datei einfach auf den Server hochzuladen und gleichzeitig auszuführen.
Da besonders bei der Scriptsprache PHP oftmals die Datenbank-Daten offen auf
dem Webspace des Servers rumliegen (damit das Script die Verbindung herstellt),
kann eine hochgeladene Datei auf diese zugreifen und die Datenbank umschreiben.
Tashi hatte hier noch den Witz gemacht: "Im Prinzip ist .EXE und .PHP das selbe".
Da die Aglor-Programme auch von Cloudflare geschützt werden, ist es wahrscheinlich,
dass dies so geschehen ist und dies kann immer wieder passieren, wenn man nicht
darauf achtet, entsprechende Sicherheitsvorkehrungen zu treffen, um zumindest
die meisten Wege zu unterbinden, durch die Sicherheitslücken zustande kommen.
Der PMS-Programmierer verwendet genau deshalb eine andere Programmiersprache
für unsere künftigen Projekte, weil er sich mit dem Problematiken sehr gut auskennt.
Er plant hier eine Struktur mit mehreren Container über "Docker" (und kein FTP mehr),
damit dann solche einfachen Zugriffe auf die Datenbank nicht mehr geschehen können.
Ich lasse dies letztmalig als Hinweis auf meine Sichtweise und die damit verbundene Kritik
an die erneute Wahl des GC-Scripts, sowie die Schuldzuschreibung an dieses Script hier
(nicht an den Admin!) und verlinke nur noch eine interessante PDF, vom Programmierer,
in dem auch die zehn häufigsten Sicherheitslücken aufgeführt werden (Seite 4, unten).
MYSQL-Injections sind dort auf Platz 1 verzeichnet und war bereits in der Vergangenheit
eine häufig genutzte Sicherheitslücke (vor 2014), weshalb ich das sehr nahelegend fand.
Sollte es Fragen dazu geben - auch gerne seitens des Admins - kann man mich jederzeit
persönlich kontaktieren und ich werde gerne alles beantworten, was ich weiß oder es
in Erfahrung bringen. Gerne helfe ich zumindest auf die Art, für die ich Zeit finde.
Für's erste ziehe ich mich nun aber nicht nur aus dem Thema hier zurück,
sondern erneut aus dem Programmbereich aber bedanke mich bei Lesern
und Befürworten, die erkennen, dass meine Beiträge gut gemeint sind und
möchte alle, die das nicht so sehen können, für's nächste Mal bitten, zu mir
persönlich zu kommen - falls es ein nächstes Mal gibt, da es mir offen gesagt
keinen Spaß mehr macht, mich dauernd rechtfertigen zu müssen, weil ich das
Gefühl habe, dass man den Sinn meiner Worte nicht verstehen möchte aber
meine Ausrichtung immer skeptischer unter die Lupe nimmt, als jeden Ponzi.
Ich wünsche allen noch weiterhin viel Erfolg und bin mir sicher, dass alles
so oder so seinen freien Lauf nimmt, in den ich mich nicht mehr einmische!
PS. Ich möchte noch den Ratschlag anbieten, dass eventuelle Helfer von Martin,
die die FTP-Daten besitzen, diese nirgends auf dem PC und auch nicht in Filezilla
oder im Browser (o.ä.) abspeichern, da diese auch dort Hacker rauslesen können.
