VoDHD.tv - illegales VoD Portal gehackt und erpresst

Artikel ansehen

Update veröffentlicht.

Der Hacker Whatsyourmission will den Chatverlauf angeblich dazu benutzen, um die Kunden von VoDHD.tv über meine Vorgehensweise aufzuklären. Na bitte, dann mal los.

Ich bin vor wenigen Minuten nochmals angeschrieben worden. Er schrieb mir:

Ich habe Deinen Artikel über VODHD gelesen. Ich empfinde ihn als korrekt, jedoch sind dort ein bis zwei kleine Fehler. Du schreibst das Whatsyourmission (WYM) der Hacker ist und zeitweise Admin war. Jedoch ist WYM immer noch Admin und wehrt sich mit Händen und Füßen in der Telegram-Gruppe gegen diese Vorwürfe. (Deswegen hatten wir ja schon ein Update, siehe oben.).

Fakt ist aber auch, dass viele Mitglieder seit Jahren Mitglied bei dem Dienst sind, quasi die Community darstellen und man erkennt, dass der Schreibstil von Peter, nicht (mehr) dem von Peter entspricht. Es sieht eher so aus, als hätte eine feindliche Übernahme stattgefunden und man versucht jetzt Business as Usual zu machen – im Namen von Peter. Peter wurde mal vor vielen Jahren übers Ohr gehauen und hat seitdem eine One-Man-Show gemacht. Wenn er mal weg war, hat er seinen Dienst lieber ein paar Tage ausfallen lassen, als jemand anderen Rechte zu geben. Auf einmal taucht aus dem nichts ein neuer Mod/Admin (dieser WhatsYourMission) auf, langjährige Mods werden entfernt und er hat Berechtigungen auf Server, Shop, Forum usw. Peter äußert sich gar nicht zu den Vorwürfen und bringt die Server wieder online.

Das passt einfach nicht, ich persönlich gehe davon aus, die Hacker haben den Service entweder komplett übernommen, inklusive Peters Accounts, oder die haben etwas gegen Peter in der Hand und er spielt jetzt nach deren Regeln.

Wollte ich einfach mal mitteilen als Ergänzung.

Was für eine Kinderkacke.

Es geht um viel Geld. Wer auch immer den Dienst jetzt betreibt, macht sich die Taschen voll.

So ein müll. Und die sollen die DOMAIN auch gehackt haben?

Frage mich, wie die Angreifer da vorgegangen sind. War eine Lücke kurz öffentlich bekannt und konnte nicht rechtzeitig gepatcht werden? Insiderwissen? Oder auf einer Kali mit allen Tools reinholzen?

Das passt dem Peter aber gut in den Kram, dass an dem ach so mysteriösen Hack, der olle Emby-Server schuld ist!
Der Umstieg auf Plex wurde doch schon ausgerollt…siehe:

Geschrieben 13. November
Umstieg auf Plex!

Nachdem nun eine größere Gruppe an Nutzern Plex ausgiebig testen konnte haben wir uns mit einer großen Mehrheit dazu entschieden auf Plex umzusteigen.

Hier nun der genaue Ablauf für euch Nutzer:

Der Umstieg wird wieder in „Wellen“ erfolgen, also nach und nach.
Die Umstellung beginnt ab Dienstag, 17.11.2020!

So kann man die Entscheidung zu Plex natürlich gut begründen, wenn es im Vorfeld eventuell zu viel Abneigung gegen eine Umstellung gab!?

Andererseits würde bei einem tatsächlichen Hack, jetzt schon fast klar sein, wie die Übernahme begünstigt wurde… :rofl: :rofl:
Da man Emby und Plex, wegen des Übergangs, parallel laufen lassen wollte, damit die alten Accounts nicht benachteiligt werden, wird man sich wohl irgendwie ein Loch in seine Konfiguration gerissen haben?! Laut der Betreiber-Planung und dem Zeitpunkt des Hacks, würde das völlig hinkommen!!
Aber natürlich wäre trotzdem der Emby-Server schuld deswegen! Man kann ja wohl kaum zugeben, dass man durch eigene Dummheit, seine Infrastruktur frei verfügbar ins Netz gehangen hat…! :ok_hand:

„Leider kann man Peter, den ehemaligen Betreiber, nicht als Fremden über Telegram erreichen.“

Wie sicher ist es, dass Peter der „ehemalige“ Betreiber ist? Das wäre sehr schade, in diesem Fall würde ich den Service in Zukunft meiden… Abgesehen von den paar wenigen downtimes war der Dienst immer super.

Finde es etwas komisch, dass dort im Forum heute nicht ein Wort darüber gefallen ist, oder bleibt dies/ein Statememt den Normalos der nicht-„Telegram Gruppe“ vorenthalten…?

Ja, und bei Telegram wurden wir verunglimpft. 3x darfste raten, warum das so ist?!

Jup. Die alte Gruppe wird geschlossen und man soll sich an Peter oder WhatsYourMission für die neue einheitliche Gruppe wenden, wenn man denn Kunde bleiben möchte.
Warum sollte die alte Telegram Gruppe geschlossen werden, außer um volle Kontrolle zu haben?

Für mich ist das Thema nach dem Auslaufen des Abonnements durch, schade um Peter…

„Mr. James“ ist heute als Admin im Forum aufgetaucht und hat nachts seinen ersten Beitrag veröffentlicht, eine Anleitung…

Das stimmt so nicht ganz. „Mr. James“ ist „WhatsYourMission“. Er hat sich einfach umbenannt - denke sein Name war verbrannt und man hat ihn in vielen Gruppen angesprochen. In der neuen Telegram-Gruppe ist Peter weiterhin Besitzer und Mr. James Admin. Man kommt nur in die neue Gruppe, wenn man seinen Account-Namen mitteilt. Der Telegram-Nick und VodHD Accountname werden dann hinterlegt im System - laut Aussage Mr. James. Ob das jetzt etwas Gutes ist, um nur wirklich aktive Kunden in der Telegram-Gruppe zu haben, oder da etwas anderes hinter steckt, kann ich leider nicht beurteilen. Es sieht soweit erstmal alles „normal“ aus. Aber was unter der Motorhaube passiert ist völlig unbekannt und leider auch vielen Mitgliedern egal. Die skeptischen User wurden einfach immer wieder mit Argumenten abgeschmettert, irgendwann sogar gemutet und/oder gebannt, aber erst wenn es sehr hitzig und persönlich wurde.

Vielen Dank für die Aufklärung, aber hätte man dann nicht einfach die Gruppe aufräumen können? Nun gut, organisatorisch ist das so sicher einfacher.

War WYM bzw. Mr. James denn schon vor dem Wochenende Admin? Muss gestehen, dass mir dieser nie im Forum aufgefallen ist, war dort aber auch nicht allzu oft.

Bin gespannt, wie sich das entwickelt…

Da hat jemand den ehemaligen Betreiber erpresst, oder weiß private Daten von denen Peter nicht will, dass sie bekannt werden. So oder so hat sich der Gründer des Projekts wenig freiwillig zurückgezogen. WhatsYourMission stellt uns als Lügner dar und sorgt schon mal für klare Verhältnisse.

Wie soll sich das schon entwickeln? Jemand kassiert jetzt für Peter ab, er wurde erneut über’s Ohr gehauen.

Mr. James vor 22 Std.

In der Nacht von Freitag auf Samstag Nacht, konnte ein Angreifer eine Lücke in der Weboberfläche von Emby ausnutzen, mit dem es ihm möglich war, folgende beiden Dinge zu tun:

1) Den Löschbefehl für die Mediathek (den Ort wo die Filme/Serien gespeichert sind, unser externer Cloudanbieter) auszuführen. Diese Funktion dient eigentlich dem Serveradmin zum bearbeiten, löschen und hinzufügen von neuen Medien. - Diese Lücke haben wir erstmal nun manuell behoben, wir melden sie aber den Emby-Entwicklern, damit diese für alle geschlossen werden kann. Außerdem haben unsere Emby-Server in Zukunft keine Rechte mehr, etwas an der Mediathek zu verändern.

2) Er konnte sich die Netzwerkeinstellungen aufrufen (diese Lücke ist dem Embyteam wohl schon bekannt, wurde aber bisher nicht behoben). Dort konnte er die Zugangsdaten für Cloudflare erbeuten, womit es ihm möglich war, kurzzeitig die DNS Einstellungen der Webseite zu ändern, so dass die seinen Inhalt zeigte. Auch diese Lücke haben wir manuell behoben.

Aufgrund der Behebung dieser Lücken, hat es leider ein wenig länger gedauert, aber die Emby-Server sollten in kürze wieder alle erreichbar sein.

Der Angreifer hatte sonst keinerlei Zugriff auf irgendwas. Weder auf weitere Daten auf dem Emby-Server, noch auf unseren Webserver, auf dem Forum und Shop etc. liegen. Es wurden KEINE Userdaten erbeutet! Auch wenn die Gerüchteküche brodelt, glaubt nicht alles.

Zum Zweck des Angriffes: Der Hacker setzte sich mit Peter in Verbindung und forderte, dass dieser Mike und Spevil als Admin entfernt. (Blubber hingegen blieb Admin, er gab nachher selbst ab). Peter ist dieser Forderung vorerst nachgekommen, damit der Angriff aufhört. Zu dem Zeitpunkt wusste Peter noch nicht genau, was nun passiert war und wie es möglich war. Er wollte daher in erster Linie weiteren Schaden für VoDHD und euch ausschließen. Wir wissen nicht genau, was zwischen dem Angreifer und Mike/Spevil vorgefallen ist, aber es ist schade, dass es auf dem Rücken aller ausgetragen wird.

Dies ist ja in Teilen das Statement welches der neue Admin „Mr. James“ zu dem Hack herausgab! Meiner Meinung nach, gibt es allerdings einige Widersprüche innerhalb der Aussage, die mich etwas nachdenklich werden lassen…

  • Wie konnte der Hacker den Betreiber „Peter“ kontaktieren in der Nacht, außer er kam aus dem inneren Umfeld?
  • Wieso sollte der Hacker über die Lücke, erst den Löschvorgang der Mediathek ausführen, um sich danach mit dem Eigentümer in Kontakt zu setzen? Macht man dies nicht umgekehrt und beginnt mit einer Androhung?

Um auf eine weitere Frage einzugehen, der neue Admin:

Wie ihr alle wisst, wurde Peter damals mal von einem Helfer übers Ohr gehauen, der ziemlichen Schaden anrichtete, in dem er alles löschte. Seit dem hat Peter lieber alles alleine gemacht, damit so etwas nicht mehr passieren kann. Das nehmen einige nun zum Anlass, zu behaupten, Peter wäre nicht mehr Peter, er würde dazu erpresst werden, dass der neue Admin da ist, oder noch andere Filmreife Geschichten. Peters Telegramaccount wurde nicht wie von einigen behauptet übernommen, Peter ist weiterhin Peter.

Peter brauchte in der Nacht einfach Hilfe. Gelöscht war sowieso schon vieles, schlimmer konnte es also nicht werden, wenn man jemanden mit ins Boot holt. Peter und ich, kennen uns schon länger. Wir haben uns regelmäßig über IT Dinge ausgetauscht. Ich habe meine Hilfe angeboten. Peter nahm sie dankend an. Die Rechte in der Telegramgruppe verteilte er, weil es dort drunter und drüber ging, aber bis auf Blubber kein Admin mehr da war.

Wir haben zusammen alles analysiert, was einiger Zeitaufwand war. Wir haben die Lücken gefunden und ich habe Möglichkeiten erarbeitet, diese zu fixen, während Peter die anderen Server und die Mediathek wieder online brachte. (Es gab ein vollständiges Backup der Mediathek).

  • Wieso sollte sich so eine misstrauische Person wie Peter, ausgerechnet in so einer Situation, auf die Hilfe einer Chat-Bekanntschaft verlassen, mit der man sich zuvor über „IT-Dinge“ ausgetauscht hatte? Was „Social Engineering“ ist, weiß Peter doch wohl auch!
  • Da es ja anscheinend ein funktionierendes Backup gab, hätte Peter doch das Fixen der Lücken, sowie ein Reup des gesamten Boards auch alleine hinbekommen, auch wenn es 2 Tage länger gedauert hätte! Wieso dann die Hilfe eines Außenstehenden annehmen und somit die Board-Sicherheit wieder gefährden??
  • Wie konnte der neue „Mr. James“, ohne Kenntnis der eigentlichen Infrastruktur, ad hoc zu einer Hilfe bei der Problemanalyse und des Fixum werden?
1 Like

Wie konnte der Hacker den Betreiber „Peter“ kontaktieren in der Nacht, außer er kam aus dem inneren Umfeld?

Würde zur Forderung passen, dass bestimmte Admins entfernt werden sollen. Trotzdem eine merkwürdig kleine Forderung, mit so viel schaden.

Was dann aber wiederum etwas widersprüchlich zur Aussage wäre, dass der Hacker nur die Forderung gestellt hatte, Admins zu entfernen, ist Peters Beitrag im Szenebox Forum:

Peter, 01.12.2020 13:49:

Feindliche Übernahme? Hätte gerne eine Info, was da abgeht…
https://tarnkappe.info/vodhd-tv-ille…-und-erpresst/

Dies konnte abgewendet werden. Ich habe mittlerweile wieder über alle Bereiche die Kontrolle zurückerlangt.
Website und Shop sind seit Sonntag wieder online. Die Plex-Streams laufen seit gestern wieder. Emby-Streams werden voraussichtlich ab heute wieder online gehen.

Insgesamt ist alles wesentlich weniger schlimm abgelaufen als zuerst angenommen (meine ersten Befürchtungen waren der Verlust von Nutzerdaten usw.). Dies ist nicht geschehen, ansonsten wäre VoDHD nichtmehr online. Der Schaden ist natürlich jetzt trotzdem da und ich kann auch jeden Nutzer verstehen, der nun erstmal skeptisch ist. Dafür habe ich absolutes Verständnis.

VoDHD wird also auch weiterhin für Filme und Serien in Top-Qualität stehen und ich arbeite gerade hart daran, dass wieder alles so läuft wie es sollte.

Grüße,

Peter

Liest sich meiner Meinung nach so, dass da mehr dahinter steckt(e). Versuch abgwendet, volle Kontrolle zurückerlangt. Versehentlich geoutet? Wenn jemand übernommen haben sollte, dann sicherlich komplett - inkl. Telegram, Foren Accounts und Mail, also allem.

Wieso sah eigentlich nach dem Wiederherstellen die Landing Page so zerschossen aus und das Forum war noch weg, wenn nur die Mediathek gelöscht wurde und die IP’s geändert wurden?

Ich bin mir immernoch unschlüssig und wünsche mir trotzdem, dass der echte Peter weiterhin die volle Kontrolle hat. Lief abgesehen von den paar kleineren Problemen einwandfrei in einer erstklassigen Qualität. Für das kleine Geld lohnt es sich einfach nicht selbst mit radarr, sonarr, rclone und sonst noch was rumzuhantieren. Alleine der Server (falls ausgelagert) und/oder Cloud ist teurer…

Ich kenne den Emby-Server jetzt nicht so gut. Aber kann mir mal jemand plausibel erklären, wie man beim Aufruf der Netzwerkeinstellungen dort an die Account-Daten von Cloudflare kommen kann?? Meiner Meinung nach, ist dort im Emby lediglich die Route hinterlegt und keine Zugangsdaten für einen Dienst von Drittanbietern??

Mir schrieb ein Moderator heute, angeblich habe man die Kontrolle zurück und die Lücken seien dicht. Aber sorry, ich glaube gar nichts mehr.

Lücken dicht ? Keine Ahnung ! Allerdings sollte man dann, wenn man meint CF nutzen zu müssen, dann aber auch die Konfiguration entsprechend einstellen… :crazy_face:

vod1

Alleine die Tatsache, dass der Webmin Login total zum Mitschneiden einlädt, war wohl noch nicht genug…

vod

…man kommt auch per SSH-Zugriff noch bis in den Login vom Root ! ! !

vod3

Ganz ähnlich sieht es auch bei dem zweiten Host auf NGINX Basis aus…da fehlt mir aber grad die Zeit für. Wenn das dort schon immer so offen war, dann Prost Mahlzeit…!

Hallo,

bei den beiden VPS handelt es sich weder um Website oder Streaming Server.
Auf beiden hatte ich in den letzten Tagen ein paar Sachen getestet und nach dem Hack in der Aufregung total vergessen. Beide VPS sind mittlerweile wieder gelöscht.
War natürlich trotzdem dämlich von mir, keine Frage :pensive:

Wenn Website und Streaming Server SO unsicher wären hätte es nicht über 4 Jahre bis zu einem Hack gedauert.

Natürlich sind viele verunsichert momentan. Leider wird es durch solche Berichterstattung noch ungerechtfertigter Weise verstärkt (Damit meine ich jetzt nicht den Post von VIP, der hatte ja durchaus seine Berechtigung, auch wenn ich die vorherigen Vermutungen von ihm, der Hack wäre nur ein Vorwand um die Leute zu Plex zu bewegen, ein wenig unfair fand).
Emby kann übrigens weiterhin genutzt werden, wir zwingen keinen unserer bestehenden Nutzer zu Plex zu wechseln.

Grüße,

Peter

1 Like

THXX @Landgraaf für deine Rückmeldung!!

Deswegen steht ja in meiner Signatur „Provokantenstadl“ :wink: :rofl: Nein, aber mal ehrlich: Natürlich müssen wir das ja von allen möglichen Seiten betrachten, wenn ein Konstrukt so verwirrend ist.
And a certain amount of sarcasm must be allowed…!