Hackat forum.

Detta är ett arkiv för phpBB2 Support, Diskussion, MODar, Stilar och översättningar. Den tillhandahålls endast för referensändamål.

Moderatorer: Supportgrupp, Moderatorgrupp

Användarvisningsbild
Holger
Support
Support
Inlägg: 6492
Blev medlem: 2004-06-09 08:32
Ort: Hannover/Tyskland
Kontakt:

Re: Hackat forum.

Inlägg av Holger » 2009-04-14 09:56

htaccess skyddet hjälpte inte.
De hade satt root-mappen CHMOD 777 och sedan lagt in ett skript djupt ner i mapparna som editerade index.php varje gång det anropades.
I och med att vi ändrade sökvägen till forumet fungerade skriptet inte längre.
Holger Gremminger
Ingen support via PM!

Automatiserad backup av din databas med MYSQLdumper! Nu med helsvenskt gränssnitt.
Nytt: http://www.mysqldumper.se!

Hitta en expert! Registrera dig som expert!
http://www.phpbbexperts.com

Användarvisningsbild
vulcanriderssweden
Medlem
Medlem
Inlägg: 56
Blev medlem: 2008-07-07 06:58
Ort: Uppsala
Kontakt:

Re: Hackat forum.

Inlägg av vulcanriderssweden » 2009-09-22 10:45

Vi på Vulcan Riders har fått forumet (?) hackat. Hacken förstör indexfiler på forumet (och f.ö hela sajten) så att man inte kommer dit.
Parse error: syntax error, unexpected '<' in /home/v/vulcanri/www/cpgbilder/index.php on line 852"


Den, hacken alltså, orsakar också sådana här klagomål från användare på hemsidan:
CITAT:
"HTML:Illiframe-B [Trj] Trojansk häst, denna varning får jag när jag försöker gå in på startsidan. Jag har Avast Antivirus. Har även gjort en lokal rensning på datorn, dock med samma resultat. Förslag???
Slut citat

Vårt hack liknar alltså mycket det som beskrivs i denna tråden. Har dock kört några rader från hacken ovan (den gröna texten sid 1 denna tråd) i jämförande test på en nedladdning av hela vår hemsida (Vulcan Riders) med negativt resultat.

Göran
Forumadmin på VRS
http://www.vulcanriders-sweden.org/
Forumansvarig
Vulcan Riders Sweden

Användarvisningsbild
Holger
Support
Support
Inlägg: 6492
Blev medlem: 2004-06-09 08:32
Ort: Hannover/Tyskland
Kontakt:

Re: Hackat forum.

Inlägg av Holger » 2009-09-22 10:55

Nu funkar det som det ska igen?

Vänta lite!
cpgbilder?
Har det med forumet att göra?
cpg tyder på Coppermine Gallery.
Holger Gremminger
Ingen support via PM!

Automatiserad backup av din databas med MYSQLdumper! Nu med helsvenskt gränssnitt.
Nytt: http://www.mysqldumper.se!

Hitta en expert! Registrera dig som expert!
http://www.phpbbexperts.com

Användarvisningsbild
Holger
Support
Support
Inlägg: 6492
Blev medlem: 2004-06-09 08:32
Ort: Hannover/Tyskland
Kontakt:

Re: Hackat forum.

Inlägg av Holger » 2009-09-22 11:05

Ni verkar köra en mycket gammal version av Coppermine.
Holger Gremminger
Ingen support via PM!

Automatiserad backup av din databas med MYSQLdumper! Nu med helsvenskt gränssnitt.
Nytt: http://www.mysqldumper.se!

Hitta en expert! Registrera dig som expert!
http://www.phpbbexperts.com

Slacker
Aktiv medlem
Aktiv medlem
Inlägg: 166
Blev medlem: 2007-07-15 07:56

Re: Hackat forum.

Inlägg av Slacker » 2009-09-22 11:26

Min sajt hade coppermine galleri och det blev hackat. Jag kunde via accessloggarna se hur hackningen skedde. Hackaren lyckades ta reda på via coppermine användarnamn och lösenord till sajten. Sedan så kunde han via inloggning med ftp radera filer som störde sajtens funktion. Jag har stoppat denna typ av hackning via ett speciellt skydd i .htaccess som bla skyddar mot cross-scripting.

Användarvisningsbild
Marcus
Administratör
Administratör
Inlägg: 4321
Blev medlem: 2004-01-07 22:12
Ort: Skövde
Kontakt:

Re: Hackat forum.

Inlägg av Marcus » 2009-09-22 12:58

Jag har en kund som fick sitt Coppermine-galleri hackat, det hamnade en hel del "lustig" filer i systemet.

Jag undrar om ni menar att det gick vidare och hackade även ert phpBB2-forumet, via Coppermine.

Min kunds galleri gick bra att rädda, hackern hade varit "lagom elak"... (och det fanns inget annat på siten)

/marcus

PS!
Om någon undrar... Nej, kunden kom till mig i efterhand.
Jag hade inget ansvar för installation eller för den delen att hålla koll på när det var dags att uppgradera.
Men när de fick problem vänd de sig till mig.
DS!
Marcus Farrington - Administratör på phpBB Sverige
OBS! På förekommen anledning ges ingen support via PM.

Webb- & Drupalutvecklare på Webbyrå Grebban.

Slacker
Aktiv medlem
Aktiv medlem
Inlägg: 166
Blev medlem: 2007-07-15 07:56

Re: Hackat forum.

Inlägg av Slacker » 2009-09-22 14:45

Här står bra info om liknande hackningar:
http://buzz.typo3.org/teams/security/ar ... -to-typo3/

Användarvisningsbild
Marcus
Administratör
Administratör
Inlägg: 4321
Blev medlem: 2004-01-07 22:12
Ort: Skövde
Kontakt:

Re: Hackat forum.

Inlägg av Marcus » 2009-09-22 16:35

Slänger upp en Google-översatt kopia... (viktig information, så det är det värt att göra).

http://ow.ly/qvxu (Skickade in adressen i en URL-förkortare... :-) )

/marcus
Marcus Farrington - Administratör på phpBB Sverige
OBS! På förekommen anledning ges ingen support via PM.

Webb- & Drupalutvecklare på Webbyrå Grebban.

Användarvisningsbild
vulcanriderssweden
Medlem
Medlem
Inlägg: 56
Blev medlem: 2008-07-07 06:58
Ort: Uppsala
Kontakt:

Re: Hackat forum.

Inlägg av vulcanriderssweden » 2009-09-23 15:56

OK vi har utsatts för en svår "iframe attack". Alla indexfiler på sajten angrips regelbundet (de vi reparerar) och skrivs om till att peka till en rysk hemsida. Så även index.php filerna. ja alla index. Var skiten kommit/kommer ifrån vet vi ej. Experterna har flera förklaringar.

Sajten "Winterkvist" påpekar att det går att komma in bakvägen till servern via phpBB >>> http://www.csc.nu/Sakerhet/modules.php? ... 520&cat=27

Är det någon som kan förklara om detta kan vara rätt och HUR i så fall man kan täppa till ett ev sådant hål innan vi går vidare. (antagligen måste vi ladda om hela sajten) vi har version 2.21

MVH
Göran
Forumansvarig
Vulcan Riders Sweden

Användarvisningsbild
Holger
Support
Support
Inlägg: 6492
Blev medlem: 2004-06-09 08:32
Ort: Hannover/Tyskland
Kontakt:

Re: Hackat forum.

Inlägg av Holger » 2009-09-23 16:01

Börja med att ladda hem hela sajten.
Sedan finns program som kan söka igenom textfiler i en mapp. Låt detta program leta efter länken.

Uppdatera till 2.0.23!
Ändra mysql- och FTP-lösenord.

Jag hade ett sådant liknande hål på en större sajt med tiotusentals dokument.
Det "lagade" vi genom att ombenämna forumets mapp.
Det var nämligen så att ett skript som ändrade andra filer startades via en länk (filnamnet vissta bara hackaren om). När vi ändrade mappens namn så fungerade inte länken längre.
Holger Gremminger
Ingen support via PM!

Automatiserad backup av din databas med MYSQLdumper! Nu med helsvenskt gränssnitt.
Nytt: http://www.mysqldumper.se!

Hitta en expert! Registrera dig som expert!
http://www.phpbbexperts.com

Slacker
Aktiv medlem
Aktiv medlem
Inlägg: 166
Blev medlem: 2007-07-15 07:56

Re: Hackat forum.

Inlägg av Slacker » 2009-09-23 16:16

Jag skulle undersöka accessloggarna för din sajt för att försöka komma underfund om hur hackaren har tagit sig in i din sajt och om de fått reda på användarnamn och lösenord. Min hackning var en cross-scriptning och det kan vara det för dig. Det går att hitta cross-scripting i loggarna genom att söka efter =http
Nu utsätts en sajt av många sådana attacker, men studera sådana attacker noga om de lyckats plocka fram användarnamn och lösenord för sajten. Detta brukar gå att utläsa ur loggarna.

Slacker
Aktiv medlem
Aktiv medlem
Inlägg: 166
Blev medlem: 2007-07-15 07:56

Re: Hackat forum.

Inlägg av Slacker » 2009-09-23 17:28

Enklaste sättet att komma på om hackaren har tagit reda på dina lösenord. Är nog att söka i accessloggarna efter ditt databas-lösenord och ftp-lösenord. Du upptäcker då direkt hackningen för normalt skall de inte finnas i accessloggarna. Vid min egen hackning via coppermine så fanns de där.

Användarvisningsbild
vulcanriderssweden
Medlem
Medlem
Inlägg: 56
Blev medlem: 2008-07-07 06:58
Ort: Uppsala
Kontakt:

Re: Hackat forum.

Inlägg av vulcanriderssweden » 2009-09-24 07:24

Var hittar man uppgradering till 2.023 från 2.021 ??? I dagsläget. Finns bara teman för version 2 att hämta numera på phpBB hemsida.

Jag har med textletareprogram letat efter den speciella adressen som det länkas till i hela den av mig till min dator nedladdade sajten. (2.3 GB) Detta leder tyvärr bara till att denna sökning hittar alla hundratals söndertrasade indexfiler som finns i bl.a coppermine-foldern (alla uppladdade album har en (numera) trasig index.php-fil) Inget annat har hittats.

Bildgalleriets folder heter dumt nog "coppermine" och forumets heter "forum" Lätta att hitta för "robotar" och annat skumt alltså. Jag kommer omedelbart efter att vi renoverat sajten ändra dessa namn
Göran
Forumansvarig
Vulcan Riders Sweden

Användarvisningsbild
Holger
Support
Support
Inlägg: 6492
Blev medlem: 2004-06-09 08:32
Ort: Hannover/Tyskland
Kontakt:

Re: Hackat forum.

Inlägg av Holger » 2009-09-24 07:59

Uppdateringsinformation hittar du här:
http://www.phpbbhacks.com/forums/phpbb- ... -vf34.html
Det spelar ingen roll vad du kallar mappen, för du länkar ju dit från hemsidan. Så robotar hittar det ändå. Det är inte det det handlar om, utan du ska bara "förstöra länken" för hackaren.
Holger Gremminger
Ingen support via PM!

Automatiserad backup av din databas med MYSQLdumper! Nu med helsvenskt gränssnitt.
Nytt: http://www.mysqldumper.se!

Hitta en expert! Registrera dig som expert!
http://www.phpbbexperts.com

Slacker
Aktiv medlem
Aktiv medlem
Inlägg: 166
Blev medlem: 2007-07-15 07:56

Re: Hackat forum.

Inlägg av Slacker » 2009-09-24 08:21

Om du lägger till detta i .htaccess får du skydd mot cross scripting och vissa robotar:

RewriteEngine On


RewriteCond %{THE_REQUEST} .*http:\/\/.* [OR]
RewriteCond %{THE_REQUEST} .*http%3A%2F%2F.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^libwww(-FM|-perl) [OR]
RewriteCond %{HTTP_USER_AGENT} Indy\ Library [NC,OR]
RewriteCond % THEME_DIR
RewriteRule ^.* - [F]

Skriv svar

Vilka är online

Användare som besöker denna kategori: 1 och 0 gäst