phpBB Sverige

htaccess skyddet hjälpte inte.
De hade satt root-mappen CHMOD 777 och sedan lagt in ett skript djupt ner i mapparna som editerade index.php varje gång det anropades.
I och med att vi ändrade sökvägen till forumet fungerade skriptet inte längre.

Vi på Vulcan Riders har fått forumet (?) hackat. Hacken förstör indexfiler på forumet (och f.ö hela sajten) så att man inte kommer dit.
Parse error: syntax error, unexpected '<' in /home/v/vulcanri/www/cpgbilder/index.php on line 852"


Den, hacken alltså, orsakar också sådana här klagomål från användare på hemsidan:
CITAT:
"HTML:Illiframe-B [Trj] Trojansk häst, denna varning får jag när jag försöker gå in på startsidan. Jag har Avast Antivirus. Har även gjort en lokal rensning på datorn, dock med samma resultat. Förslag???
Slut citat

Vårt hack liknar alltså mycket det som beskrivs i denna tråden. Har dock kört några rader från hacken ovan (den gröna texten sid 1 denna tråd) i jämförande test på en nedladdning av hela vår hemsida (Vulcan Riders) med negativt resultat.

Göran
Forumadmin på VRS
http://www.vulcanriders-sweden.org/

Nu funkar det som det ska igen?

Vänta lite!
cpgbilder?
Har det med forumet att göra?
cpg tyder på Coppermine Gallery.

Ni verkar köra en mycket gammal version av Coppermine.

Min sajt hade coppermine galleri och det blev hackat. Jag kunde via accessloggarna se hur hackningen skedde. Hackaren lyckades ta reda på via coppermine användarnamn och lösenord till sajten. Sedan så kunde han via inloggning med ftp radera filer som störde sajtens funktion. Jag har stoppat denna typ av hackning via ett speciellt skydd i .htaccess som bla skyddar mot cross-scripting.

Jag har en kund som fick sitt Coppermine-galleri hackat, det hamnade en hel del "lustig" filer i systemet.

Jag undrar om ni menar att det gick vidare och hackade även ert phpBB2-forumet, via Coppermine.

Min kunds galleri gick bra att rädda, hackern hade varit "lagom elak"... (och det fanns inget annat på siten)

/marcus

PS!
Om någon undrar... Nej, kunden kom till mig i efterhand.
Jag hade inget ansvar för installation eller för den delen att hålla koll på när det var dags att uppgradera.
Men när de fick problem vänd de sig till mig.
DS!

Här står bra info om liknande hackningar:
http://buzz.typo3.org/teams/security/ar ... -to-typo3/

Slänger upp en Google-översatt kopia... (viktig information, så det är det värt att göra).

http://ow.ly/qvxu (Skickade in adressen i en URL-förkortare... )

/marcus

OK vi har utsatts för en svår "iframe attack". Alla indexfiler på sajten angrips regelbundet (de vi reparerar) och skrivs om till att peka till en rysk hemsida. Så även index.php filerna. ja alla index. Var skiten kommit/kommer ifrån vet vi ej. Experterna har flera förklaringar.

Sajten "Winterkvist" påpekar att det går att komma in bakvägen till servern via phpBB >>> http://www.csc.nu/Sakerhet/modules.php? ... 520&cat=27

Är det någon som kan förklara om detta kan vara rätt och HUR i så fall man kan täppa till ett ev sådant hål innan vi går vidare. (antagligen måste vi ladda om hela sajten) vi har version 2.21

MVH
Göran

Börja med att ladda hem hela sajten.
Sedan finns program som kan söka igenom textfiler i en mapp. Låt detta program leta efter länken.

Uppdatera till 2.0.23!
Ändra mysql- och FTP-lösenord.

Jag hade ett sådant liknande hål på en större sajt med tiotusentals dokument.
Det "lagade" vi genom att ombenämna forumets mapp.
Det var nämligen så att ett skript som ändrade andra filer startades via en länk (filnamnet vissta bara hackaren om). När vi ändrade mappens namn så fungerade inte länken längre.

Jag skulle undersöka accessloggarna för din sajt för att försöka komma underfund om hur hackaren har tagit sig in i din sajt och om de fått reda på användarnamn och lösenord. Min hackning var en cross-scriptning och det kan vara det för dig. Det går att hitta cross-scripting i loggarna genom att söka efter =http
Nu utsätts en sajt av många sådana attacker, men studera sådana attacker noga om de lyckats plocka fram användarnamn och lösenord för sajten. Detta brukar gå att utläsa ur loggarna.

Enklaste sättet att komma på om hackaren har tagit reda på dina lösenord. Är nog att söka i accessloggarna efter ditt databas-lösenord och ftp-lösenord. Du upptäcker då direkt hackningen för normalt skall de inte finnas i accessloggarna. Vid min egen hackning via coppermine så fanns de där.

Var hittar man uppgradering till 2.023 från 2.021 ??? I dagsläget. Finns bara teman för version 2 att hämta numera på phpBB hemsida.

Jag har med textletareprogram letat efter den speciella adressen som det länkas till i hela den av mig till min dator nedladdade sajten. (2.3 GB) Detta leder tyvärr bara till att denna sökning hittar alla hundratals söndertrasade indexfiler som finns i bl.a coppermine-foldern (alla uppladdade album har en (numera) trasig index.php-fil) Inget annat har hittats.

Bildgalleriets folder heter dumt nog "coppermine" och forumets heter "forum" Lätta att hitta för "robotar" och annat skumt alltså. Jag kommer omedelbart efter att vi renoverat sajten ändra dessa namn
Göran

Uppdateringsinformation hittar du här:
http://www.phpbbhacks.com/forums/phpbb- ... -vf34.html
Det spelar ingen roll vad du kallar mappen, för du länkar ju dit från hemsidan. Så robotar hittar det ändå. Det är inte det det handlar om, utan du ska bara "förstöra länken" för hackaren.

Om du lägger till detta i .htaccess får du skydd mot cross scripting och vissa robotar:

RewriteEngine On


RewriteCond %{THE_REQUEST} .*http:\/\/.* [OR]
RewriteCond %{THE_REQUEST} .*http%3A%2F%2F.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^libwww(-FM|-perl) [OR]
RewriteCond %{HTTP_USER_AGENT} Indy\ Library [NC,OR]
RewriteCond % THEME_DIR
RewriteRule ^.* - [F]