Hackat forum.
Moderatorer: Moderatorgrupp, Supportgrupp
Re: Hackat forum.
htaccess skyddet hjälpte inte.
De hade satt root-mappen CHMOD 777 och sedan lagt in ett skript djupt ner i mapparna som editerade index.php varje gång det anropades.
I och med att vi ändrade sökvägen till forumet fungerade skriptet inte längre.
De hade satt root-mappen CHMOD 777 och sedan lagt in ett skript djupt ner i mapparna som editerade index.php varje gång det anropades.
I och med att vi ändrade sökvägen till forumet fungerade skriptet inte längre.
Holger Gremminger
Ingen support via PM!
Ingen support via PM!
- vulcanriderssweden
- Aktiv medlem
- Inlägg: 56
- Blev medlem: 2008-07-07 06:58
- Ort: Uppsala
Re: Hackat forum.
Vi på Vulcan Riders har fått forumet (?) hackat. Hacken förstör indexfiler på forumet (och f.ö hela sajten) så att man inte kommer dit.
Parse error: syntax error, unexpected '<' in /home/v/vulcanri/www/cpgbilder/index.php on line 852"
Den, hacken alltså, orsakar också sådana här klagomål från användare på hemsidan:
CITAT:
"HTML:Illiframe-B [Trj] Trojansk häst, denna varning får jag när jag försöker gå in på startsidan. Jag har Avast Antivirus. Har även gjort en lokal rensning på datorn, dock med samma resultat. Förslag???
Slut citat
Vårt hack liknar alltså mycket det som beskrivs i denna tråden. Har dock kört några rader från hacken ovan (den gröna texten sid 1 denna tråd) i jämförande test på en nedladdning av hela vår hemsida (Vulcan Riders) med negativt resultat.
Göran
Forumadmin på VRS
http://www.vulcanriders-sweden.org/
Parse error: syntax error, unexpected '<' in /home/v/vulcanri/www/cpgbilder/index.php on line 852"
Den, hacken alltså, orsakar också sådana här klagomål från användare på hemsidan:
CITAT:
"HTML:Illiframe-B [Trj] Trojansk häst, denna varning får jag när jag försöker gå in på startsidan. Jag har Avast Antivirus. Har även gjort en lokal rensning på datorn, dock med samma resultat. Förslag???
Slut citat
Vårt hack liknar alltså mycket det som beskrivs i denna tråden. Har dock kört några rader från hacken ovan (den gröna texten sid 1 denna tråd) i jämförande test på en nedladdning av hela vår hemsida (Vulcan Riders) med negativt resultat.
Göran
Forumadmin på VRS
http://www.vulcanriders-sweden.org/
Forumansvarig
Vulcan Riders Sweden
Vulcan Riders Sweden
Re: Hackat forum.
Nu funkar det som det ska igen?
Vänta lite!
cpgbilder?
Har det med forumet att göra?
cpg tyder på Coppermine Gallery.
Vänta lite!
cpgbilder?
Har det med forumet att göra?
cpg tyder på Coppermine Gallery.
Holger Gremminger
Ingen support via PM!
Ingen support via PM!
Re: Hackat forum.
Ni verkar köra en mycket gammal version av Coppermine.
Holger Gremminger
Ingen support via PM!
Ingen support via PM!
Re: Hackat forum.
Min sajt hade coppermine galleri och det blev hackat. Jag kunde via accessloggarna se hur hackningen skedde. Hackaren lyckades ta reda på via coppermine användarnamn och lösenord till sajten. Sedan så kunde han via inloggning med ftp radera filer som störde sajtens funktion. Jag har stoppat denna typ av hackning via ett speciellt skydd i .htaccess som bla skyddar mot cross-scripting.
Re: Hackat forum.
Jag har en kund som fick sitt Coppermine-galleri hackat, det hamnade en hel del "lustig" filer i systemet.
Jag undrar om ni menar att det gick vidare och hackade även ert phpBB2-forumet, via Coppermine.
Min kunds galleri gick bra att rädda, hackern hade varit "lagom elak"... (och det fanns inget annat på siten)
/marcus
PS!
Om någon undrar... Nej, kunden kom till mig i efterhand.
Jag hade inget ansvar för installation eller för den delen att hålla koll på när det var dags att uppgradera.
Men när de fick problem vänd de sig till mig.
DS!
Jag undrar om ni menar att det gick vidare och hackade även ert phpBB2-forumet, via Coppermine.
Min kunds galleri gick bra att rädda, hackern hade varit "lagom elak"... (och det fanns inget annat på siten)
/marcus
PS!
Om någon undrar... Nej, kunden kom till mig i efterhand.
Jag hade inget ansvar för installation eller för den delen att hålla koll på när det var dags att uppgradera.
Men när de fick problem vänd de sig till mig.
DS!
Re: Hackat forum.
Här står bra info om liknande hackningar:
http://buzz.typo3.org/teams/security/ar ... -to-typo3/
http://buzz.typo3.org/teams/security/ar ... -to-typo3/
Re: Hackat forum.
Slänger upp en Google-översatt kopia... (viktig information, så det är det värt att göra).
http://ow.ly/qvxu (Skickade in adressen i en URL-förkortare... )
/marcus
http://ow.ly/qvxu (Skickade in adressen i en URL-förkortare... )
/marcus
- vulcanriderssweden
- Aktiv medlem
- Inlägg: 56
- Blev medlem: 2008-07-07 06:58
- Ort: Uppsala
Re: Hackat forum.
OK vi har utsatts för en svår "iframe attack". Alla indexfiler på sajten angrips regelbundet (de vi reparerar) och skrivs om till att peka till en rysk hemsida. Så även index.php filerna. ja alla index. Var skiten kommit/kommer ifrån vet vi ej. Experterna har flera förklaringar.
Sajten "Winterkvist" påpekar att det går att komma in bakvägen till servern via phpBB >>> http://www.csc.nu/Sakerhet/modules.php? ... 520&cat=27
Är det någon som kan förklara om detta kan vara rätt och HUR i så fall man kan täppa till ett ev sådant hål innan vi går vidare. (antagligen måste vi ladda om hela sajten) vi har version 2.21
MVH
Göran
Sajten "Winterkvist" påpekar att det går att komma in bakvägen till servern via phpBB >>> http://www.csc.nu/Sakerhet/modules.php? ... 520&cat=27
Är det någon som kan förklara om detta kan vara rätt och HUR i så fall man kan täppa till ett ev sådant hål innan vi går vidare. (antagligen måste vi ladda om hela sajten) vi har version 2.21
MVH
Göran
Forumansvarig
Vulcan Riders Sweden
Vulcan Riders Sweden
Re: Hackat forum.
Börja med att ladda hem hela sajten.
Sedan finns program som kan söka igenom textfiler i en mapp. Låt detta program leta efter länken.
Uppdatera till 2.0.23!
Ändra mysql- och FTP-lösenord.
Jag hade ett sådant liknande hål på en större sajt med tiotusentals dokument.
Det "lagade" vi genom att ombenämna forumets mapp.
Det var nämligen så att ett skript som ändrade andra filer startades via en länk (filnamnet vissta bara hackaren om). När vi ändrade mappens namn så fungerade inte länken längre.
Sedan finns program som kan söka igenom textfiler i en mapp. Låt detta program leta efter länken.
Uppdatera till 2.0.23!
Ändra mysql- och FTP-lösenord.
Jag hade ett sådant liknande hål på en större sajt med tiotusentals dokument.
Det "lagade" vi genom att ombenämna forumets mapp.
Det var nämligen så att ett skript som ändrade andra filer startades via en länk (filnamnet vissta bara hackaren om). När vi ändrade mappens namn så fungerade inte länken längre.
Holger Gremminger
Ingen support via PM!
Ingen support via PM!
Re: Hackat forum.
Jag skulle undersöka accessloggarna för din sajt för att försöka komma underfund om hur hackaren har tagit sig in i din sajt och om de fått reda på användarnamn och lösenord. Min hackning var en cross-scriptning och det kan vara det för dig. Det går att hitta cross-scripting i loggarna genom att söka efter =http
Nu utsätts en sajt av många sådana attacker, men studera sådana attacker noga om de lyckats plocka fram användarnamn och lösenord för sajten. Detta brukar gå att utläsa ur loggarna.
Nu utsätts en sajt av många sådana attacker, men studera sådana attacker noga om de lyckats plocka fram användarnamn och lösenord för sajten. Detta brukar gå att utläsa ur loggarna.
Re: Hackat forum.
Enklaste sättet att komma på om hackaren har tagit reda på dina lösenord. Är nog att söka i accessloggarna efter ditt databas-lösenord och ftp-lösenord. Du upptäcker då direkt hackningen för normalt skall de inte finnas i accessloggarna. Vid min egen hackning via coppermine så fanns de där.
- vulcanriderssweden
- Aktiv medlem
- Inlägg: 56
- Blev medlem: 2008-07-07 06:58
- Ort: Uppsala
Re: Hackat forum.
Var hittar man uppgradering till 2.023 från 2.021 ??? I dagsläget. Finns bara teman för version 2 att hämta numera på phpBB hemsida.
Jag har med textletareprogram letat efter den speciella adressen som det länkas till i hela den av mig till min dator nedladdade sajten. (2.3 GB) Detta leder tyvärr bara till att denna sökning hittar alla hundratals söndertrasade indexfiler som finns i bl.a coppermine-foldern (alla uppladdade album har en (numera) trasig index.php-fil) Inget annat har hittats.
Bildgalleriets folder heter dumt nog "coppermine" och forumets heter "forum" Lätta att hitta för "robotar" och annat skumt alltså. Jag kommer omedelbart efter att vi renoverat sajten ändra dessa namn
Göran
Jag har med textletareprogram letat efter den speciella adressen som det länkas till i hela den av mig till min dator nedladdade sajten. (2.3 GB) Detta leder tyvärr bara till att denna sökning hittar alla hundratals söndertrasade indexfiler som finns i bl.a coppermine-foldern (alla uppladdade album har en (numera) trasig index.php-fil) Inget annat har hittats.
Bildgalleriets folder heter dumt nog "coppermine" och forumets heter "forum" Lätta att hitta för "robotar" och annat skumt alltså. Jag kommer omedelbart efter att vi renoverat sajten ändra dessa namn
Göran
Forumansvarig
Vulcan Riders Sweden
Vulcan Riders Sweden
Re: Hackat forum.
Uppdateringsinformation hittar du här:
http://www.phpbbhacks.com/forums/phpbb- ... -vf34.html
Det spelar ingen roll vad du kallar mappen, för du länkar ju dit från hemsidan. Så robotar hittar det ändå. Det är inte det det handlar om, utan du ska bara "förstöra länken" för hackaren.
http://www.phpbbhacks.com/forums/phpbb- ... -vf34.html
Det spelar ingen roll vad du kallar mappen, för du länkar ju dit från hemsidan. Så robotar hittar det ändå. Det är inte det det handlar om, utan du ska bara "förstöra länken" för hackaren.
Holger Gremminger
Ingen support via PM!
Ingen support via PM!
Re: Hackat forum.
Om du lägger till detta i .htaccess får du skydd mot cross scripting och vissa robotar:
RewriteEngine On
RewriteCond %{THE_REQUEST} .*http:\/\/.* [OR]
RewriteCond %{THE_REQUEST} .*http%3A%2F%2F.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^libwww(-FM|-perl) [OR]
RewriteCond %{HTTP_USER_AGENT} Indy\ Library [NC,OR]
RewriteCond % THEME_DIR
RewriteRule ^.* - [F]
RewriteEngine On
RewriteCond %{THE_REQUEST} .*http:\/\/.* [OR]
RewriteCond %{THE_REQUEST} .*http%3A%2F%2F.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^libwww(-FM|-perl) [OR]
RewriteCond %{HTTP_USER_AGENT} Indy\ Library [NC,OR]
RewriteCond % THEME_DIR
RewriteRule ^.* - [F]
Vilka är online
Användare som besöker denna kategori: 0 och 0 gäster