Intrång och förstört forum - vad göra?

[Gräsklipparmannen]

Jag har hand om forumet på adressen http://retrobutiken.se/ och någon har ändrat så det bara står "trolololololo" och ingen av forumsektionerna syns. Någon har alltså hackat sig in på något vis och ändrat så forumet inte fungerar.


Jag kan fortfarande återställa filer från backup på webbhotellet men inte databasen. Tror ni att de lyckats ändra i databasen något?

Är det någon som vet hur jag kan fixa till forumet igen? Har en rätt gammal kopia på databasen jag helst undviker att gå tillbaka till.

Skulle vara mycket tacksam för allt som skulle kunna vara till hjälp!!

[Holger]

Hej,

eftersom det står att forumet ej har några kategorier, inga inlägg, inga trådar så fruktar jag att hackaren har raderat.
Kolla i din databas-applikation (phpmyadmin eller mysqldumper) om databasen är tömd eller ändrad.

Sedan: ändra omgående lösenord till databasen och ftp och börja ta backup på databasen regelbundet (använd automatismerna i mysqldumper).

/Holger

[Peetra]

Det kan gott finnas kvar användbar information i databasen. Frågan är hur många användare/inlägg du hade. Är det värt att börja restaurera, eller kanske bättre att spåra alla medlemmarna, efter att du börjat om på nytt med ett 3.0.9-forum.

Du kan göra en kopia av databasen, som man kan undersöka senare. Just nu tycker jag det är lika bäst att försöka stänga ner eller bygga upp kategorierna igen. Kan du logga in med ditt admin-konto?

Det är ganska klart att det är inne i ACP, som någon har rumsterat, antagligen raderat alla kategorierna, samt tema-filerna och bytt ut forumbeskrivningen till trollollol. Den bra nyheten är att dina ftp-och mysql-login kanske är säkra. Det är alltså ditt admin-lösenord, som någon använt sig av. Hoppas du hunnit byta alla tre vid detta laget.

Jag citerar mig själv från ett annat forum, ett exempel på hur jag skapar lösenord ibland.

om man har ett lösenord som innehåller t.ex minst 9 tecken, där allt är blandat; Siffror, bokstäver, stora och små samt icke alfanumeriska tecken, så borde man vara på den säkra sidan. Om man inte orkar ha alla olika sorters tecken, så går det ofta bra med att kompensera med superlångt lösenord också. Typ 28 bokstäver å en siffra. Du skapar ett bra lösenord enkelt genom att ta en slumpmässig sida ur din favoritbok och så tar du första bokstaven från slumpartat ställe på sidan (blunda och peka). Så räknar du 3-5 meningar därifrån och skriver in ordens begynnelsebokstav med stor bokstav om det är en ny mening, annars liten ta med alla skiljetecken som råkar finnas bland meningarna. Så är det bara att komma ihåg boken sen, man känner oftast igen startmeningen automagiskt, då man fått upp rätt sida, även om det gått lång tid sedan man skapade lösenordet.

[Gräsklipparmannen]

Verkar inte kunna hitta något av värde i phpbbposts, kan det finnas något särskilt jag borde söka efter i databasen eller så? Kan inte med phpmyadmin eller sql bra.

Grymt bra hjälp iaf, tack!! Blir en återställning från en gammal backup om inte annat. Skulle det gå bra att i så fall bara importera backupen och installera senaste versionen av phpbb på nytt med förhoppning att installationen uppgraderar databasen automatiskt? Skulle det kunna finnas något problem med att låta nuvarande databas ligga oförändrad och importera en äldre databas?

[Peetra]

Skulle det gå bra att i så fall bara importera backupen och installera senaste versionen av phpbb på nytt med förhoppning att installationen uppgraderar databasen automatiskt?

Om du har en gammal databas att ta ibruk, så behöver du inte installera om alls.

Jag skulle nog välja att radera allt utom katalogen filen config.php och katalogen /files/ med innehåll för att vara på den mest säkra sidan. Man får öppna filen config.php å försäkra sig om att den inte innehåller nåt skumt. (Exempel på config.php-fil) Katalogen /files/ ska ha bara filer som börjar med ett nummer eller thumb_nummer_ å sedan massa siffror å bokstäver /files/ innehåller dessutom index.htm å .htaccess, radera dem å skicka upp de nya.

Sedan ladda in den gamla databasbackupen och föra över nya fräsha filer (utom config.php förstås)
och sedan uppdatera databasen genom att gå till

Kod: Markera allt

http://retrobutiken.se/install/database_update.php

Orsaken till att det inte är så bra att ta medlemmarna från det som betsår av det trasiga foruemt, är ju att det kan ha miklats med användarna, så att nån kan komma in igen å bråka.

[Gräsklipparmannen]

Ah, jättebra tack!!

Stött på ett nytt problem med charset och skapat ett nytt inlägg om det.

Kan risken finnas att de fått tag på lösenordet från forumet? Går det att öka säkerheten på något vis förutom att uppdatera phpbb?

Lysande hjälp hur som helst!

[Slacker]

De flesta webbhotell har loggar, som man kan titta i och vet man ungefär vilken tid hackningen skedde kan man se om man har tur hur hackaren bar sig åt för att komma in i forumet. Man kan då få hackarens ip-adress också. Alla hackningar kan dock ej spåras t.ex om de tagit reda på ftp lösenord etc. För Joomla och PHP-Nuke kan man lägga till saker i .htaccess filen som minskar risken för hackningar. Jag har inte sett något specifikt för phpBB3 men jag tror den kan skyddas också av dessa.

[Peetra]

Kan risken finnas att de fått tag på lösenordet från forumet? Går det att öka säkerheten på något vis förutom att uppdatera phpbb?

Själva phpBB anses vara väldigt säkert, så vi kan anta att lösenord(en) är uppsnappade annanstans ifrån.

Man ökar säkerheten genom att aldrig spara sitt lösenord i klartext varken på papper och framförallt inte i datorn. Ftp-lösenord sparas i klartext på datorn om man använder Filezilla, så kommer man åt den, så har man sedan vägar in till databasen, eftersom config.php kan läsas av en själv. Man kan ändra filrätigheterna för config.php till 044, vilket betyder att man inte sedan själv kan öppna den utan att ändra tillbaka. Det hindrar inte normalintelligent folk från att öppna filen, om man väl kommit över lösenord till hotellet, men sådana, som är ute för att göra illa är sällan normalintelligenta, så det kan vara en förbyggande åtgärd mot de största klåparna iallafall. Alla "vet" att det är bara å öppna å läsa en config-fil, så det kan förvirra alldeles just tillräckligt länge om den inte är direkt läsbar.

[Peetra]

För Joomla och PHP-Nuke kan man lägga till saker i .htaccess filen som minskar risken för hackningar. Jag har inte sett något specifikt för phpBB3 men jag tror den kan skyddas också av dessa.

Det ska säkert vara möjligt, har du några exempel/länkar från plattformarna du talar om, så man skulle kunna tjuvkika lite på deras lösningar?

[Slacker]

Detta kör jag nu i .htaccess på min Joomla + phpBB3 sajt om forumet fungerar helt normalt. Det mesta är från Joomla utom de 3 sista raderna som kommer från PHP-Nuke och skyddar mot cross-scripting.

Kod: Markera allt

RewriteEngine On

########## Begin - Rewrite rules to block out some common exploits
## If you experience problems on your site block out the operations listed below
## This attempts to block the most common type of exploit `attempts` to Joomla!
#
#Deny access to extension xml files (uncomment out to activate)
<Files ~ "\.xml$">
Order allow,deny
Deny from all
Satisfy all
</Files>
## End of deny access to extension xml files
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode data within the URL
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule .* index.php [F]
#
########## End - Rewrite rules to block out some common exploits


########## Begin - RewriteEngine enabled
RewriteEngine On
########## End - RewriteEngine enabled
 
########## Begin - Common hacking tools and bandwidth hoggers block
## By SigSiu.net and @nikosdion.
# This line also disables Akeeba Remote Control 2.5 and earlier
SetEnvIf user-agent "Indy Library" stayout=1
# WARNING: Disabling wget will also block the most common method for
# running CRON jobs. Remove if you have issues with CRON jobs.
SetEnvIf user-agent "Wget" stayout=1
# The following rules are for bandwidth-hogging download tools
SetEnvIf user-agent "libwww-perl" stayout=1
SetEnvIf user-agent "Download Demon" stayout=1
SetEnvIf user-agent "GetRight" stayout=1
SetEnvIf user-agent "GetWeb!" stayout=1
SetEnvIf user-agent "Go!Zilla" stayout=1
SetEnvIf user-agent "Go-Ahead-Got-It" stayout=1
SetEnvIf user-agent "GrabNet" stayout=1
SetEnvIf user-agent "TurnitinBot" stayout=1
# This line denies access to all of the above tools
deny from env=stayout
########## End - Common hacking tools and bandwidth hoggers block
########## Begin - File injection protection, by SigSiu.net
RewriteCond %{REQUEST_METHOD} GET
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=http:// [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=(\.\.//?)+ [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=/([a-z0-9_.]//?)+ [NC]
RewriteRule .* - [F]
########## End - File injection protection
RewriteCond %{THE_REQUEST}  .*http:\/\/.* [OR]
RewriteCond %{THE_REQUEST}  .*http%3A%2F%2F.* 
RewriteRule ^.* - [F]