På senare dar så har många utav våra registrerade användare fått en virusvarning då dom går in på forumet.
Jag tog då kontakt med webhotellet som jag hyr domänen utav och frågade om det fanns något dom kunde göra och frågade hur jag skulle gå till väga.
Jag fick då detta svar:
Hejsan!
du har blivit hackad och hackern har lagt detta på din sida:
Du måste byta ALLA dina lösenord, se till att du har antivirus
installerat på din dator och uppdatera alla script du har installerade
på din server till senaste versionen och radera allt du inte själv har
lagt upp/som du inte litar på.
Ok... jag hittade på index filen detta "sc ript" som jag tog bort. Varningen försvann en stund men kommer nu åter igen.
PHP och diverse kodning och dyliknande är verkligen inte min starka sida. Jag vet inte hur jag ska gå till väga för att åtgärda detta problem.
Jag frågade om det var någon fara för registrerade användare och hur jag skulle gå till väga och om dom kunnde erbjuda skydd. Jag fick då detta till svar:
Hejsan!
Anledningen till att jag säger att du skall ta bort andras filer är för
att det mycket väl kan vara så att de har laddat upp ett shell script på
din server. Det är i så fall en .php-fil som kan ha vilket namn som
helst, så kan såklart vara svårt att identifiera den.
Hur du skyddar dig beror helt på vad du har laddat upp för script. Ett
viktigt sätt är att alltid hålla alla dina script uppdaterade till
senaste versionerna.
Det är också viktigt att du aldrig använder svaga lösenord, som ett ord
som kan hittas i en ordbok. Använd blandningar av siffror, bokstäver och
specialtecken, och blandningar av stora och små bokstäver.
Vi kan som du kanske då förstår inte skapa något slags universellt skydd
då alla olika script har olika svagheter, och det bara är deras
utvecklare som skapar nyare versioner som täcker upp säkerhetshål
efterhand som de hittas.
Jag vet inte vad din hacker har kommit över. Att han skulle ha kommit
över ditt användarregister är osannolikt, och även då borde ditt forum
ha någon sorts kryptering på sina lösenord så att de inte finns i
klartext.
Det kanske säger allt till en som fattar sig på detta. Men för en som inte gör det.....
"SCRIPT" - är det själva forumet? Någon som har tips eller vet hur f*n jag ska lösa detta?
Om ditt webbhotell har accessloggar skulle jag också titta i dem och försöka hitta misstänkt aktivitet och filen som de laddat upp till din sajt. Om inte detta går skulle jag senare göra detta.
Har du en backup med alla forumfilerna, som du är säker på fungerar till 100 %. I så fall skulle jag ta bort alla filer, som jag har på webbhotellet och ladda upp backupen. Kolla att det inte finns osynliga filer på webbhotellets server. Detta borde lösa problemet tycker jag.
Någon backup finnd inte - så det blir till att göra om isf. Tyvärr.
Jag har hur mkt prylar som helst på mitt utrymme, känns som det är lika bra att bara delete allt. Err... Och access filer och hit o dit, jag är så j.. okunnig när det gäller detta så det är inte sant. Några misstänkta "aktiviteter" i några "access" loggar eller va det var lär det ju inte bli heller
Ska väl ta och kolla i supportmallen där. Jäkla trist att det finns folk som vill hålla på med att förstöra osv.
Tack för att ni svarade på posten.
Har du installerat MOD:ar eller är det ett standardforum? Är det ett standardforum utan ändring i filerna, så är det möjligt tror jag att ladda ner en ny kopia av phpbb.
****
Du skulle ju kunna ladda ner alla dina filer från webbhotellet till en katalog i din dator. Sedan söker du efter karaktäristika för scriptet som borde finnas i det t.ex. script>function c1023895d9q49db0e073360d(q49db0e07339f5)
Kanske går det att hitta skriptet den vägen?
****
Glömde att påpeka att du kan köra antivirusprogram på ditt forum, som du laddat ner lokalt för att se om antivirus hittar det.
Har nog hittat den kanske slutgiliga lösningen här. Koden kommer från en annan sajt via en mapp på din sajt som har rättigheter 777.
Läs detta, men du måste köra en virusscan ändå på din sajts filer: http://forums.digitalpoint.com/showthread.php?t=596009
Senast redigerad av PazZze den 2009-04-09 17:29, redigerad totalt 1 gånger.
Anledning:4 blev 1
På versionen före den senaste phpBB2 fanns det gott om vägar in för att "plantera presenter". Om phpBB2.0.23 (eller 2.0.24 som är inofficiell) är helt stängda kan jag inte garantera, men ju tidigare version du har ju fler "hål" finns det.
Att uppgradera till phpBB3 är en lösning, men sitter man med många nödvändiga MODs så är det kanske inte ett alternativ.
/Marcus
Marcus Farrington - Administratör på phpBB Sverige
OBS! På förekommen anledning ges ingen support via PM.
Den ända modden jag kör med är väl en annan style? Som sagt, är inte så haj på detta.
Ang föregående talare, jag kolla igenom sidan du länka - mitt virusprogram skriker till om trojanska hästar och skit hela tiden när jag är där. Men jag läste vad som stog och jag antar att jag bör antingen scana utrymmet som jag har eller helt enkelt rensa skiten. Kanske bäst om jag kan ta bort allt och sen installera den senaste verisionen av phpbb. Ska klura lite på det iaf. Mycket jobb blir det väl hur som helst. Hade inte haft något emot att pula och jag var mer insatt - nu är det bara drygt
Skapa en kopia av din sajt på din egen dator.
Kör sedan antivirusprogrammet på den katalogen enbart.
Du får då besked vilka filer som är infekterade.
Ta bort dem från sajten.
Du kanske dessutom måste kolla rättigheterna på katalogerna på sajten och ändra de med 777 till 755.
Ja, ang. Katalogernas rättigheter, hur ändrar man det?
- Skumt, jag drog hem ALLT som finns på sajten - ALLT... Körde virusprogramet utan resultat! Skumt.
Jag har dessutom hittat iaf ett script på index sidan som jag tog bort. En kompis till mig fick upp virusvarning på jobbets dator varje gång han besökte sidan. Efter jag tagit bort scriptet så fick han det inte mer - men sen inte långt efter så hörde jag andra som fick varningen igen. Dock är just det scriptet inte kvar. Ligger väl i andar filer med.
Hur som helst, konsigt att mitt virusprogram inte hittar något.
Om jag laddar hem phpbb senaste 3 version och lägger det i en separat map, kan jag börja pyssla med det och se om jag kan få igång ett forum under tiden jag har dessa problem?
Ok. Nu har jag tömt hela sajten och installerat ett helt nytt forum av "phpBB-3.0.4".
Jag var väldigt snabb med att trycka "next" på sista steget och tyckte jag såg att man skulle deleta några mappar? Som i alla tidigare installationer - vilka mappar är det?
Ok, jag kör inget FTP program - kör via explorer. Nått förslag på något bra FTP program?
Dessa nya forums är helt hopplösa. Det är svårt som fan bara att fixa en logga som sitter där den ska. Hitta i vilken fil där koden ligger sen lära sig skiten och försöka få en logga att passa..
Sen ska man försöka skapa forumet... fattar ingenting. Forumen som jag skapar syns inte. Står att det inte finns några fast jag skapat. När jag försöker "[ Moderator Control Panel ]" så står det att jag inte har rättigheter faste jag är Admin och skapat forumet..... Nej. Det gamla var skänare att hantera, mkt lättare. Hoppas jag förstår mig på hur man skapar kategorier osv.
Jag hade nog inte gett upp så snabbt.
Vi hade liknande problem med ett stort forum för något år sedan.
Det som hjälpte var att ändra forumets mapp från t.ex. /forum/ till /forum2/ samt att ändra lösenorden för FTP och mysql.
Då slutade attacken direkt.
Kollade du accessloggarna, Holger för att se hur de hackade sig in? Mitt skydd består av lösenordskyddad admin-mapp i forumet, som dessutom kräver min ip-adress för att accessa. I .htaccess har jag skydd mot cross-scripting. Dessutom har jag ett phpbb-forum integrerat i PHP-Nuke med hackerskddet Sentinel, som bannlyser hackare automatiskt.
