Forum word steeds gehackt

[stimpy68]

• Wat is het probleem? Sinds gisteren kreeg ik meldingen van mijn webhost dat er 100 mails per uur verzonden worden vanuit mijn account, bleek dat er via een script SPAM verstuurd werd (vendor/symfony/dependency-injection/Extension/model44.php)
  Wanneer ontstond het probleem? 29-5-2017
  Adres van je forum: http://www.jjgv.nl (maar is nu niet benaderbaar, ze hebben blijkbaar eea gesloopt)
  Extensies op je forum: Tapatalk, Google Analytics
  Huidige stijl: Prosilver
  phpBB versie: 3.2
  Waar is je forum gehost: Orange Lemon
  Heb je onlangs iets veranderd aan je forum?Nee

Zojuist weer mail ontvangen dat er SPAM werd verstuurd, nu via /vendor/react/promise/blog.php

Bestanden heb ik verwijderd, maar ze weten iedere keer weer iets te injecteren, Rechten staan conform phpbb (755 op dir en 644 op bestanden), het word niet FTP oid neer gezet.

[Ger]

Tapatalk staat bekend om zijn vele lekken, dus ik zou die gewoon eens uitschakelen en grondig door je gebruikers heen gaan om te kijken of er verdachte accounts tussen staan.
Daarnaast zijn model44.php en blog.php volgens mij ook geen bestand wat bij phpBB hoort. Ik zou als ik jou was even de complete map vendor verwijderen en vervolgens vanuit het complete downloadpakket weer opnieuw uploaden.

[stimpy68]

Aan de gebruikers zal het niet echt liggen denk ik, we hebben een goedkeuring er in zitten door een beheerder. Zodra ik de boel weer online heb zal ik tapatalk eens uit schakelen. Kom er net achter dat er veel bestanden zijn aangepast waardoor het forum niet meer werkt. Het domein kan ieder moment verhuist worden naar een andere webhost en daar heb ik een schone installatie staan, Zodra de database is geïmporteerd e.d. ga ik de Tapatalk extensie uitschakelen.

[stimpy68]

Forum is nu overgezet naar de nieuwe webhost en is weer online. Ik heb de Tapatalk extensie uitgeschakeld, nu maar afwachten of dat de oplossing was.

[El torro]

Tapatalk geeft weleens problemen maar dat ze daardoor het forum kunnen hacken zou mij toch verbazen.
Ik zou eerder zoeken in wachtwoorden die gebruikt zijn.
Niet goed beveiligde files
verouderde extensies/plugins

Dit niet noodzakelijk van phpbb maar bv. van Wordpress op de server

[Paul]

Tapatalk geeft weleens problemen maar dat ze daardoor het forum kunnen hacken zou mij toch verbazen.

Het zou niet de eerste keer zijn dat er een security issue in dat gedrocht zit

[El torro]

Tapatalk geeft weleens problemen maar dat ze daardoor het forum kunnen hacken zou mij toch verbazen.

Het zou niet de eerste keer zijn dat er een security issue in dat gedrocht zit

Het zou kunnen natuurlijk maar dan verwacht je wel meer meldingen over het gehackt zijn van forums. via Tapatalk.

[Ger]

Het zal niet voor het eerst zijn dat er wachtwoorden uitlekken via Tapatalk. En als jij dan hetzelfde wachtwoord voor je phpBB user hebt als voor je FTP-user, dan ga je al nat.

Tapatalk is een drama en ik kan werkelijk niet begrijpen dat het anno 2017 nog gebruikt wordt.

[BennyBernaer]

Tapatalk is een drama en ik kan werkelijk niet begrijpen dat het anno 2017 nog gebruikt wordt.

Inderdaad...! Maar je zal er nog van verschieten hoeveel mensen het gebruiken...

[stimpy68]

Het zal niet voor het eerst zijn dat er wachtwoorden uitlekken via Tapatalk. En als jij dan hetzelfde wachtwoord voor je phpBB user hebt als voor je FTP-user, dan ga je al nat.

Tapatalk is een drama en ik kan werkelijk niet begrijpen dat het anno 2017 nog gebruikt wordt.

Wachtwoorden zijn verschillend en had ik al eens gewijzigd na een eerdere hack (die ging via een verouderde Joomla), uiteindelijk alles verwijderd en een schone installatie gedaan van phpbb (de versie die ik toen draaide) en een upgrade gedaan naar 3.2. Enige extensies die ik nog draai zijn Google analytics en Tapatalk. Dit ging dus weken goed tot een week geleden. Ik draai overigens alleen nog phpbb voorlopig, geen Joomla of Wordpress.
FTP logs waren ook al nagelopen, was niks te zien, dus via FTP is het niet gebeurd, maar ze wisten dus phpbb bestanden aan te passen en ook nog de timestamp van de meeste files onaangepast te laten... Lastig dus te achterhalen wat er aangepast was.
Tot op heden lijkt het nog allemaal goed te gaan met de Tapatalk extensie uit.

Ik gebruik zelf Tapatalk en ik vind het zelf een handige app, maar dat is persoonlijk natuurlijk.

[El torro]

maar ze wisten dus phpbb bestanden aan te passen en ook nog de timestamp van de meeste files onaangepast te laten..

Bizar

Kunnen ze niet via een andere website op de server van je host gekomen zijn?

[stimpy68]

Het is inderdaad bizar... ik vergeleek de bestanden van de schone installatie en de bestanden op de server en zag dat de bestandsgrootte anders was van de bestanden op de server, datum was hetzelfde als de datum van de upload die ik toen gedaan had.... Bij de laatste webhost wisten ze dus ook nieuwe php bestanden er op te krijgen, die hadden wel de timestamp van het moment dat ze geplaatst werden. Is gewoon supervaag hoe ze het gedaan hebben. Ik wijzig iedere keer de wachtwoorden van de systeemaccounts, en dan ook nog eens niet van die simpele maar met een random password generator met genoeg verschillende karakters en noem maar op. Kan mij niet voorstellen dat ze die zo maar weten te achterhalen.
Ik laat het beheer nu over aan de nieuwe webhost, voorheen deed ik alles zelf. Maar ik werd er nu gek van.

[stimpy68]

Daar zijn we weer.... schijnt dat er weer een mailerscript op de server terechtgekomen is, de nieuwe webhost heeft de boel weer opgeruimd e.d. Wat ik wel tegenkwam was een beheeraccount "Magefix" Op 1 jan 1970 geregistreerd... Als ik Magefix zoek en het adres wat er in staat dan kom ik op een website van iemand die websites fixed die gehacked zijn... Vaag. Hoe is dat account er uberhaupt op gekomen?
De instelling is zo dat accounts goedgekeurd moeten worden bij registratie, dit is dus op een hele andere manier gedaan.
Ik begin hier wel erg moe van te worden, het draaien van een forum word zo echt niet leuk meer

[El torro]

Een forum hacken is niet zo heel moeilijk.
Het valt mij buiten dat ook dikwijls op dat webmasters enorm slordig zijn met wachtwoorden en allerhande accounts die toegang geven tot hun website.

In jouw geval weet ik natuurlijk niet wat de oorzaak is maar heb toch het idee dat je de vorige keer niet alles hebt gecontroleerd?