Exploit Parallels Plesk Panel compromise

[black lion]

• Adres van je forum: http://forum.curacao.nl
  Event. modificaties op je forum: geen
  Wanneer ontstond het probleem? 2 weken geleden
  phpBB versie: de laatste
  
  
  Heb je onlangs iets veranderd aan je forum? nee
  Wat is het probleem?

Exploit Parallels Plesk Panel compromise (type 1714) melding

Hoe dit te verwijderen?
Moet ik alle files deleten (uitgezonderd config.ini) en er een verse phpBB (files) erop zetten

[Ger]

Plesk staat los van phpBB en wordt normaliter verzorgd door je host. Ik raad je daarom aan contact op te nemen met je host.
Daarnaast kan het geen kwaad om even de wachtwoorden te wijzigen.

[black lion]

Ger: Dit is sinds de overname door een nieuwe host die het domein heeft gekocht. Het vreemde is dat niet iedereen het krijgt. De host kan niets vinden en werkt daarnaast ook niet met Plesk.

[Pola]

Volgens mij is het een virus. Daarvoor moet je - mijns inziens - toch bij je host zijn.

[black lion]

@Pola het is idd een virus. Maar de host doet echt momenteel super weinig. Diverse mailtjes zijn er verstuurd. Maar wat kan ik nog doen.

[Ger]

Heb je shared hosting, VPS of een eigen server?
In het geval van shared hosting kun je bijzonder weining als je host niet meewerkt, anders zou je zelf je server kunnen opschonen (mits je weet hoe en wat).

[black lion]

@Ger ik zou het niet weten of het een shared is of wat dan ook. Was het een eigen server dan was het alang opgelost. Maar na wat aandringen en wat info van test sites is men nu wel aan het werk gegaan. Het domein is net gekocht door de nieuwe eigenaar dus voor hem/haar zaak het snel op te lossen. Curacao.nl was vrij duur en zwaar bezocht.
Komt nu wel een ander probleem die misschien snel op te lossen is,

Zie image:

Gaat om de meldingen bovenin. Dit is gekomen nadat deze exploit aan het donderen was en men tracte deze te verwijderen. Hoe los ik dit op

[Pola]

Deze foutmelding houdt in dat er in het bestand \language\nl\mcp.php iets staat voor <?php. Dat kan een spatie, een lege regel of een BOM (Byte Order Mark) zijn.

Meestal betekent deze foutmelding dat je het bestand gewijzigd hebt met een ongeschikte editor (zoals DreamWeaver, Microsoft Notepad, Wordpad of Word).
Voor het aanpassen van bestanden van phpBB moet je een text editor gebruiken die de bestanden kan opslaan als UTF8 zonder BOM (Byte Order Mark). Een geschikte veelgebruikte text editor is Notepad++.

[Jimrea]

Lukt dat ook met Kwrite?

[Pola]

Ja, zie de lijst met text editors in de Wiki van phpbb.com.

[black lion]

Oke @Pola; danki. Ik ga dat een s uitzoeken.

Bij mijn zien is er geen raar iets in dat script. Is het niet beter om gewoon alles met een schone 3.0.10 of iets in die geest in iedergeval de laatste versie te overschrijven???

[Pola]

Een BOM is in de meeste editors niet zichtbaar, maar kan dan wel wel aan het begin van het bestand staan.
Als je de mogelijkheid hebt om met een vers 3.0.10 te beginnen is dat wel het beste.

[Jimrea]

Ja, zie de lijst met text editors in de Wiki van phpbb.com.

Ok, thk's.
En die Bom verschijnt als een vierkantje in mijn tekst editor en kan ik gewoon weghalen.
(ik persoonlijk draai onder Mandrake)

[black lion]

Als je de mogelijkheid hebt om met een vers 3.0.10 te beginnen is dat wel het beste.

De 3.0.10 heb ik pas opgehaalt, dus ik ga die eroverheen trekken en zien wat er gebeurd. Verder geven alle scan site aan dat de exploit is verdwenen uigezonderd AVG en nog 1. WOM of zoiets.