eerste keer gehacked?

vozmed · Bericht door **vozmed** » 12 sep 2007, 17:17

Adres van je forum: http://www.basfmotorvrienden.be/forum
Mods : alleen actieve gebruikers zichtbaar in gebruikerslijst
Wanneer ontstond het probleem?vandaag
Heb je onlangs iets verandert aan je forum? Neen
Wat is het probleem?

Sinds vanmiddag blijkbaar geen mogelijkheid meer tot inloggen als admin, boodschap dat forum volledig leeg is en niet-actieve gebruikers staan terug in de gebruikerslijst.
Via phpmyadmin zit alles nochtans nog in de database.

Iemand assistentie? en vooral hoe te voorkomen in de toekomst?
Bedankt alvast.

ElbertF · Bericht door **ElbertF** » 12 sep 2007, 17:50

Dag Vozmed, en welkom.

Zover wij weten bevat phpBB 2 geen veiligheidslekken, mogelijk is je wachtwoord geraden of is er bij de server iets aangepast. Heb je een kopie van je forum op je computer? Upload alle bestanden dan eens opnieuw. Als je forum dan niet hersteld is ligt het aan de server.

vozmed · Bericht door **vozmed** » 12 sep 2007, 19:07

Dankjewel voor de snelle reactie.
Intussen ben ik erachter gekomen dat de site geïnfecteerd is geraakt met een C99 backdoor shell
Niet alleen het forum is dus om zeep, ook andere stukken van de site, met een Joomla basis is verknoeid.
Heb een aantal fotootjes gevonden met arabische teksten die ik jammer genoeg niet versta.
Zal een complete restore doen van de db en website en hopelijk is het dan opgelost.

Wel eens verder zoeken hoe die infectie kan zijn binnengekomen en hoe te vermijden.

Bedankt!

Derky · Bericht door **Derky** » 12 sep 2007, 19:55

Dan heb je Joomla niet geüpdate zodra er nieuwe versies van uit zijn gekomen.

Houd het Joomla gedeelte offline totdat deze up to date is, het forum kan je al wel herstellen.

Wouw, zelfs Joomla support.

P.S. Verwijder de php shell van de website voordat de server zelf om zeep wordt geholpen.

Coen · Bericht door **Coen** » 12 sep 2007, 21:10

Derky schreef:Dan heb je Joomla niet geüpdate zodra er nieuwe versies van uit zijn gekomen.
Houd het Joomla gedeelte offline totdat deze up to date is, het forum kan je al wel herstellen.

In het verleden heb ik veel (op veiligheids-gebied) slechte verhalen gehoord over de phpBB-Joomla poort. Is die inmiddels wat veiliger of niet?

vozmed · Bericht door **vozmed** » 12 sep 2007, 21:39

Bedankt voor de info. PHPBB draait alweer met een backup.
Nog wel wat moeite gehad om die shell pagina's eraf te krijgen.
99% is het m'n eigen schuld door een slechte beveiliging van directories of bestandattributen.
Alleen heb ik daar 0,0 verstand van dus zal eens moeten rondhoren bij kennissen.
De Joomla site was dacht ik toch up to date - misschien een component niet meer 100%.

Bij het bekijken van die backdoor shell heb ik wel m'n ogen wat opengetrokken over hoe straf dat ding in elkaar zat en wat je er mee kan doen, al is het voor sommigen misschien maar klein bier.

Toch maar eens een avond security updates inplannen ...
én backups blijven maken

Bedankt voor de info!

Derky · Bericht door **Derky** » 13 sep 2007, 09:38

Zoek je logs na op unlosk.php

eerste keer gehacked?

eerste keer gehacked?

Re: eerste keer gehacked?

Re: eerste keer gehacked?

Re: eerste keer gehacked?

Re: eerste keer gehacked?

Re: eerste keer gehacked?

Re: eerste keer gehacked?