phpBB.nl

• Adres van je forum: http://www.radiohobby.nl
  Event. modificaties op je forum: Aangepaste COPPA en aangepaste registratieformulier tegen spambots.
  Wanneer ontstond het probleem? Sinds een week
  phpBB versie: 2.0.23
  
  Heb je onlangs iets veranderd aan je forum? Nee
  Wat is het probleem?

Sinds een paar dagen ontvang ik meldingen van leden op mijn forum dat er wordt getracht om een Realplayer plugin te installeren en dat er PDF bestanden geopend willen worden.

Ik krijg tegenwoordig bij het bezoeken van deze site de optie van IE aangeboden om de Realplayer plugin te downloaden en te installeren. Hebben meer mensen dit 'probleem'? Is er tegenwoordig iets op deze site te vinden waarvoor je Realplayer nodig hebt?

Moet zeggen dat ik laatst soms een download dialoog kreeg (gebruik Opera 9.52 onder Debian 4.0). Volgens Opera was dat (iirc) een pdf-type bestand.

Ik heb de vraag om een bestand te downloaden ook 1 keer gehad afgelopen week.
systeem:
Debian etch1 met browser iceweasel 2.0.0.16

Natuurlijk niets gedownload maar ik vond het wel vreemd omdat ik dat op andere fora niet gezien heb (bekijk er dagelijks toch een stuk of 4)

Het forum is helemaal standaard en gelinkte bestanden zoals mp3's, video's of afbeeldingen worden zoals gezegd gelinkt en niet rechtstreeks afgespeeld. Op het forum staat HTML posten uit.

Heeft iemand enig idee waar dit probleem gezocht moet worden?

Ik ben inmiddels een stapje verder in mijn onderzoek:

Het blijkt dat alle index.php en index.htm bestanden op 28 september zijn gewijzigd. Er is code toegevoegd waaronder ook de JS/Tenia.d trojan.

De volgende bestanden zijn geïnfecteerd:

/index.php
/admin/index.php
/cache/index.htm
/db/index.htm
/docs/CHANGELOG.html
/docs/codingstandards.htm
/docs/FAQ.html
/docs/INSTALL.html
/docs/README.html
/images/index.htm
/images/avatars/index.htm
/images/avatars/galery/index.htm
/includes/index.htm
/includes/page_header.php
/language/index.htm
/language/dutch/index.htm
/language/dutch/email/index.htm
/language/english/index.htm
/language/english/email/index.htm
/templates/index.htm
/templates/subSilver/index.htm
/templates/subSilver/admin/index.htm
/templates/subSilver/images/index.htm
/templates/subSilver/index.htm
/templates/subSilver_old/admin/index.htm
/templates/subSilver_old/images/index.htm

Bij alle gewijzigde bestanden is het volgende toegevoegd:
Alle bestanden zijn ge'CHMOD als 644.

Je bent kennelijk gehackt en zult dus moeten uitzoeken, of men nog toegang heeft of niet. De bestanden kun je uit een verse download vernieuwen. De 5 bestanden in /docs kun je zonder meer (definitief) verwijderen.

Ik heb backups, kan ze zo terugzetten dat alles weer normaal bij het oude is.

Wil alleen voorkomen dat dit nog een keer kan gebeuren en weet niet hoe ik dat uit moet zoeken.

Bij "snel verwijderen" zie je de Admin Toolkit, die je kunt installeren; zie: http://wiki.phpbb.nl/Spambots .
Daarmee kun je gemakkelijk zien, of iemand ten onrechte Admin-rechten heeft en die persoon meteen verwijderen.

Die backups kun je het beste meteen terugzetten.

Ik ben de enige met status 1, een moderator heeft status 2 en de rest van de leden status 0. Ik ben dus de enige beheerder, net uitgelezen uit de database.

Ik ben er ook achter dat .htm/.html/.php bestanden in niet publieke mappen op de server (dus niet via http bereikbaar) zijn geïnfecteerd. Lijkt er dus op dat de server die mijn website serveert een virus te pakken heeft.

Heb contact proberen te krijgen met de hoster, zal teruggebeld worden en heb tevens een mailtje gestuurd. Vooralsnog niks gehoord, dus is het even afwachten. Wil eerst zeker weten dat de server virusvrij is alvorens ik de backups terugplaats.

zou maar als ik jou was je server logs es na lopen lijkt me sterk dat ze via phpbb binnen zijn gekomen.

als je debian hebt en je heb alles ge apt get do dan ook even

apt-get update
apt-get dist-upgrade / apt-get upgrade ( een van de 2 )

als je alles gecompiled hebt dan kun je altijd even kijke naar updates voor je HTTP deamon etc