Dit is een archief van het phpBBservice.nl forum. Nieuwe berichten plaatsen is niet meer mogelijk.

forums gehackt

N
Neo
#1
Helaas zijn 3 van mijn forums gehackt (NobodyCoder) en nu ondervind ik op mijn laatste nu pb problemen.

Ik kan wel een pb opstellen en verzenden maar als ik mijn pb wil gaan bekijken dan zie ik het volgende:

Versie 3.0.4 draai ik nog.
pmprobleem.png
Iemand een idee ben al de hele dag aan het puin ruimen

BVD
R
Rotsblok
#2
hmmm heb je dit al gemeld aan phpBB security tracker of is hij binnengekomen via een andere weg?
N
Neo
#3
Ik heb niet kunnen vinden waar hij binnen is gekomen maar het waren 3 fora's waarvan een 3.0.5 was en de andere 3.0.4 .
Hij had alle index.htm en index.php bestanden aangepast. Gezien deze fora's allen fora's waren om te testen heb ik ze gewoon verwijderd.
Maar het forum van me clan is natuurlijk een ander verhaal die wil ik HEEL graag behouden.

Ik heb alle ftp wachtwoorden aangepast alle wachtwoorden voor het in loggen.

index.php die ik vond:

Code: Selecteer alles

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html;charset=utf-8" >
<title>NobodyCoder .</title>
<style type="text/css">
<!--
body {
	background-color: #000000;
}
.style1 {color: #FFFFFF}
.style2 {font-size: 24px}
.style3 {font-size: 16px}

-->
</style></head>

<body>
<div>
<center><p><font face="Georgia" size="7"><font color="#ffffff"></font><span style="BACKGROUND-COLOR: #ff0000"><font color="#ffffff">N</font></span><font color="#ffffff">obody</font><font color="#ffffff"><span style="BACKGROUND-COLOR: #ff0000">C</span>oder</font></font></p>
<p>

</p>
<img src="http://zpit.pl/gallery/image/drahmadinejad.jpg" alt="Dr. Ahmadinejad!" />
<img src="http://zpit.pl/gallery/image/mirhossein.jpg" alt="Mir Hossein Loser!"/>
<p>
</p>
<br>
<font color="#811111"><font size=6><b>From IRAN</b></font></font>
<br>
<br>
<font color="#ffffff"><font size=4><b>NobodyCoder@mail.ru</b></font></font>
<br>
<br>
<font color="red"><font size=4><font face="Georgia"><b>Hey Stupid Fly Catcher Obama! Stop talking about Iran and telling to your dogs (UK, France, Germany) to talk about Iran and Iran Election. Keep working on your own country and try to solve economic crisis in your hungry country! Iran's election doesn't have problem and Moosavi with his tiny brain will be in jail in near future, so don't pay your time and money for him and for his fans. 80% of Iranian people hate Moosavi nowadays... We never cheated in elections and even Moosavi knows that. So it's time to finish this kind of activities and it's better each country work on its own business.</b></font></font></font>

<br>

<br>
<font color="#811111"><font size=5><b>uid=0(root) gid=0(root) groups=0(root)</b></font></font>

<br>
<br>
<font color="#811111"><font size=5><b>Unknown_3rr0r - Th3_Analyz3r - su_r00t - Access Violation</b></font></font>
<p>
    <a href="http://validator.w3.org/check?uri=http://zpit.pl/gallery/image/"><img
        src="http://www.w3.org/Icons/valid-html401-blue"
        alt="Valid HTML 4.01 Transitional" height="31" width="88"></a>
</p>
</center>
</div>
</body>

</html>
EDIT: Probleem is verholpen door verwijderen van de mod.
Alleen spijtig van de andere site's
R
Raimon
#4
Ik heb niet kunnen vinden waar hij binnen is gekomen maar het waren 3 fora's waarvan een 3.0.5 was en de andere 3.0.4 .
Kan je normaal terug vinden in de apache-log's, zo zie je ook wat ie exact heeft gedaan.

Het lijkt me niet dat het door phpBB3 komt, aangezien er geen veiligheidslekken zijn gevonden in de phpBB-software zo ver ik weet.
Het kan goed zijn dat dit allemaal komt door MODs met slechte codering die misschien een exploit bevatten.
N
Neo
#5
Een forum was een schone 3.0.5 installatie zonder mod en toevoegingen.
Een was versie 3.0.4 met Board3 portal.
En de andere stond meer op maar weet ik ff niet meer wat.

Ik ben bezig om te kijken waar ik die logs kan krijgen.
Ik houd jullie op de hoogte.

EDIT: hun kunnen helaas niet zien hoe het gebeurd kan zijn en ik heb geen toegang tot doe log's.