phpBB.nl

• Adres van je forum: http://www.bus-forum.nl
  
  phpBB versie: 3.0.4
  
  Wat is het probleem?

Gisteren zijn wij door de beheerder van de server, waar ons forum op draait, op de hoogte gesteld van het feit dat ons forum gekraakt/gehacked is. Ik citeer uit deze mail:

Het forum is niet up2date schijnbaar. Er zijn recentelijk weer lekken gevonden die nu worden misbruikt via jullie forum. Er is software geïnstalleerd via het forum om gebruikers van buitenlandse banken op te lichten.

Waar kan het lek zitten? De versie is al enige tijd bijgewerkt naar versie 3.0.4 Er draaien wel een klein aantal MOD's op het forum (die zijn op één hand te tellen) maar daarvan is er geen één recentelijk aan het forum toegevoegd.

Groeten,
Erik

Hoe bedoel je precies door fishing? Er zijn geen bekende security problemen in phpBB bekend op phpBB.com, dus het lijkt me niet logische dat phpBB het probleem is. Meer waarschijnlijker is een MOD of andere op de server geinstsalleerde software.

Sta je het uploaden van bestanden toe op je forum (bijvoorbeeld in bijlagen of in een fotoalbum)? Zo ja, welke extensies zijn toegestaan?

Volgens de beheerder van de server wordt er via een lek in de phpbb van ons forum iets op de server geïnstalleerd. Wat ik met phishing bedoel maakt dit misschien wel duidelijk. Ik citeer:

Internet Identity has received information that the website address (URL), http://{door mij gecensureerd} which appears to be on a server under your control, is an illegitimate website that attempts to mimic or "spoof" the {door mij gecensureerd} site.

Ik heb even in het ACP gekeken en als ik het bekijk zijn volgens mij alle extensies toegestaan (via het forum en de rest via PB) of vergis ik me nu



Groeten,
Erik

Ik kan zo niet zien welke extensies je precies allemaal hebt toegestaan onder deze groepen. Maar even voor de duidelijkheid: het is NIET aan te raden om alle extensies toe te staan op je forum. Dit kan namelijk risico's met zich meebrengen.

Zoals het al staat aangegeven:

We raden sterk af scripting-extensies (zoals php, php3, php4, phtml, pl, cgi, py, rb, asp, aspx, enz.) te activeren.

Waarop baseerd hij dat het door phpBB komt? welke MODs heb je geinstalleerd?

Het lijkt me zeer onwaarschijnlijk dat het door de attachment functie komt.

Lijkt mij ook, heb je nog andere software geinstalleerd dan phpBB?

Zo, even een update.

Nee, er draait geen andere software op de server. Wel bleken diverse bestanden op de server aangepast te zijn waardoor er een onzichtbaar iframe aan de pagina's van het forum werd toegevoegd. Dit frame linkte dan door naar één of andere frauduleuze website.

Ook trof ik nog een mapje aan op de server met enkele php bestanden die daar gisteren neer is gezet, maar niet door ons. Mapje was verstopt in een onschuldige map waar we eigenlijk nooit meer in komen.

Verder hebben we een klein vermoeden dat het lek misschien wel in de oude PHPBB2 bestanden van ons forum heeft kunnen zitten. Ons forum is namelijk door iemand van het phpbb serviceteam overgezet naar PHPBB3 en daarbij zijn de PHPBB2 bestanden op de server blijven staan. Die hebben we nu dan ook direct verwijderd.

Nog een vraagje. Als wij in de lijst "wie is er online" kijken staat daar de laatste dagen regelmatig een gast tussen waar bij de forumlocatie vermeld wordt: "Het bestand wordt gedownload" Kan dit iets betekenen of is dit iets onschuldigs?

Groeten,
Erik

Onmiddelijk alle wachtwoorden veranderen, en je pc checken op mallware

En natuurlijk deze bestanden direct verwijderen!

Ook de laatste versies van phpBB2 hadden geen beveiligingslekken. Het zou kunnen dat ze daardoor binnen zijn gekomen, maar dan is dat of al lang geleden gebeurd, of jullie hadden een zeer verouderde versie van phpBB2 draaien. Mocht het shared hosting zijn, vlak dan ook niet de mogelijkheid uit dat ze via een van de andere sites zijn binnen gekomen die op dezelfde server draaien.

Als de provider voet bij stuk houdt dat het aan phpBB3 zou liggen, laat hem dan specifiek zijn en laat hem de beveilingslekken aanwijzen die in phpBB3 zitten. Ik heb begrepen dat er kortgeleden een onterecht security alert geweest is voor phpBB3, misschien hebben ze het daar over.