Forum gehacked en niet meer zichtbaar.

[Scotland Yard]

• Adres van je forum: http://www.dutchmusicproductions.com/phpBB3/
  Event. modificaties op je forum: Ajax-chat
  Wanneer ontstond het probleem? Waarschijnlijk gisteren, 14 september dus
  phpBB versie: 3.0.5
  
  Heb je onlangs iets veranderd aan je forum? Nee
  Wat is het probleem?

Wij zijn gehacked. Het enige wat nu nog te zien is, is een mededeling van de hacker. Via google heb ik al vernomen dat er meerdere websites door deze hacker zijn aangevallen.
De vraag is dus: Hoe krijgen we ons forum terug ? Waar moeten we beginnen, want voor ons is dit compleet nieuw ?
En hoe kunnen we aanvallen als deze in de toekomst voorkomen of minimaliseren ?


Bij voorbaat dank !



..

[Jeroen]

De enige manier om je oude forum terug te krijgen is een back up terugzetten van de database. Als je die niet hebt dan is het niet meer mogelijk om je forum terug te krijgen...

Om het te voorkomen: beter wachtwoorden (dus geen woorden maar meer dit 3H#$^&#@HjfhH soort code's ). Dat geld voor de beheerders accounts maar ook voor de FTP en database e.d.. Je forum zo veel mogelijk up to date houden.

[Scotland Yard]

Nee, die hebben we idd waarschijnlijk niet. Maar op de server staan wel nog alle mappen. Daar hebben we dus niets aan...? In ieder geval bedankt voor de tip van het wachtwoord.

[PhilipvD]

Waarschijnlijk heeft de hacker de database te pakken gekregen, al die mappen en bestanden bevatten geen informatie over je posts, gebruikers enzovoorts.

Aangeraden dus om een backup terug te zetten.
Upload ook voor de zekerheid nieuwe phpBB bestanden dien je wel wijzigingen van je ajax chat en eventueel andere wijzigingen opnieuw door te voeren.
En al je wachtwoorden veranderen als je dat nog niet gedaan hebt.

[Scotland Yard]

Zo te lezen hebben we nog wat werk.
Ik kan het vandaag niet doen, maar in ieder geval bedankt voor de snelle reactie !

[FreakyBlue]

Welke versie had je draaien van phpBB3.0.x?
En welke MODS had je geïnstalleerd ... enkel een chat?

[Scotland Yard]

Eerlijk gezegd weet ik niet precies welke wij hadden draaien (ik dacht 3.0.2), die technische details weet de hoofdbeheerder en die spreek ik straks of morgen, dan kan ik je het antwoord precies geven.
Ja, de enige mod was de Ajax chat, of moet ik het aanpassen van tags ed ook als mods zien ?

[FreakyBlue]

Een les die je hier uit moet leren is dat je altijd - ALTIJD - mee moet updaten naar de meest recente versie van phpBB. Zo ben je er altijd van verzekerd dat eventueel bekend geworden veiligheidslekken gedicht zijn.

Verder adviseer ik je om deze kwestie te melden op phpbb.com en eventueel door hen ook te laten onderzoeken wat er precies is gebeurd. Dit kan je doen door een ticket aan te maken op deze pagina: http://www.phpbb.com/support/

[Scotland Yard]

Oké, dus wat kan ik nu het beste doen ? Phpbb opnieuw downloaden ? Is alleen updaten een optie. Kunnen we het .config bestand behouden ?
En ik zal idd de melding doorgeven en het laten uitzoeken. Wij hadden overigens 3.0.4

Nogmaals dank !

[stef775]

Ik vind de reaktie erg zwaar.
In phpbb3 zitten geen veiligheidlekken die tot dit kunnen komen.
Hoogstwaarschijnlijk zijn de pagina's overschreven door de hackers wat duidt op FTP toegang.

Of de database geraakt is kan alleen de eigenaar van het domein bepalen. Zijn alle tabellen en hun inhoud er nog dan is er met de database hoogstwaarschijnlijk niets gebeurd.

Aangezien dat het hier om een 3.05 installatie ging verwacht ik dat alleen de files overschreven zijn. Zet dan ook de files van phpbb terug en kijk of je forum dan loopt. Heb je in ieder geval je forum nog.

Ik zie ook dat ik zomaar in je styles map kan???

Wijzig uiteraard je wachtwoorden voor je hele domein in sterke wachtwoorden.

[Scotland Yard]

Ook bedankt voor je reactie. Beginnen we zo'n dag toch met wat frisse moed
Ik hoop later wat meer info te hebben en ik zal hier ook updaten over de stappen die we gaan nemen om het forum weer te krijgen zoals het was.
Nu lijkt er van alles aan de hand bij onze host, dus we zullen eerst met die contact opnemen.

[PhilipvD]

Hoogstwaarschijnlijk zijn de pagina's overschreven door de hackers wat duidt op FTP toegang.

Dan vraag ik me af waarom het precies op phpBB gemunt is? En hackers snappen wel dat als er alleen bestanden overschreven/verwijderd worden het in "1" minuut ontdekt is en hersteld.
http://www.dutchmusicproductions.com/ werkte inmiddels wel gewoon nadat deze hackgroep had toegeslagen.

Daarom hieruit afgeleid is het eerder een open SQL injectie geweest in phpBB of iets anders waarmee de database kon worden bereikt.

Weer even terug naar waar we waren.
Check je config.php bestand wel even of die nog de juiste gegevens bevat en maak als het moet een nieuwe aan
http://www.phpbb.nl/hulpmiddelen/config_gen

Config bestand kan je dan behouden.

[FreakyBlue]

Ik vind de reaktie erg zwaar.

Ik vind het belangrijk om op deze post te reageren. Om te voorkomen dat mensen een verkeerde indruk krijgen en met een lakse houding hun forum onderhouden/beheren. Let wel, jij bent als eigenaar/beheerder van je forum verantwoordelijk voor je leden, hun privacy en gegevens.

In phpbb3 zitten geen veiligheidlekken die tot dit kunnen komen.

Eens, zo ver ze niet bekend zijn
Maar zodra gebruikers modificaties gaan installeren die niet opgenomen zijn in de officiële release database, nemen ze een risico. Iedereen moet zich daarvan bewust zijn.

Aangezien dat het hier om een 3.05 installatie ging verwacht ik dat alleen de files overschreven zijn.

Nee, het ging hier om een phpBB3.0.4 versie. Het advies is altijd mee te updaten naar de meest recente phpBB3.0.x versie. Alleen op deze manier ben je verzekerd dat eventueel bekend geworden en/of potentiële veiligheidslekken gedicht zijn. Dus: zorg dat je forum draait op de laatste release!!

[stef775]

Daarom hieruit afgeleid is het eerder een open SQL injectie geweest in phpBB of iets anders waarmee de database kon worden bereikt.

Wauw, als het dat inderdaad is dan hebben we hier de eerste grote bug in phpbb en dat geloof ik niet totdat er door phpbb inderdaad aangegeven is dat een injectie de oorzaak is. Ik heb nu al zovaak met gehackte phpbb site's te doen gehad of er over gelezen en altijd is het een makkelijk paswoord, of slechte mods of een virus cq hack op een gedeelde server.

Er wordt altijd geroepen dat phpbb updaten je van alle hacks en virussen verlost maar een goed paswoord voorkomt toch nog altijd de meeste problemen. Sinds versie 3 is dat al zo.

Ik hoop dat de eigenaar van de "gehackte" site hier ook post wat er nu precies aan de hand was.

[Scotland Yard]

Daarom hieruit afgeleid is het eerder een open SQL injectie geweest in phpBB of iets anders waarmee de database kon worden bereikt.

Wauw, als het dat inderdaad is dan hebben we hier de eerste grote bug in phpbb en dat geloof ik niet totdat er door phpbb inderdaad aangegeven is dat een injectie de oorzaak is. Ik heb nu al zovaak met gehackte phpbb site's te doen gehad of er over gelezen en altijd is het een makkelijk paswoord, of slechte mods of een virus cq hack op een gedeelde server.

Er wordt altijd geroepen dat phpbb updaten je van alle hacks en virussen verlost maar een goed paswoord voorkomt toch nog altijd de meeste problemen. Sinds versie 3 is dat al zo.

Ik hoop dat de eigenaar van de "gehackte" site hier ook post wat er nu precies aan de hand was.

Nogmaals dank voor al jullie tips. Volgens onze host was er op 3 van zijn sites ingebroken, maar ons forum staat inmiddels weer. Hij kon niet precies zeggen via welke site ze zijn binnengekomen.
Het is dus de bedoeling dat we alle accounts die alle permissies hebben van betere wachtwoorden gaan voorzien ? Want behalve de toegang tot de gedeelde server, hoeven we verder toch geen wachtwoorden in te voeren ?
En ik heb nu dus voor het eerst een back-up gedraaid via het beheerderspaneel. Dan krijg ik dus een zip-bestand. That's it ? Daar zit alles in ?
Omdat ik te weinig kennis heb van de technische details, kan ik eventuele vragen nog wel even doorspelen aan onze host, mochten die er nog zijn.

[PhilipvD]

In dat bestand zitten inderdaad alle berichten, gebruikers enz maar ik raad je aan om deze backup te maken via phpMyAdmin.
Hoe je deze kunt bereiken kan je aan je host vragen.

[Tazmanian]

Indien je root access hebt kan je je backups ook maken via SSH.
Via phpmyadmin lukt het bij mij niet omdat ik dan timeouts krijg.

[Scotland Yard]

In dat bestand zitten inderdaad alle berichten, gebruikers enz maar ik raad je aan om deze backup te maken via phpMyAdmin.
Hoe je deze kunt bereiken kan je aan je host vragen.

Indien je root access hebt kan je je backups ook maken via SSH.
Via phpmyadmin lukt het bij mij niet omdat ik dan timeouts krijg.

Maar waarom zou ik dat doen ? Ik heb nu toch al een back-up ?
Kan ik niet net zo makkelijk de gehele map van phpbb van de server kopiëren en bewaren ?

[Tazmanian]

Maar waarom zou ik dat doen ? Ik heb nu toch al een back-up ?

Ik heb een script lopen dat elke nacht een backup maakt en naar een emailadres stuurt.
Je moet voor jezelf uitmaken hoeveel keer per X tijd je een backup maakt.

Kan ik niet net zo makkelijk de gehele map van phpbb van de server kopiëren en bewaren ?

Dat zijn enkel de bestanden die je dan hebt. De database wordt niet bewaard wanneer je de map van phpbb naar je pc kopieert!

[Scotland Yard]

Ik heb een script lopen dat elke nacht een backup maakt en naar een emailadres stuurt.
Je moet voor jezelf uitmaken hoeveel keer per X tijd je een backup maakt.

Handig. Maar dat zal ook afhangen van de drukte op het forum. Maar oké, we slaakten een zucht van verlichting dat we al onze leden hebben kunnen behouden. Ik vermoed dat de host een back-up van de server heeft staan...?

Dat zijn enkel de bestanden die je dan hebt. De database wordt niet bewaard wanneer je de map van phpbb naar je pc kopieert!

Die database heb ik dan in het zip-bestand toch ?