News:

No significant change

Main Menu

Hackat forum

Started by bALoO, May 23, 2009, 16:53:14

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

griffin

Vad var symptomen på hacket? Jag administrerar ett annat forum som också hade samma version. Det är uppgraderat och jag kan inte se nåt som ser ut att vara i oordning.
snappahead

bALoO

Griffin, kolla efter användare krisbarteo. Forumet verkar utnyttjats till att sätta upp ett nytt forum vid sidan av och jag har inte kunnat hitta något annat konstigt. Såg att något var skumt när jag backade forumets filsystem. Hittade en massa filer med slumpmässiga namn i Themes/Revisited/languages. Tittade jag i dom så var det forumtrådar och inte från vårat forum så jag tog bort skräpet. Låg kvar en del kod i vissa filer så jag blåste det gamla filsystemet och gjorde en nyinstallation som jag sedan pekade ut den gamla databasen ifrån. Griffin, du kan köra en grep på eval(base64_decode( i ditt forums filsystem. Helst skall du inte få några träffar :)

krisbarteo skapade sig ett konto på Nosig och laddade upp en jpg med lite base64kodad phpkod i EXIF-delen. På så sätt lyckades han/hon köra sin kod på maskinen. Kontot skapades den 27/4 så det hade legat ett tag utan att jag märkt något. Verkar som det är en del som har fått sina SMF 1.1.8-forum hackade på samma sätt. Vi har alltid tillåtit nya användare att posta direkt efter att de skapat sitt konto. Nu har jag ändrat så att någon admin måste tillåta kontot innan man kan börja använda det. Hjälper ju inte denna gången men kanske nästa gång iaf.

Griffin, kör du med öppen registrering på det forum du administrerar?
Intel i5-4690K -  ASUS Z97-P - 2x4096MB DDR3 - Radeon HD7970

bALoO

Intel i5-4690K -  ASUS Z97-P - 2x4096MB DDR3 - Radeon HD7970

griffin

snappahead

griffin

Forumet i fråga ligger på ett webhotell så jag kan inte köra grep och liknande.

Men jag tror inte det är hackat, vi kör med den mest återhållsamma registreringen som går - vi lägger in användare manuellt. Vi hade problem med modererad registrering med då bottar spammade med registeringsförsök så då gick vi över till att helt köra manuellt. Det är så pass få nyregistreringar över tiden så det går smidigare än att behöva plöja igenom massor med fake-reggar för att hitta de få riktiga.

Däremot kan det ändå vara av intresse, för det är ju inte alltid man märker att man blivit hackad. Att veta vad man skall hålla utkik efter underlättar.
snappahead

Swebeast

Quote from: bALoO on May 24, 2009, 15:32:22
Griffin, kolla efter användare krisbarteo. Forumet verkar utnyttjats till att sätta upp ett nytt forum vid sidan av och jag har inte kunnat hitta något annat konstigt. Såg att något var skumt när jag backade forumets filsystem. Hittade en massa filer med slumpmässiga namn i Themes/Revisited/languages. Tittade jag i dom så var det forumtrådar och inte från vårat forum så jag tog bort skräpet. Låg kvar en del kod i vissa filer så jag blåste det gamla filsystemet och gjorde en nyinstallation som jag sedan pekade ut den gamla databasen ifrån. Griffin, du kan köra en grep på eval(base64_decode( i ditt forums filsystem. Helst skall du inte få några träffar :)

krisbarteo skapade sig ett konto på Nosig och laddade upp en jpg med lite base64kodad phpkod i EXIF-delen. På så sätt lyckades han/hon köra sin kod på maskinen. Kontot skapades den 27/4 så det hade legat ett tag utan att jag märkt något. Verkar som det är en del som har fått sina SMF 1.1.8-forum hackade på samma sätt. Vi har alltid tillåtit nya användare att posta direkt efter att de skapat sitt konto. Nu har jag ändrat så att någon admin måste tillåta kontot innan man kan börja använda det. Hjälper ju inte denna gången men kanske nästa gång iaf.

Griffin, kör du med öppen registrering på det forum du administrerar?

Jag fattar inte ett jota men...jag är mega-imponerad av alla er som fattar ovanstående (och kan skapa upprättelse)...nice work!  ;D

Gud och soldater vördar vi när tider av fara de stå oss bi
när faran är borta och fyllda är faten då glömma vi Gud och förakta soldaten
--------------------------------------------------------------------------------------
ASUS P8P67 <> Intel i7 2600K <> Noctua NH-D14 <> Corsair SSD Force Series 3 240 Gb <> Corsair Vengeance DDR3 16GB <> Gigabyte GeForce GTX 580 1536MB SOC

Brat

Alla påminnelsemail om att ett ämne har fått ett nytt inlägg har haft olika avsändaradresser den senaste veckan (båda mailen ;)), är den senaste bapman den som kommer att gälla i fortsättningen? Mina mail sorteras på avsändare till rätt mapp, men eftersom det byter blir man orolig!?
-Brat

bALoO

Japp, jag installerade om forumet och insåg då att jag hade en gammal epostadress som inte finns längre varför jag bytte. Skall försöka hålla mig ifrån fler ominstallationer om möjligt.
Intel i5-4690K -  ASUS Z97-P - 2x4096MB DDR3 - Radeon HD7970