/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Mit phpBB forum blev hacket
Fra : Dennis


Dato : 08-04-05 01:04

Jeg har igennem længere tid kørt med et phpBB forum. Jeg indrømmer, at
jeg har været for sløv til at opdatere og det skal jo selvfølgelig give
skrammer nu her, da jeg nu er blevet defacet (og hvad mere?)

Se evt. et link på et skærmbillede, der dukkede op i mit forum,
http://sows.dk/

Citat:
"This 0ne another forum 'Subdir' added ..."

Jeg har kørt med phpBB v2.0.6 på en "Apache/2.0.53 (Unix) PHP/5.0.4
mod_ssl/2.0.53 OpenSSL/0.9.7d". Jeg kan også se, at jeg af én eller
anden grund har kørt PHP i ikke-safe_mode (safe_mode=off). Mit problem
er, at jeg ikke helt ved hvordan det er sket, hvilken konserkvens det
har haft og hvor meget der er kompromitteret?

Jeg gætter på at det er en scriptkiddie der har moret sig eller et
automatisk program, der lige har fundet vej til mit forum, så jeg
frygter såmen ikke, at héle mit system er "i fjendens hænder".

Nogen gode forslag?

 
 
Mikkel Bundgaard (08-04-2005)
Kommentar
Fra : Mikkel Bundgaard


Dato : 08-04-05 06:54

Dennis wrote:
> Jeg har igennem længere tid kørt med et phpBB forum. Jeg indrømmer, at
> jeg har været for sløv til at opdatere og det skal jo selvfølgelig give
> skrammer nu her, da jeg nu er blevet defacet (og hvad mere?)
>
> Se evt. et link på et skærmbillede, der dukkede op i mit forum,
> http://sows.dk/
>
> Citat:
> "This 0ne another forum 'Subdir' added ..."
>
> Jeg har kørt med phpBB v2.0.6 på en "Apache/2.0.53 (Unix) PHP/5.0.4
> mod_ssl/2.0.53 OpenSSL/0.9.7d". Jeg kan også se, at jeg af én eller
> anden grund har kørt PHP i ikke-safe_mode (safe_mode=off). Mit problem
> er, at jeg ikke helt ved hvordan det er sket, hvilken konserkvens det
> har haft og hvor meget der er kompromitteret?
>
> Jeg gætter på at det er en scriptkiddie der har moret sig eller et
> automatisk program, der lige har fundet vej til mit forum, så jeg
> frygter såmen ikke, at héle mit system er "i fjendens hænder".
>
> Nogen gode forslag?

Hvis du føler dig overbevist om at han ikke har rørt mere, vil jeg
anbefale en geninstallation af apache,php osv.

Generelt en geninstallation af alle de ting som kunne nåes gennem apache
med apaches brugerrettigheder.

På min kører apache www-data som bruger, derfor vil det være naturligt
at geninstallere alt som anvender www-data som bruger.

Men ellers hvad siger dine logfiler ? De burde vel sige et eller andet ?

Hilsen Mikkel

Dennis (08-04-2005)
Kommentar
Fra : Dennis


Dato : 08-04-05 09:24

> Hvis du føler dig overbevist om at han ikke har rørt mere, vil jeg
> anbefale en geninstallation af apache,php osv.

Det vil jeg naturligvis gøre.

> Men ellers hvad siger dine logfiler ? De burde vel sige et eller andet ?

Jeg har kigget i dem. /var/log/messages siger ikke noget og min log over
webhotellet er spækket med forum linier, så det er svært at finde noget
konkret, når jeg ikke ved helt præcist hvornår angrebet er fundet afsted
(jeg har skam kigget).

Men jeg ville egentligt helst om der var nogen der kunne se, at det
angreb jeg har haft er liiige det og det type angreb. Jeg kan se på
Google, at der er flere andre phpBB forums der har været udsat for det
samme, så det er jo nok noget generelt.

Søren Steinmetz (08-04-2005)
Kommentar
Fra : Søren Steinmetz


Dato : 08-04-05 10:52

"Dennis" <d21356465460@hotmail.com> skrev i en meddelelse
news:42563f8d$0$78282$157c6196@dreader1.cybercity.dk...

> Men jeg ville egentligt helst om der var nogen der kunne se, at det
> angreb jeg har haft er liiige det og det type angreb. Jeg kan se på
> Google, at der er flere andre phpBB forums der har været udsat for det
> samme, så det er jo nok noget generelt.

Opdater til en PHPBB version 2.1.0 eller over, da det er en fejl i de ældre
versioner, der gør at man let kan deface dit forum.
(Mener det er noget med fejlen gør du kan få adgang som den databasebruger
forummet kører under, og lave en deface med den)

Vi har haft noget tilsvarende på et forum, men jeg kan ikke lige huske hvad
vores forum-admin skrev om fejlårsagen.

Mvh
Søren Steinmetz



Dennis (08-04-2005)
Kommentar
Fra : Dennis


Dato : 08-04-05 11:14

>>Men jeg ville egentligt helst om der var nogen der kunne se, at det
>>angreb jeg har haft er liiige det og det type angreb. Jeg kan se på
>>Google, at der er flere andre phpBB forums der har været udsat for det
>>samme, så det er jo nok noget generelt.
>
> Opdater til en PHPBB version 2.1.0 eller over, da det er en fejl i de ældre
> versioner, der gør at man let kan deface dit forum.
> (Mener det er noget med fejlen gør du kan få adgang som den databasebruger
> forummet kører under, og lave en deface med den)

Spørgsmålet er om det kun er en deface, for så er det jo lige til at
rette op på igen. Hvis han har haft større access (f.eks. root adgang
fordi Apache er startet op som root), så er det straks værre.

Hvis han kun har kunne få adgang til hele phpBB forummets MySQL
database, så er det ikke så slemt.

Claus Alboege (08-04-2005)
Kommentar
Fra : Claus Alboege


Dato : 08-04-05 11:30

Dennis <d21356465460@hotmail.com> writes:

> Hvis han kun har kunne få adgang til hele phpBB forummets MySQL
> database, så er det ikke så slemt.

Det kan faktisk være ret skidt; afhængigt af hvordan MySQL er sat op.

http://www.dataloss.net/papers/how.defaced.apache.org.txt


/Claus A

Ukendt (08-04-2005)
Kommentar
Fra : Ukendt


Dato : 08-04-05 15:10

Dennis wrote:
> Jeg har igennem længere tid kørt med et phpBB forum. Jeg indrømmer, at
> jeg har været for sløv til at opdatere og det skal jo selvfølgelig give
> skrammer nu her, da jeg nu er blevet defacet (og hvad mere?)

Hej,

Jeg havde en kammerat der også brugte phpBB - eller rettere. Han havde
ikke brug for det mere, men havde ikke fjernet det igen.

Jeg fik også en defacement. De uploadede en "php-shell" hvor de via
system() kunne søge rundt på systemet, udover at ret nemt interface til
at se hvad der ligger på systemet. Een af de ting de søgte efter var
config.php, og andre varianter, for at se efter MySQL brugere. Disse
blev så læst ind og blev åbenbart brugt til at prøve og se om FTP
serveren godkendte samme bruger/pw. Udover det, lavede de så også selve
defacement-siden på alle domæner. Som vist var deres eneste egentlige mål.

Min løsning: Jeg tog en kopi af mit webdir og logdir - og lavede en
reinstallation af serveren og fik sat den bedre op (havde backups
liggende). Jeg havde ikke safe-mode - da jeg mente det ikke var
nødvendigt når jeg kender de folk der har web på min server. Havde self.
ikke tænkt over at de kunne installeret hullet software. Det er nu
ændret :)

Jeg ville ikke stole på maskinen, hvis jeg ved andre udfra har været inde.


- dennis

Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408942
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste