Toon posts:

[www] Mijn site defaced

Pagina: 1
Acties:
  • 98 views sinds 30-01-2008

dinsdag 21 december 2004 05:48

Acties:
  • Gh0stw4lk3r
  • Registratie: Juli 2001
  • Laatst online: 22:28

Gh0stw4lk3r

Topicstarter
gisteren om half 8 is mijn website gedefaced , stelletje eikels :(
zie http://www.fzrclub.nl/forum/
alle bestanden zijn 269 bytes groot met de melding die je ook bij bovenstaande ziet :(
ik heb mijn site draaien bij digitalus , maar die maken wat ik nu zie geen backup's . nu heb ik in ieder geval nog wel de database die intact is, dus kan alles ws wel weer terugzetten dmv nieuwe install phpbb.
ik zit nu alleen met het probleem als ik er een nieuwe install phpbb opzet dat deze met 5 minuten ook defaced is.
wat kan ik er aan doen om te zorgen dat de site niet steeds defaced wordt?

de site draait als het goed is op Redhat Enterprise en of Fedora Linux met apache en mysql

[ Voor 8% gewijzigd door Gh0stw4lk3r op 21-12-2004 05:49 ]

dinsdag 21 december 2004 06:27

Acties:
  • NiteSpeed
  • Registratie: Juli 2003
  • Laatst online: 20-09-2025

NiteSpeed

Daar kan jij niets aan doen, daar moet je host wat aan doen.

dinsdag 21 december 2004 06:27

Acties:
  • -=bas=-
  • Registratie: Oktober 2000
  • Laatst online: 22-04-2025

-=bas=-

Vergeet je soms de rechten op bepaalde directories terug te zetten?
Ik kan me herinneren dat sommige install-scripts voor PHPBB alles vol open zetten en vervolgens vergeten om zaken terug te zetten naar een wat veiligere mode.

Waarschijnlijk loopt er ergens scriptje dat gewoon automatisch je website defaced. omdat je bij het opnieuw installeren precies dezelfde fout maakt. (of je install script).
Je kan het beste even Apache stop zetten en na de installatie van PHPBB even een search doen welke files en dirs worldwritable zijn.

Heb je ook de laatste versie van PHPBB en je installscript gedownload if gebruik je iedere keer je oude (ooit eens gedownloade) installatie?

Hier staat bv iets over dit soort zaken :
http://bsdonline.org/live...82e2c9f4afead6b6d7fc70706

Het kan heus wel erger. Wees blij dat ze geen zware spamrun of DDOS draaien vanaf je bak. :)

Senile! Senile Oekaki

dinsdag 21 december 2004 06:50

Acties:
  • bjck
  • Registratie: Mei 2000
  • Laatst online: 03-01 20:09

bjck

Defacen is nog eigenlijk het minst erge wat je kan overkomen in dit geval inderdaad, maar 't blijft/is lastig/vervelend.

Je komt nu ook achter de minpunten van je hoster en de manieren van backuppen of de gebreken aan het pakket wat je afneemt (soms is goedkoop nogsteeds duurkoop).

Zoek in iedergeval (samen met je hoster) uit hoe ze binnen zijn gekomen, via phpbb of via de machine zelf etc. En neem dan je maatregelen. En houdt het voor de toekomst ook in de gaten en denk niet "ow dat gebeurt bij mij niet".

Een onderschrift moet altijd zinvol zijn.

dinsdag 21 december 2004 09:40

Acties:
  • Gh0stw4lk3r
  • Registratie: Juli 2001
  • Laatst online: 22:28

Gh0stw4lk3r

Topicstarter
er is gelukkig een backup teruggezet, ik heb ook het ip van de gene die de deface gedaan heeft , maar kan zo 123 niet achterhalen waar dat vandaan komt , het adres is 205.238.148.xx

het schijnt volgens de hoster door een fout in het forum te komen dat ze toegang hebben gekregen

dinsdag 21 december 2004 09:51

Acties:
  • CH4OS
  • Registratie: April 2002
  • Niet online

CH4OS

It's a kind of magic

Gh0stw4lk3r schreef op dinsdag 21 december 2004 @ 09:40:
er is gelukkig een backup teruggezet, ik heb ook het ip van de gene die de deface gedaan heeft , maar kan zo 123 niet achterhalen waar dat vandaan komt , het adres is 205.238.148.xx

het schijnt volgens de hoster door een fout in het forum te komen dat ze toegang hebben gekregen
Als je wil weten wie de ISP is, om die een abuse mailtje te sturen...
Kan je in een CMD-venster:
code:
1

tracert 205.238.148.xxx
doen... Good luck ;)
Geef trouwens wel bij het abuse mailtje (abuse@provider.ext) de tijd en datum aan, van de deface... Dan kunnen zij er denk ik wel wat aan doen... ;)

dinsdag 21 december 2004 09:52

Acties:

Verwijderd

Is dit niet een issue met PHP, en dus een server die niet up-to-date is...

Linkje: http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=248046
Recently a serious exploitable issue was discovered in PHP (the scripting language in which phpBB, IPB, vB, etc. are written) versions prior to 4.3.10. The problematical functions include unserialize and realpath. phpBB (along with a great many other scripts including IPB, vB, etc.) use these two functions as a matter of course.

It has come to our attention that code has now been released which uses this exploit in PHP to obtain confidential information in phpBB. Such information includes data contained in phpBB's config.php file. We therefore recommend the following:

1) If you maintain your own server be sure to upgrade to the newest available release of PHP (both versions 4 and 5). Be aware that at this time phpBB 2.0.x has problems functioning under PHP5 without modification.

2) If you pay for hosting ensure you hosting provider has upgraded thier installation of PHP (again remember that phpBB 2.0.x and other scripts will not function under PHP5 without modification).

Please do not submit this PHP issue to our security tracker, it is beyond our control. Fixed versions of PHP do exist and as above we encourage you to ensure your system is running such a version. Equally please examine any "hacking" issues you have carefully to ensure they are not caused by this PHP problem (rather than phpBB). Remember, this is not a phpBB exploit or problem, it's a PHP issue and thus can affect any PHP script which uses the noted functions.

dinsdag 21 december 2004 09:54

Acties:
  • Steephh
  • Registratie: Juni 2003
  • Laatst online: 00:20

Steephh

Ik wil niet noobachtig doen, maar wat is defacen?

_@/'

dinsdag 21 december 2004 09:56

Acties:
  • Cyphax
  • Registratie: November 2000
  • Laatst online: 21:28

Cyphax

Moderator LNX
BMRS schreef op dinsdag 21 december 2004 @ 09:54:
Ik wil niet noobachtig doen, maar wat is defacen?
Na het inbreken op een server de draaiende pagina aanpassen (er een melding op zetten ofzo) is defacen.

Saved by the buoyancy of citrus

dinsdag 21 december 2004 09:58

Acties:

Verwijderd

Dan blijft nog de vraag of je echt daadwerkelijk iets kan doen ...

Een week geleden zijn we ook defaced geweest via phpBB. Bleek dat we inderdaad nog een oude versie hadden draaien, waar exploits gemakkelijk voor te vinden waren. Een beetje onze eigen schuld dan natuurlijk, hoewel het erg vervelend is.
Inmiddels een nieuw forum geplaatst (versie 2.11), alle members teruggezet en verschillende exploits zelf uitgeprobeerd. Het forum blijkt toch stand te houden.
Zorgen dat je telkens mee - upgrade is de boodschap lijkt me.

[ Voor 4% gewijzigd door Verwijderd op 21-12-2004 09:59 ]

dinsdag 21 december 2004 10:01

Acties:
  • blizt
  • Registratie: Januari 2003
  • Laatst online: 29-09-2025

blizt

Wannabe-geek

Het "gezicht" van de site wordt vervangen BMRS.
Lees bijvoorbeeld "I only replaced index.html" eens over 'n voorbeeld van 'n deface ;)
Het komt er op neer dat pagina's vervangen worden om te laten zien hoe stoer die bewuste cracker is dat ie 'n lek kan misbruiken.
Een tijdje terug was er ook een deface op 'n google-website, daar zie je ook 'n voorbeeld.

offtopic:
Digitalus is ook wel 'n kuthost hoor, ik heb er ook nog één domein + hosting lopen maar die gaan we zo snel mogelijk opzeggen, blij dat m'n meeste domeinen al ergens anders draaien

United we stand, and divided we fall

dinsdag 21 december 2004 12:13

Acties:
  • Gh0stw4lk3r
  • Registratie: Juli 2001
  • Laatst online: 22:28

Gh0stw4lk3r

Topicstarter
ik heb gevonden wat ze precies doen via iemand die hetzelfde probleem heeft :
Modbreak:Dit draagt niets bij aan het topic en bevat bovendien nog de exploit


oftewel, scriptkiddie maakt gebruik van google om te zoeken naar sites met viewtopic.php files, op die manier komt ie dus aan de urls van de sites die oa phpbb2 draaien

[ Voor 103% gewijzigd door Kees op 21-12-2004 12:38 ]

dinsdag 21 december 2004 15:36

Acties:
  • DutchTSE
  • Registratie: Februari 2003
  • Niet online

DutchTSE

Verwijderd schreef op dinsdag 21 december 2004 @ 09:58:
Dan blijft nog de vraag of je echt daadwerkelijk iets kan doen ...

Een week geleden zijn we ook defaced geweest via phpBB. Bleek dat we inderdaad nog een oude versie hadden draaien, waar exploits gemakkelijk voor te vinden waren. Een beetje onze eigen schuld dan natuurlijk, hoewel het erg vervelend is.
Inmiddels een nieuw forum geplaatst (versie 2.11), alle members teruggezet en verschillende exploits zelf uitgeprobeerd. Het forum blijkt toch stand te houden.
Zorgen dat je telkens mee - upgrade is de boodschap lijkt me.
same here 2 weke ofzow geleden, index.php gedefaced, rest stond er nog, kon index.php niet download via ftp, en kon ook zijn chmod rechten bekijke, kon hem wel renamen, toen oude er weer op, paar minuten later weer de gedefacede erop door hacker, ik weer veranderd, en meteen naar 2.0.11 geupgrade, sindsdien geen last meer :)

dinsdag 21 december 2004 15:37

Acties:
  • anandus
  • Registratie: Februari 2001
  • Niet online

anandus

Zie ook hier:
NeverEverNoSanity WebWorm Generation xx
als het dezelfde deface is natuurlijk :P

Een combo van php<4.3.10 en phpbb zonder de workaround die op phpbb.com gepost is.

[ Voor 16% gewijzigd door anandus op 21-12-2004 15:38 ]

"Always remember to quick save" - Sun Tzu

dinsdag 21 december 2004 21:30

Acties:
  • Ook
  • Registratie: September 2000
  • Laatst online: 14-12-2025

Ook

Yes I can!

Poeh... Inderdaad zeg.. ons (Invision Board) forum is gisteravond ook te pakken genomen door die WebWorm (generation 14). Pittig dat dit ding zo snel om zich heen grijpt zeg! Nu nog inderdaad nog ff uitvogelen waar die backups liggen ;)

Wees consequent, maar niet altijd

dinsdag 21 december 2004 21:50

Acties:
  • Icey
  • Registratie: November 2001
  • Laatst online: 20-02 16:17

Icey

Als ik het goed begrijp zit het probleem in PHP, zodra je die geupdate heb naar 4.3.10 dan is er niks aan de hand, correct? Ik draai al 4.3.10, maar wil het ff checken ;)

Mijn forum draaid nog phpbb 2.0.10, dat draaid allemaal prima en als het goed is kan ik dan geen last hebben van zulke problemen?

dinsdag 21 december 2004 21:52

Acties:
  • anandus
  • Registratie: Februari 2001
  • Niet online

anandus

In de write-up van de worm wordt echter nergens gerept over php-versies, alleen over de phpBB-versie.

Dus als je slim bent, dan update je je forum ook even ;)

[ Voor 19% gewijzigd door anandus op 21-12-2004 21:52 ]

"Always remember to quick save" - Sun Tzu

dinsdag 21 december 2004 21:55

Acties:
  • Icey
  • Registratie: November 2001
  • Laatst online: 20-02 16:17

Icey

Phpbb zegt:

Recently a serious exploitable issue was discovered in PHP (the scripting language in which phpBB, IPB, vB, etc. are written) versions prior to 4.3.10. The problematical functions include unserialize and realpath. phpBB (along with a great many other scripts including IPB, vB, etc.) use these two functions as a matter of course.
...
Remember, this is not a phpBB exploit or problem, it's a PHP issue and thus can affect any PHP script which uses the noted functions.

Of zit ik ergens fout te lezen :P

dinsdag 21 december 2004 21:59

Acties:
  • anandus
  • Registratie: Februari 2001
  • Niet online

anandus

Icey schreef op dinsdag 21 december 2004 @ 21:55:
Phpbb zegt:

Recently a serious exploitable issue was discovered in PHP (the scripting language in which phpBB, IPB, vB, etc. are written) versions prior to 4.3.10. The problematical functions include unserialize and realpath. phpBB (along with a great many other scripts including IPB, vB, etc.) use these two functions as a matter of course.
...
Remember, this is not a phpBB exploit or problem, it's a PHP issue and thus can affect any PHP script which uses the noted functions.

Of zit ik ergens fout te lezen :P
True :)

Maar als je dus alléén php hebt geüpdate zit je goed? :)

"Always remember to quick save" - Sun Tzu

dinsdag 21 december 2004 22:02

Acties:
  • Icey
  • Registratie: November 2001
  • Laatst online: 20-02 16:17

Icey

Hmm.. er staan meer berichten daaro, onderandere dat iedereen dus MOET update naar de .11 versie. Dus blijkbaar is er meer aan de hand. Nouja, kleine moeite :)

dinsdag 21 december 2004 22:18

Acties:
  • iMars
  • Registratie: Augustus 2001
  • Laatst online: 21-02 09:26

iMars

Full time prutser

Ik weet niet precies wat "defaced" is :X
Maar ik kreeg het volgende berichtje vandaag:

Networm worm "Santy" is spreading. This worm infects only web servers. It infects online discussion forums running phpBB software and defaces them with a text mentioning "NeverEverNoSanity".

Koop hier mijn P1 reader :)

dinsdag 21 december 2004 22:28

Acties:
  • Icey
  • Registratie: November 2001
  • Laatst online: 20-02 16:17

Icey

webmail schreef op dinsdag 21 december 2004 @ 22:18:
Ik weet niet precies wat "defaced" is :X
Deface is simpel gezegt de website te vervangen door een andere website.

Stel dat tweakers.net defaced zou zijn, dan zie jij een andere pagina dan tweakers.net. Vaak met teksten als 'owned by xxxhacker' o.i.d. Het is een soort van 'kijk mij eens stoer zijn'.

Sommige defaces, zoals laatst bij sco.com zijn heel erg subtiel, en daardoor ook gewoon goed. Bij sco waren er kleine dingetjes aangepast, waardoor het leek alsof er niks aan de hand was. Maar als je goed keek... Heel subtiel stond er in die website verwerkt teksten als "we own all your code" and "pay us all your money."

:)

dinsdag 21 december 2004 22:36

Acties:
  • anandus
  • Registratie: Februari 2001
  • Niet online

anandus

webmail schreef op dinsdag 21 december 2004 @ 22:18:
Ik weet niet precies wat "defaced" is :X
Maar ik kreeg het volgende berichtje vandaag:

Networm worm "Santy" is spreading. This worm infects only web servers. It infects online discussion forums running phpBB software and defaces them with a text mentioning "NeverEverNoSanity".
Mijn site is nu nog niet teruggezet, dus klik maar even opde link in mijn signature, dan zien je vanzelf wat er dan aangericht wordt (normaal zou het een site over biologie moeten zijn, dus :P )

"Always remember to quick save" - Sun Tzu

dinsdag 21 december 2004 22:37

Acties:
  • simon
  • Registratie: Maart 2002
  • Laatst online: 20-02 10:39

simon

Zorg dat je host z'n php upgrade, heeft * simon dus ook om deze reden gedaan :)

|>

dinsdag 21 december 2004 22:58

Acties:

Verwijderd

Mijn site was gisteravond het slachtoffer, het blijkt vanaf een bepaalde phpbb versie goed raak te zijn. Heb laatste versie geinstalleerd.

Hoorde van mijn host dat er vandaag al 15 fora plat gegaan zijn.

dinsdag 21 december 2004 23:11

Acties:

Verwijderd

Zoals in de andere draad staat, het gaat om een vulnerability in phpBB.

Alles << phpBB 2.0.11 is vulnerable.

Laatste keer dat ik checkte - dat is al een aantal uren geleden - waren er ongeveer 40.000 sites infected.

Write-up worm: http://www.viruslist.com/...ncyclopedia?virusid=68388

Maar ik vraag me af hoe nuttig het is om in twee verschillende topics/fora bezig te zijn over hetzelfde. :)

dinsdag 21 december 2004 23:13

Acties:
  • JoRuZ
  • Registratie: November 2002
  • Laatst online: 15-12-2024

JoRuZ

Uw advertensie hier? Mail mij!

http://www.msnbc.msn.com/id/6742668/

woensdag 22 december 2004 00:19

Acties:
  • Poster
  • Registratie: April 2003
  • Niet online

Poster

Ook http://forum.autovisie.nl/ is defaced :(

woensdag 22 december 2004 00:50

Acties:
  • Xandrios
  • Registratie: Februari 2001
  • Laatst online: 16-02 21:14

Xandrios

Heel vervelend voor jullie. Bug in phpbb, daar moet je zijn voor support & security updates :)
Pagina: 1

Dit topic is gesloten.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq