Forum geïnfecteerd met filestore lek
- Topicstarter emp1re
- Startdatum
Ik weet bijna zeker dat het met de CHMOD permissies te maken heeft. Blijkbaar worden er toch steeds bestanden vervangen/gewijzigd nadat de oorzaak van het "filestore" probleem is gefixed. Door die permissies te veranderen kan er niets meer vervangen of gewijzigd worden.
Helaas weet ik niet of het wijzigen van die permissies ook invloed heeft op de "normale" gang van zaken. Zaken als het avatar/profielfoto foldertje hebben meestal een verplichte 777 CHMOD permissie en zijn daardoor vaak doelwit van bots die kwaadaardige scripts of code installeren.
Edit:
Indien het onmogelijk is om bepaalde folders van een beperkte permissie (anders dan CHMOD 777) te voorzien omdat het de website anders kan verstoren, dienen zulke folders zo ingesteld te worden dat er geen scripts meer uitgevoerd kunnen worden. Immers in een avatar/profielfoto folder is het niet nodig om .php scripts te draaien want er worden alleen afbeeldingsbestanden opgevraagd.
Dit blokkeren van scripts kan d.m.v. een simpel .htaccess bestandje.
Maak een .htaccess bestandje aan met de volgende code:
Dat bestandje uploaden naar de folder met een verplichte CHMOD 777 permissie en het zou al een stuk veiliger moeten zijn. Onder anderen de werking .php scripts wordt dan geblokkeerd.
Helaas weet ik niet of het wijzigen van die permissies ook invloed heeft op de "normale" gang van zaken. Zaken als het avatar/profielfoto foldertje hebben meestal een verplichte 777 CHMOD permissie en zijn daardoor vaak doelwit van bots die kwaadaardige scripts of code installeren.
Edit:
Indien het onmogelijk is om bepaalde folders van een beperkte permissie (anders dan CHMOD 777) te voorzien omdat het de website anders kan verstoren, dienen zulke folders zo ingesteld te worden dat er geen scripts meer uitgevoerd kunnen worden. Immers in een avatar/profielfoto folder is het niet nodig om .php scripts te draaien want er worden alleen afbeeldingsbestanden opgevraagd.
Dit blokkeren van scripts kan d.m.v. een simpel .htaccess bestandje.
Maak een .htaccess bestandje aan met de volgende code:
Code:
<Files ~ "\.(php\d*|cgi|pl|phtml)$">
order allow,deny
deny from all
</Files>Dat bestandje uploaden naar de folder met een verplichte CHMOD 777 permissie en het zou al een stuk veiliger moeten zijn. Onder anderen de werking .php scripts wordt dan geblokkeerd.
Laatst bewerkt:
Ik heb overigens ergens gelezen dat het probleem ook veroorzaakt kan worden door "base64_decode". Niet alleen in willekeurige bestanden maar ook in de database, templates en plugins! Overigens niet alle base64_decode regels hoeven kwaadaardig te zijn, maar als iets er raar uit ziet probeer het te decoden, bijvoorbeeld via deze tool: Base 64 Decoder
Een praktische test
Dit zou bijvoorbeeld voor kunnen komen in de database, iets wat er verdacht uit ziet en er wellicht niet thuishoort:
Haal de karakters tussen de ' leestekens maar eens door de decoder. Geen zorgen, dat is niets schadelijks
Ik heb een stukje tekst gecodeerd zodat je kan uittesten hoe het werkt.
Klik op "decode safely as text" in die tool om veilig te kunnen decoderen.
Het dichttimmeren van de bestanden zodat er niets meer geïnjecteerd kan worden is de eerste stap. Dit probleem is niet specifiek voor vBulletin of vBSEO, maar een stuk server security.
Het opschonen van de bestanden is de tweede stap. Hiermee zorg je ervoor dat alles weer kan worden zoals het was.
Ik zou voor het opschonen dit even doorlopen: vbulletin hacked? - vBulletin Community Forum.
Grote kans dat je zaken tegenkomt die er verdacht uit zien en de oorzaak van het probleem kunnen zijn.
Wel even alles eerst goed veilig stellen natuurlijk
Een praktische test
Dit zou bijvoorbeeld voor kunnen komen in de database, iets wat er verdacht uit ziet en er wellicht niet thuishoort:
Code:
<?php eval(base64_decode('SG9pIFJvYmVydCwgbGV1ayBkYXQgamUgZGV6ZSByZWdlbCBoZWJ0IGdlZGVjb2RlZXJkISBEb2UgZGl0IG9vayBiaWogemFrZW4gZGllIGplIG5pZXQgdmVydHJvdXd0LCB3ZWxsaWNodCBrb210IGRlIG9vcnphYWsgdmFuIGRlIG15ZmlsZXN0b3JlIHJlZGlyZWN0IGlzc3VlIG5hYXIgYm92ZW4uIFN1
Y2Nlcw==')); ?>Haal de karakters tussen de ' leestekens maar eens door de decoder. Geen zorgen, dat is niets schadelijks
Ik heb een stukje tekst gecodeerd zodat je kan uittesten hoe het werkt.Klik op "decode safely as text" in die tool om veilig te kunnen decoderen.
Het dichttimmeren van de bestanden zodat er niets meer geïnjecteerd kan worden is de eerste stap. Dit probleem is niet specifiek voor vBulletin of vBSEO, maar een stuk server security.
Het opschonen van de bestanden is de tweede stap. Hiermee zorg je ervoor dat alles weer kan worden zoals het was.
Ik zou voor het opschonen dit even doorlopen: vbulletin hacked? - vBulletin Community Forum.
Grote kans dat je zaken tegenkomt die er verdacht uit zien en de oorzaak van het probleem kunnen zijn.
Wel even alles eerst goed veilig stellen natuurlijk
Laatst bewerkt:
Direct schadelijk voor de gebruiker is het niet.sinds vandaag ook weer last van de melding inderdaad
maar is het schadelijk voor mij(ons, de gebruikers ?)
mijn scanner geeft niks aan, maar twijfel toch wel.
suc6
Het kan veel verkeer kosten.. Men zoekt op google iets, men ziet een link naar MBF en men komt op filestore.. Dus die klik is weg.
Wat kan resulteren in veel minder bezoekers.
@ Robert Het weghalen is inderdaad niet zo heel moeilijk, maar het wegblijven.
Wij hadden zelfs een geinfecteerde forumrunner... Ik weet niet hoe het op MBF daar mee zit.
die .htacces zoals pttertje aangeeft zeker gebruiken in elke 777 map (denk ook om de customavatars en customprofilepics map). Maar ik neem aan dat je die al wel hebt.
ron van sommeren
Forum veteraan
Via Google naar MBF lijkt mij omslachtig. Gewoon een bladwijzer in je browser maken. Of shortcut op desktop maken en daar via eigenschappen een sneltoets aan koppelen. Bij mij start <ctrl><alt>M Firefox, meteen met MBF.
Ehh.. Als ik zoek op google naar een bepaald model/modelbouw gerelateerd onderwerp kom ik ook vaak MBF links tegen. Ik ga echt niet via google naar de homepage van MBF
Ad Bakker
In Memoriam
ron van sommeren
Forum veteraan
Bij die mogelijkheid had ik niet stilgestaan Jaap. Ik gebruik daarvoor de uitgebreide zoekfunctie van het forum, meer selectiemogelijkheiden dan Google (subfora, gebruikersnaam, datum ...) en sorteert beter op datum. Rechtermuisklik op de gewone klik -> openen in nieuw venster. Google/IxQuick gebruik ik alleen als ik moet zoeken op zoektermen met minder dan vier karakters, de forumzoekfunctie heeft minstens vier karakters nodig.
Heel feel vbulletin fora hebben problemen nu (rctech.net bv ook).
Url123 Redirect. Tried everything, I am at wits end. - vBulletin SEO Forums
Url123 Redirect. Tried everything, I am at wits end. - vBulletin SEO Forums
Robbie TPC
Forum veteraan
Toch wel vervelend als je iets zoekt via Google en je wil een MBF link aanklikken, dan kom je bij die pagina terecht :-(
Robbie TPC
Forum veteraan
Mezelf net een link gestuurd via Gmail en daar doet de link naar MBF het wel, enkel via de zoekmachine van Google krijg ik die pagina. bijvoorbeeld edf forum ingetikt, onderaan de pagina staat een link naar het edf gedeelte van het MBF, aangeklikt en ik kom weer bij die gekke pagina terecht https://www.google.nl/#hl=nl&sclien...38,d.d2k&fp=f2637470e0ebb426&biw=1280&bih=651
Ik gebruik wel de zoekmachine van het MBF alleen bij minder dan 4 tekens word het een probleem met zoeken.
Ik gebruik wel de zoekmachine van het MBF alleen bij minder dan 4 tekens word het een probleem met zoeken.