Forum geïnfecteerd met filestore lek

Discussie in 'Helpdesk' gestart door emp1re, 4 apr 2013.

  1. hmeijdam

    hmeijdam

    Lid geworden:
    29 jan 2010
    Berichten:
    1.884
    Locatie:
    Barneveld
    Even melden. net weer even tegen de filestore error aanglopen.
     
  2. NVM

    NVM

    Lid geworden:
    28 mrt 2002
    Berichten:
    5.418
    Ik weet inmiddels hoe ik hem weg krijg, maar nu er nog achter komen hoe te voorkomen dat hij weer word teruggezet door ongetwijfeld een of ander botje wat automatisch een hoop website's afloopt...
     
  3. ptrtjee

    ptrtjee

    Lid geworden:
    4 feb 2013
    Berichten:
    526
    Ik weet bijna zeker dat het met de CHMOD permissies te maken heeft. Blijkbaar worden er toch steeds bestanden vervangen/gewijzigd nadat de oorzaak van het "filestore" probleem is gefixed. Door die permissies te veranderen kan er niets meer vervangen of gewijzigd worden.

    Helaas weet ik niet of het wijzigen van die permissies ook invloed heeft op de "normale" gang van zaken. Zaken als het avatar/profielfoto foldertje hebben meestal een verplichte 777 CHMOD permissie en zijn daardoor vaak doelwit van bots die kwaadaardige scripts of code installeren.

    Edit:
    Indien het onmogelijk is om bepaalde folders van een beperkte permissie (anders dan CHMOD 777) te voorzien omdat het de website anders kan verstoren, dienen zulke folders zo ingesteld te worden dat er geen scripts meer uitgevoerd kunnen worden. Immers in een avatar/profielfoto folder is het niet nodig om .php scripts te draaien want er worden alleen afbeeldingsbestanden opgevraagd.

    Dit blokkeren van scripts kan d.m.v. een simpel .htaccess bestandje.
    Maak een .htaccess bestandje aan met de volgende code:

    Code:
    <Files ~ "\.(php\d*|cgi|pl|phtml)$">
    order allow,deny
    deny from all
    </Files>
    Dat bestandje uploaden naar de folder met een verplichte CHMOD 777 permissie en het zou al een stuk veiliger moeten zijn. Onder anderen de werking .php scripts wordt dan geblokkeerd.
     
    Laatst bewerkt: 11 apr 2013
  4. NVM

    NVM

    Lid geworden:
    28 mrt 2002
    Berichten:
    5.418
    Die ben ik uiteraard al aan het doorlopen, dank je!
     
  5. ptrtjee

    ptrtjee

    Lid geworden:
    4 feb 2013
    Berichten:
    526
    Ik heb overigens ergens gelezen dat het probleem ook veroorzaakt kan worden door "base64_decode". Niet alleen in willekeurige bestanden maar ook in de database, templates en plugins! Overigens niet alle base64_decode regels hoeven kwaadaardig te zijn, maar als iets er raar uit ziet probeer het te decoden, bijvoorbeeld via deze tool: Base 64 Decoder

    Een praktische test
    Dit zou bijvoorbeeld voor kunnen komen in de database, iets wat er verdacht uit ziet en er wellicht niet thuishoort:

    Code:
    <?php eval(base64_decode('SG9pIFJvYmVydCwgbGV1ayBkYXQgamUgZGV6ZSByZWdlbCBoZWJ0IGdlZGVjb2RlZXJkISBEb2UgZGl0IG9vayBiaWogemFrZW4gZGllIGplIG5pZXQgdmVydHJvdXd0LCB3ZWxsaWNodCBrb210IGRlIG9vcnphYWsgdmFuIGRlIG15ZmlsZXN0b3JlIHJlZGlyZWN0IGlzc3VlIG5hYXIgYm92ZW4uIFN1
    Y2Nlcw==')); ?>
    Haal de karakters tussen de ' leestekens maar eens door de decoder. Geen zorgen, dat is niets schadelijks :) Ik heb een stukje tekst gecodeerd zodat je kan uittesten hoe het werkt.
    Klik op "decode safely as text" in die tool om veilig te kunnen decoderen.

    Het dichttimmeren van de bestanden zodat er niets meer geïnjecteerd kan worden is de eerste stap. Dit probleem is niet specifiek voor vBulletin of vBSEO, maar een stuk server security.
    Het opschonen van de bestanden is de tweede stap. Hiermee zorg je ervoor dat alles weer kan worden zoals het was.

    Ik zou voor het opschonen dit even doorlopen: vbulletin hacked? - vBulletin Community Forum.
    Grote kans dat je zaken tegenkomt die er verdacht uit zien en de oorzaak van het probleem kunnen zijn.

    Wel even alles eerst goed veilig stellen natuurlijk :)
     
    Laatst bewerkt: 11 apr 2013
  6. helimark

    helimark

    Lid geworden:
    28 dec 2008
    Berichten:
    22
    Locatie:
    Sliedrecht
    sinds vandaag ook weer last van de melding inderdaad :(
    maar is het schadelijk voor mij(ons, de gebruikers ?)
    mijn scanner geeft niks aan, maar twijfel toch wel.

    suc6 ;)
     
  7. emp1re

    emp1re

    Lid geworden:
    19 dec 2002
    Berichten:
    239
    Direct schadelijk voor de gebruiker is het niet.
    Het kan veel verkeer kosten.. Men zoekt op google iets, men ziet een link naar MBF en men komt op filestore.. Dus die klik is weg.
    Wat kan resulteren in veel minder bezoekers.

    @ Robert Het weghalen is inderdaad niet zo heel moeilijk, maar het wegblijven.
    Wij hadden zelfs een geinfecteerde forumrunner... Ik weet niet hoe het op MBF daar mee zit.

    die .htacces zoals pttertje aangeeft zeker gebruiken in elke 777 map (denk ook om de customavatars en customprofilepics map). Maar ik neem aan dat je die al wel hebt.
     
  8. Wes56

    Wes56

    Lid geworden:
    7 okt 2007
    Berichten:
    1.540
    Locatie:
    Diksmuide (Belgie)
    Ik heb dit ook al een tijdje. Telkens ik de eerste keer de pc opstart en de eerste keer die dag op het modelbouwforum wil gaan.
    Kom ik dan op myfilestore terecht. Na wegklikken heb ik het niet meer.
    Maar de volgende dag weer hetzelfde.
    Mvg Wes.
     
  9. ron van sommeren

    ron van sommeren Forum veteraan

    Lid geworden:
    31 aug 2002
    Berichten:
    29.332
    Locatie:
    halverwege Tiel & Nijmegen, tussen Maas & Waal
    Via Google naar MBF lijkt mij omslachtig. Gewoon een bladwijzer in je browser maken. Of shortcut op desktop maken en daar via eigenschappen een sneltoets aan koppelen. Bij mij start <ctrl><alt>M Firefox, meteen met MBF.
     
  10. Japie.G

    Japie.G

    Lid geworden:
    11 mrt 2010
    Berichten:
    3.960
    Locatie:
    Raalte
    Ehh.. Als ik zoek op google naar een bepaald model/modelbouw gerelateerd onderwerp kom ik ook vaak MBF links tegen. Ik ga echt niet via google naar de homepage van MBF :)
     
  11. bdoets

    bdoets Vriend van modelbouwforum.nl PH-SAM Forum veteraan

    Lid geworden:
    6 aug 2006
    Berichten:
    9.322
    Locatie:
    Harderwijk
    Tja, vaak kom ik op het forum via een email-link naar een draadje dat ik volg, en anders kom ik er via een bladwijzer in Chrome. En ik heb nog nooit iets geks gemerkt aan het forum.
     
  12. Japie.G

    Japie.G

    Lid geworden:
    11 mrt 2010
    Berichten:
    3.960
    Locatie:
    Raalte
    Het gaat alleen om door Google gegenereerde links volgens mij?
     
  13. Ad Bakker

    Ad Bakker In Memoriam

    Lid geworden:
    20 feb 2009
    Berichten:
    9.124
    Locatie:
    Barendrecht (NL)
    Ja, alleen maar in zoekresultaten.

    Groet,

    Ad
     
  14. ron van sommeren

    ron van sommeren Forum veteraan

    Lid geworden:
    31 aug 2002
    Berichten:
    29.332
    Locatie:
    halverwege Tiel & Nijmegen, tussen Maas & Waal
    Bij die mogelijkheid had ik niet stilgestaan Jaap. Ik gebruik daarvoor de uitgebreide zoekfunctie van het forum, meer selectiemogelijkheiden dan Google (subfora, gebruikersnaam, datum ...) en sorteert beter op datum. Rechtermuisklik op de gewone klik -> openen in nieuw venster. Google/IxQuick gebruik ik alleen als ik moet zoeken op zoektermen met minder dan vier karakters, de forumzoekfunctie heeft minstens vier karakters nodig.
     
  15. Tasz

    Tasz

    Lid geworden:
    10 okt 2011
    Berichten:
    3.548
    Locatie:
    Kudelstaart
    Hier ook problemen met google zoeken
     
  16. emp1re

    emp1re

    Lid geworden:
    19 dec 2002
    Berichten:
    239
    Het lijkt toch een lastig probleem te zijn.. Het zit er nog steeds in.
    Net weer een zoekopdracht in google gedaan en jawel.. filestore.
     
  17. Pygmy

    Pygmy

    Lid geworden:
    1 okt 2012
    Berichten:
    102
    Locatie:
    Amsterdam
  18. Robbie TPC

    Robbie TPC Forum veteraan

    Lid geworden:
    17 apr 2007
    Berichten:
    3.612
    Locatie:
    Haarlem
    Toch wel vervelend als je iets zoekt via Google en je wil een MBF link aanklikken, dan kom je bij die pagina terecht :-(
     
  19. bdoets

    bdoets Vriend van modelbouwforum.nl PH-SAM Forum veteraan

    Lid geworden:
    6 aug 2006
    Berichten:
    9.322
    Locatie:
    Harderwijk
    Gek genoeg, zelfs als ik het opzettelijk probeer kom ik gewoon op MBF terecht en nergens anders.
     
  20. Robbie TPC

    Robbie TPC Forum veteraan

    Lid geworden:
    17 apr 2007
    Berichten:
    3.612
    Locatie:
    Haarlem
    Mezelf net een link gestuurd via Gmail en daar doet de link naar MBF het wel, enkel via de zoekmachine van Google krijg ik die pagina. bijvoorbeeld edf forum ingetikt, onderaan de pagina staat een link naar het edf gedeelte van het MBF, aangeklikt en ik kom weer bij die gekke pagina terecht https://www.google.nl/#hl=nl&sclien...38,d.d2k&fp=f2637470e0ebb426&biw=1280&bih=651

    Ik gebruik wel de zoekmachine van het MBF alleen bij minder dan 4 tekens word het een probleem met zoeken.
     

Deel Deze Pagina