Forum geïnfecteerd met filestore lek

Discussie in 'Helpdesk' gestart door emp1re, 4 apr 2013.

  1. emp1re

    emp1re

    Lid geworden:
    19 dec 2002
    Berichten:
    239
    Voorlopig zijn we er nog niet van verlost..
    Kun je er niet uitkomen Robert ?.. waar draait het forum op ?
    Misschien kunnen de leden meedenken.
     
  2. Psygho (Emil)

    Psygho (Emil) Forum veteraan

    Lid geworden:
    7 jan 2004
    Berichten:
    15.654
    Locatie:
    Prov. Drenthe.
    Idd wel jammer...
     
  3. corecrusher

    corecrusher

    Lid geworden:
    28 jul 2007
    Berichten:
    72
    ook een paar keer gehad dat ik iets opzocht en op de filestore kwam . echter als je op cache drukt van google ,zie je de pagina wel ,oké een cache versie ,maar je komt er wel.
     
  4. Psygho (Emil)

    Psygho (Emil) Forum veteraan

    Lid geworden:
    7 jan 2004
    Berichten:
    15.654
    Locatie:
    Prov. Drenthe.
    Best rete ittitant, want ik zoek veel via google, omdat de search functie van het forum niet echt lekker werkt, en nu zit je mooi met de gebaken peren... Ook niet goed voor iedere ander die via google hier komt. En dat zijn er nog wel veel, dus je loopt ook nog eens inkomsten mis!
     
  5. ron van sommeren

    ron van sommeren Forum veteraan

    Lid geworden:
    31 aug 2002
    Berichten:
    29.332
    Locatie:
    halverwege Tiel & Nijmegen, tussen Maas & Waal
    Emil, heb je voorbeelden van wat met forumzoek niet lukt, naast zoeken op minder dan vier tekens?
     
    Laatst bewerkt: 25 apr 2013
  6. jorgen

    jorgen

    Lid geworden:
    6 jul 2011
    Berichten:
    66
    Locatie:
    Almelo
    Een voorbeeld waar ik het mee heb: Google zoeken naar "wltoys v959". De link staat helemaal onderaan.

    De eerste keer wordt ik door verwezen naar een niet bestaand bestand op myfilestore. Als ik vervolgens terug ga (back button in browser) en weer dezelfde link aanklik krijg ik wel de juiste pagina.

    Edit:

    Overigens wordt veel uitgelegd over dit lek in deze thread.

    Deze post laat zien hoe het lek werkt.

    De beste oplossing, op basis van de weinige info die ik heb is is het her-installeren van de geïnfecteerde files (doe een grep op 'eval') en zorg ervoor dat de nieuwe, schone files niet schrijfbaar zijn voor de server. Helaas is eval() in de standaard PHP distributie niet uit te schakelen.
     
    Laatst bewerkt: 25 apr 2013
  7. Ad Bakker

    Ad Bakker In Memoriam

    Lid geworden:
    20 feb 2009
    Berichten:
    9.124
    Locatie:
    Barendrecht (NL)
    Dat reproduceert hier, inderdaad!!!

    Groet,

    Ad
     
  8. Baggeraar

    Baggeraar

    Lid geworden:
    31 jan 2010
    Berichten:
    15.448
    Locatie:
    H&NF
    Als ik op die link (met mbf quadcopter camera) klik, laat alleen avast weten dat er een troyan paard is geblokkeerd en opent vervolgens als normaal de pagina en kan ik het draadje lezen.

    Lijkt me dat avast de rommel buiten houdt en je gewoon naar de gewenste link laat gaan.
    Andere virusscanner nemen??? (dan kan je in ieder geval gewoon bekijken wat je zoekt.)
     
  9. Psygho (Emil)

    Psygho (Emil) Forum veteraan

    Lid geworden:
    7 jan 2004
    Berichten:
    15.654
    Locatie:
    Prov. Drenthe.
    Zat! Zoek maar eens op een draadje van jezelf met meerdere woorden, dat werkt niet echt.. In google, dioe je een paar steek woorden en dan mbf erachter en pats!, altijd de eerste link is al de juiste. Dat lukt me nooit met de zoekfuntie hier... Of het moet aan mij liggen.. ;)
     
  10. bdoets

    bdoets Vriend van modelbouwforum.nl PH-SAM Forum veteraan

    Lid geworden:
    6 aug 2006
    Berichten:
    9.322
    Locatie:
    Harderwijk
    ik heb dit ook eens geprobeerd... met de MBF zoekfunctie was de 1e link de juiste, met Google de vierde of zo (overigens ook niet echt slecht). Nog nooit een filestore probleem gehad. Ik gebruik Windows 7 en Chrome.
     
  11. ron van sommeren

    ron van sommeren Forum veteraan

    Lid geworden:
    31 aug 2002
    Berichten:
    29.332
    Locatie:
    halverwege Tiel & Nijmegen, tussen Maas & Waal
    Uitgebreide zoekfunctie gebruiken Emil. En dan kun je nog kiezen op zoeken naar draadjes met reacties van jezelf of draadjes gestart door jezelf. Ik hoop dat de uitgebreide zoekfunctie met de nieuwe forumsoftware de standaard-zoekfunctie wordt.
    Rechtermuisklik op de gewone zoek, vervolgens openen in nieuw venster:
    www.modelbouwforum.nl/forums/search.php
    Ander voordeel, van beide forumzoekfuncties, ze sorteren beter op datum. Google gebruik ik alleen maar voor zoeken op minder dan vier karakters.
     
  12. smeets116

    smeets116

    Lid geworden:
    14 aug 2011
    Berichten:
    17
    Locatie:
    Landgraaf
    even kort gezocht naar de filestore hack, en kwam al snel de volgende pagina tegen

    Filestore Redirect Hack - How to Fix Your Forum - vBulletin SEO Forums

    De heren op dit forum geven aan dat vrijwel alle informatie opgeslagen in de database nu uitgelekt kan zijn.
    Dit is reden genoeg om je wachtwoord te gaan veranderen. Als je deze login/wachtwoord vaker gebruikt (dus op andere sites) is het aan te raden deze ook te veranderen.

    Hackers weten dat mensen dezelfde wachtwoorden vaker gebruiken. Het is makkelijker om 1 wachtwoord te onthouden van voor elke site een andere te gebruiken.

    Als de database uitgelekt is, kunnen hackers deze informatie gebruiken om toegang te krijgen op andere sites.

    Als wachtwoorden gecodeerd zijn opgeslagen, wordt het voor een hacker moeilijker maar niet onmogelijk om deze te decoderen.

    als ik google chrome opstart en het internetadres direct in de adresbalk intyp, wordt ik ook doorgelinkt naar de filestore website.

    heeft dus niets met google te maken.
     
  13. emp1re

    emp1re

    Lid geworden:
    19 dec 2002
    Berichten:
    239
    Waarom horen we er niks meer over ??
    Het zit er nog steeds in.. Dat kan toch niet goed zijn lijkt me.

    Het is inderdaad mogelijk (niet dat het gebeurt is) dat de database is/wordt uitgelezen
     
  14. Ad Bakker

    Ad Bakker In Memoriam

    Lid geworden:
    20 feb 2009
    Berichten:
    9.124
    Locatie:
    Barendrecht (NL)
    Ik vrees dat het een hardnekkig probleem is.

    Aan de andere kant, wat is het ergste dat er kan gebeuren. Volgens mij dat de email adressen gejat worden. Vervelend, want dan kan het zijn dat je door spam wordt overladen. Maar ik zie dat nog niet zo snel gebeuren.

    Groet,

    Ad
     
  15. emp1re

    emp1re

    Lid geworden:
    19 dec 2002
    Berichten:
    239
    Wachtwoorden ?
     
  16. bryan417

    bryan417

    Lid geworden:
    14 jul 2010
    Berichten:
    2.589
    Locatie:
    Zaandam
    Als ik op zo'n link van google klik heb ik het ook. Maar dan ga ik terug naar google en dan klik ik nog eens op de link en dan doet de link het wel...
     
  17. Ad Bakker

    Ad Bakker In Memoriam

    Lid geworden:
    20 feb 2009
    Berichten:
    9.124
    Locatie:
    Barendrecht (NL)
    Ja, maar die zijn encrypted, nog een taaie klus om die te ontrafelen. En dan? Kunnen ze m'n PB's bekijken, daar staat niets geheims in. Ik zie echt niet wat ze meer kunnen veroorzaken dan wat ongemak. Los daarvan, ik heb zo'n zelfde (maar veel en veel kleiner) forum onder beheer. Als ik als beheerder in de PB data base ga kijken zou het een hels karwei zijn om daar echt iets uit te halen. Ik zie niet in wie bereid is zoveel tijd te investeren voor iets wat niets opbrengt.

    Voor Robert ligt dat heel anders, natuurlijk.

    Groet,

    Ad
     
  18. emp1re

    emp1re

    Lid geworden:
    19 dec 2002
    Berichten:
    239
    Ik denk dat men niet zoveel moeite neemt om de database uit te spitten...:D.. het is ze echt te doen om naar filestore te gaan ..(dat zijn hun inkomsten).

    Maar als ze in staat zijn om een exploit lek te gebruiken, dan zal het encrypting systeem wat vbull gebruikt toch ook niet het moeilijkste zijn voor die gasten.. :D.

    Wij konden niks terugvinden over database misbruik.. puur gebruik maken van een lek systeem om filestore links er in te parkeren.
     
  19. Ad Bakker

    Ad Bakker In Memoriam

    Lid geworden:
    20 feb 2009
    Berichten:
    9.124
    Locatie:
    Barendrecht (NL)
    Kennelijk gebruiken ze slechte lijm, want na één keer heen en weer is de link "losgelaten", en kom je wel op de bedoelde link.

    Ik maak nooit bewust gebruik van de Google zoekfunctie voor het forum, dus heb er ook weinig last van. Het blijft irritant dat een site zo gemanipuleerd kan worden. Regelgeving en handhaving op internet, waardoor dit soort misbruik uitgebannen kan worden is kennelijk ook moeilijk.
     
  20. smeets116

    smeets116

    Lid geworden:
    14 aug 2011
    Berichten:
    17
    Locatie:
    Landgraaf
    toch wel belangrijk om dan te melden dat je ip adres ook meestal bewaard wordt. Als je hier hetzelfde wachtwoord gebruikt als in je router (thuis) dan zou ik deze uit voorzorg toch veranderen, of een goeie firewall inschakelen.

    Je weet maar nooit wat voor miezerige misselijke gasten dit gedaan hebben, en wat de bedoeling is. En hun bedoelingen zijn nooit goed voor ons.
     

Deel Deze Pagina