|
Mysterieuze Super Admin
|
| Jelle |
Geplaatst op 10.11.2008 14:52
|
Beheerder
Berichten: 368
Datum van aanmelding: 31.10.08
|
Ik kwam hem toevallig tegen op mijn website (Fusion 7) en zag dat er ook al melding was gemaakt op de hoofdsite van PHP-Fusion.
De Mysterieuze Super Admin die zomaar ineens verschijnt op de website.
Tot nu toe heeft hij/zij schijnbaar nog geen onheil aangericht. maar ik ben hem al op verschillende Fusion 7 sites tegen gekomen.
Vandaar dat ik iedereen die bijvoorbeeld niet regelmatig op de hoofdsite komt of niet goed met Engels over weg kan hier waarschuwen voor deze ongewenste "Mysterieuze Super Admin"
Hij sluipt langs alle beveiligingen heen!
Volgens miji momenteel de beste oplossing-> verwijderen zodra hij opduikt.
IP blokken heeft geen zin,
.
Gewijzigd door Jelle op 10.11.2008 15:09
Sommige mensen drinken stiekem.
Anderen doen in het openbaar bezopen
|
|
|
|
| |
|
|
| Puma |
Geplaatst op 10.11.2008 15:28
|
Superbeheerder
Berichten: 318
Datum van aanmelding: 22.10.08
|
Idd hier bestaan reeds een paar posts over op de UK site en dit is ook gemeld op de crewsite. We zullen alles in het werk stellen om dit zo vlug mogelijk uit te zoeken wat er precies aan de hand is.
We houden jullie op de hoogte 
Het beste wat je kan doen is iedereen aanraden een backup te maken van hun database (just in case) en indien mogelijk checken of er daar nergens geïnjecteerde code aanwezig is.
(I know,het is een beetje als zoeken naar een speld in een hooiberg)
Er zijn nog geen meldingen gebeurt omtrend mogelijke hacks dus er is zeker geen reden tot paniek.
We zoeken het zo snel mogelijk uit.
PUMA |
|
|
|
| |
|
|
| Puma |
Geplaatst op 10.11.2008 18:38
|
Superbeheerder
Berichten: 318
Datum van aanmelding: 22.10.08
|
Gelieve allemaal het laatste nieuwsbericht te lezen aub op de homepage voor meer info.
PUMA |
|
|
|
| |
|
|
| rob |
Geplaatst op 10.11.2008 20:36
|
Junior Lid
Berichten: 25
Datum van aanmelding: 05.11.08
|
K*T bedankt voor de melding.
Maar helaas bij mij is hij al binnen gedrongen zie ik net.
Naam is : Cuxebi
Email is: etysys@gmail.com
Datum van aanmelding : January 01 1970 01:00:00 (Dit klopt natuurlijk nooit)
Ip Adres: 0.0.0.0 (blokkeren heeft dus inderdaad geen zin Ip is nep)
Laatste bezoek: Nooit bezocht
Ik weet niet of jullie iets aan deze informatie hebben.
Maar dit is bij mij op eens de nieuwe Super admin.
Weet iemand wat voor bedoeling deze (ik neem aan robot) robot heeft?
Aangezien hij nooit echt ingelogt is geweest. en zich alleen als superbeheerder heeft weten te zetten..
Alvast bedankt
greetings Rob
PS. ik heb in de map ../forum/attachments/rodjb.php Gevonden
Dit is het bestand wat niet klopt.
Als er mensen zijn van de staff hier die het willen onderzoeken zeg het mar dan stuur ik het op.
Gewijzigd door rob op 10.11.2008 20:49
[img]http://skiddo.nl/signchat/signchat.php[/img] |
|
|
|
| |
|
|
| Puma |
Geplaatst op 10.11.2008 21:34
|
Superbeheerder
Berichten: 318
Datum van aanmelding: 22.10.08
|
Er is reeds een ontleding gebeurt van de code en er wordt momenteel aan een fix gewerkt
Voorlopig kan je best de mappen in kwestie een 644 CHMOD geven tot er meer is geweten omtrend dit lek en de verdachte files manueel te verwijderen.
Maar er zijn meerdere systemen die met deze shell (c99madshell.php om precies te zijn) te maken hebben gekregen (SMF,phpBB,Wordpress,..) dus niet uitsluitend PHP-Fusion.
Gewijzigd door Puma op 10.11.2008 21:35
PUMA |
|
|
|
| |
|
|
| rob |
Geplaatst op 10.11.2008 21:43
|
Junior Lid
Berichten: 25
Datum van aanmelding: 05.11.08
|
Heb de matregelen al genomen mijn leden kunnen voor lopig niks meer uplaoden hoop dat dat ff voldoende is het bestand ( rodjb.php) heb ik verwijderd en de nep superbeheerder (Cuxebi) ook.
[img]http://skiddo.nl/signchat/signchat.php[/img] |
|
|
|
| |
|
|
| Puma |
Geplaatst op 10.11.2008 21:49
|
Superbeheerder
Berichten: 318
Datum van aanmelding: 22.10.08
|
Ik heb net nog een file gevonden in ../administration/db_backups/
PUMA |
|
|
|
| |
|
|
| rob |
Geplaatst op 11.11.2008 05:56
|
Junior Lid
Berichten: 25
Datum van aanmelding: 05.11.08
|
Sh*T nog geen paar uur verder weer heb ik een nieuwe SuperAdmin
Hier zijn de gegevens.
Naam : Dobiku
E-mailadres : elygaz@gmail.com
Datum van aanmelding: January 01 1970 01:00:00
IP-adres: 0.0.0.0
Ik heb nu search.php
verwijderd.
Alleen maak ik mij een beetje zorgen om die bestanden kan namenlijk nog geen achter gelaten file meer vinden.
[img]http://skiddo.nl/signchat/signchat.php[/img] |
|
|
|
| |
|
|
| Puma |
Geplaatst op 11.11.2008 06:07
|
Superbeheerder
Berichten: 318
Datum van aanmelding: 22.10.08
|
Waarschijnlijk is er een sql injectie gebeurt voor je search.php had verwijderd. Als je geen files meer kan vinden in de mappen die ik in mijn vorige post hebt vernoemt zit je redelijk safe.
Ik zal dit onderwerp + nieuwsbericht op de homepage updaten van zodra er meer nieuws is hierover.
PUMA |
|
|
|
| |
|
|
| rob |
Geplaatst op 11.11.2008 18:31
|
Junior Lid
Berichten: 25
Datum van aanmelding: 05.11.08
|
Inmiddels is er een update voor de beveiliging.
Deze is hier te vinden Alleen voor V7
http://www.php-fu...?cat_id=19
[img]http://skiddo.nl/signchat/signchat.php[/img] |
|
|
|
| |
|
|
| Puma |
Geplaatst op 11.11.2008 20:25
|
Superbeheerder
Berichten: 318
Datum van aanmelding: 22.10.08
|
Idd ik heb het even in het nieuwsbericht ook vermeld.
PUMA |
|
|
|
| |
|
|
| Wanabo |
Geplaatst op 11.11.2008 22:51
|
Beheerder
Berichten: 301
Datum van aanmelding: 30.10.08
|
Het lijkt erop dat deze crisis bezworen is. Gisteren nog tot diep in de nacht bezig geweest om illegale SA en bestanden te verwijderen. Daarna de statistieken ingedoken om met behulp van de tijd van de illegale bestanden het bijbehorende ip op te zoeken. Dit ip adres bleek ook al door verschillende andere Sherlock Holmes te zijn gevonden.
Gelukkig is er een fix en kunnen we weer rustig slapen. Vanaf deze plaats wil ik de alerte reactie van het PHP-Fusion team bedanken.
ISP Gebruikers Groepen Nederland;
Alice, Anno,
CaiWay, KabelNoord, Glasvezel, KPN, Online, T-Mobile, Tele2, Telfort, UPC, VodaFone, XS4ALL, ZeelandNet, Ziggo
ISP Gebruikers Groepen België;
Base, Belgacom, Dommel, dxADSL, EDPnet, FullADSL, NumeriCable, Scarlet, TeleNet, Voo
 Ad-Vertise.nl: Gratis online adverteren.
 -Pages.Com, voeg je PHP-Fusion site toe!
Geld verdienen met je site?
|
|
|
|
| |
|
|
| Jelle |
Geplaatst op 11.11.2008 23:14
|
Beheerder
Berichten: 368
Datum van aanmelding: 31.10.08
|
Ik vind dat iedereen van de PHP-Fusion ontwikkelaars/team alle lof verdient voor deze snelle en adequate actie.
Het laat denk ik ook de kracht zien van PHP-Fusion.
We lijken in ieder geval weer veilig te zijn.
Sommige mensen drinken stiekem.
Anderen doen in het openbaar bezopen
|
|
|
|
| |
|
|
| muscapaul |
Geplaatst op 12.11.2008 09:38
|
Superbeheerder
Berichten: 76
Datum van aanmelding: 24.10.08
|
Zijn hier nog mensen die dit probleem op een PHP-Fusion v6 site hebben gehad?
Paul
Time flies like an arrow, fruit flies like banana (Groucho Marx)
www.diptera.info
www.muscapaul.com |
|
|
|
| |
|
|
| Jelle |
Geplaatst op 12.11.2008 09:48
|
Beheerder
Berichten: 368
Datum van aanmelding: 31.10.08
|
Ik heb nog twee v6 sites draaien, maar geen problemen gehad.
Wat me overigens opviel tijdens de hacks op mijn v7 sites, dat iedere keer op het zelfde tijdstip (RAW logfiles) ik ook referers had van search.live.com.
Ook diverse foute login-pogingen gehad van, naar mijn idee vermoedelijke, 'hackers'.
Sommige mensen drinken stiekem.
Anderen doen in het openbaar bezopen
|
|
|
|
| |
|
|
| muscapaul |
Geplaatst op 12.11.2008 10:56
|
Superbeheerder
Berichten: 76
Datum van aanmelding: 24.10.08
|
De hackable sites werden waarschijnlijk via zoekmachines gevonden en vervolgens met een bot aangevallen.
Paul
Time flies like an arrow, fruit flies like banana (Groucho Marx)
www.diptera.info
www.muscapaul.com |
|
|
|
| |
|
|
| Roshi |
Geplaatst op 18.11.2008 00:39
|
Junior Lid
Berichten: 26
Datum van aanmelding: 13.11.08
|
Tis jammer ik versta geen spaans 
Ik snap het niet helemaal, maar ik heb gewoon de site geupload en voor de rest geen beveiliging erop gezet.
Nu ik deze berichten lees, moet ik dan iets aan mijn beveiliging doen ?
Zoja hoe doe ik dit dan ? |
|
|
|
| |
|
|
| muscapaul |
Geplaatst op 18.11.2008 07:09
|
Superbeheerder
Berichten: 76
Datum van aanmelding: 24.10.08
|
Zorgen dat je geugrade bent naar de laatste versie (v7.00.1). Als blijkt dat je geen andere php-bestanden hebt anders dan index.php in de mappen ../admnistrations/db_backups/, ../forum/attachments/ en in ../images en enige van de submappen in images (inclusief ../images/photoalbums/submissions/), dan is je site nog schoon en hoef je je geen zorgen te maken.
Paul
Time flies like an arrow, fruit flies like banana (Groucho Marx)
www.diptera.info
www.muscapaul.com |
|
|
|
| |
|
|
| jojotjuh |
Geplaatst op 20.12.2008 12:20
|
Nieuweling
Berichten: 3
Datum van aanmelding: 20.12.08
|
Let wel, dat niet alleen bestanden worden geüpload, de footer/header worden ook aangepast, toen ik de mijne vergeleek met een originele (verse footer.php) bleek er een entry te zijn toegevoegd, die links naar sites toevoegt.(onzichtbaar voor de browser, maar zoekmachine bots zien die wel) |
|
|
|
| |
|
| 
| 
Navigatie
