---

Ik kwam hem toevallig tegen op mijn website (Fusion 7) en zag dat er ook al melding was gemaakt op de hoofdsite van PHP-Fusion.

De Mysterieuze Super Admin die zomaar ineens verschijnt op de website.
Tot nu toe heeft hij/zij schijnbaar nog geen onheil aangericht. maar ik ben hem al op verschillende Fusion 7 sites tegen gekomen.

Vandaar dat ik iedereen die bijvoorbeeld niet regelmatig op de hoofdsite komt of niet goed met Engels over weg kan hier waarschuwen voor deze ongewenste "Mysterieuze Super Admin"

Hij sluipt langs alle beveiligingen heen!


Volgens miji momenteel de beste oplossing-> verwijderen zodra hij opduikt.
IP blokken heeft geen zin,

.

---

Idd hier bestaan reeds een paar posts over op de UK site en dit is ook gemeld op de crewsite. We zullen alles in het werk stellen om dit zo vlug mogelijk uit te zoeken wat er precies aan de hand is.
We houden jullie op de hoogte

Het beste wat je kan doen is iedereen aanraden een backup te maken van hun database (just in case) en indien mogelijk checken of er daar nergens geïnjecteerde code aanwezig is.
(I know,het is een beetje als zoeken naar een speld in een hooiberg)
Er zijn nog geen meldingen gebeurt omtrend mogelijke hacks dus er is zeker geen reden tot paniek.

We zoeken het zo snel mogelijk uit.

---

Gelieve allemaal het laatste nieuwsbericht te lezen aub op de homepage voor meer info.

---

K*T bedankt voor de melding.
Maar helaas bij mij is hij al binnen gedrongen zie ik net.

Naam is : Cuxebi
Email is: etysys@gmail.com
Datum van aanmelding : January 01 1970 01:00:00 (Dit klopt natuurlijk nooit)
Ip Adres: 0.0.0.0 (blokkeren heeft dus inderdaad geen zin Ip is nep)

Laatste bezoek: Nooit bezocht

Ik weet niet of jullie iets aan deze informatie hebben.
Maar dit is bij mij op eens de nieuwe Super admin.

Weet iemand wat voor bedoeling deze (ik neem aan robot) robot heeft?
Aangezien hij nooit echt ingelogt is geweest. en zich alleen als superbeheerder heeft weten te zetten..

Alvast bedankt
greetings Rob

PS. ik heb in de map ../forum/attachments/rodjb.php Gevonden
Dit is het bestand wat niet klopt.

Als er mensen zijn van de staff hier die het willen onderzoeken zeg het mar dan stuur ik het op.

---

Er is reeds een ontleding gebeurt van de code en er wordt momenteel aan een fix gewerkt

Voorlopig kan je best de mappen in kwestie een 644 CHMOD geven tot er meer is geweten omtrend dit lek en de verdachte files manueel te verwijderen.
Maar er zijn meerdere systemen die met deze shell (c99madshell.php om precies te zijn) te maken hebben gekregen (SMF,phpBB,Wordpress,..) dus niet uitsluitend PHP-Fusion.

---

Heb de matregelen al genomen mijn leden kunnen voor lopig niks meer uplaoden hoop dat dat ff voldoende is het bestand ( rodjb.php) heb ik verwijderd en de nep superbeheerder (Cuxebi) ook.

---

Ik heb net nog een file gevonden in ../administration/db_backups/

---

Sh*T nog geen paar uur verder weer heb ik een nieuwe SuperAdmin

Hier zijn de gegevens.

Naam : Dobiku
E-mailadres : elygaz@gmail.com
Datum van aanmelding: January 01 1970 01:00:00
IP-adres: 0.0.0.0

Ik heb nu search.php
verwijderd.
Alleen maak ik mij een beetje zorgen om die bestanden kan namenlijk nog geen achter gelaten file meer vinden.

---

Waarschijnlijk is er een sql injectie gebeurt voor je search.php had verwijderd. Als je geen files meer kan vinden in de mappen die ik in mijn vorige post hebt vernoemt zit je redelijk safe.

Ik zal dit onderwerp + nieuwsbericht op de homepage updaten van zodra er meer nieuws is hierover.

---

Inmiddels is er een update voor de beveiliging.

Deze is hier te vinden Alleen voor V7

http://www.php-fusion.co.uk/downloads...?cat_id=19

---

Idd ik heb het even in het nieuwsbericht ook vermeld.

---

Het lijkt erop dat deze crisis bezworen is. Gisteren nog tot diep in de nacht bezig geweest om illegale SA en bestanden te verwijderen. Daarna de statistieken ingedoken om met behulp van de tijd van de illegale bestanden het bijbehorende ip op te zoeken. Dit ip adres bleek ook al door verschillende andere Sherlock Holmes te zijn gevonden.

Gelukkig is er een fix en kunnen we weer rustig slapen. Vanaf deze plaats wil ik de alerte reactie van het PHP-Fusion team bedanken.

---

Ik vind dat iedereen van de PHP-Fusion ontwikkelaars/team alle lof verdient voor deze snelle en adequate actie.

Het laat denk ik ook de kracht zien van PHP-Fusion.

We lijken in ieder geval weer veilig te zijn.

---

Zijn hier nog mensen die dit probleem op een PHP-Fusion v6 site hebben gehad?

---

Ik heb nog twee v6 sites draaien, maar geen problemen gehad.

Wat me overigens opviel tijdens de hacks op mijn v7 sites, dat iedere keer op het zelfde tijdstip (RAW logfiles) ik ook referers had van search.live.com.

Ook diverse foute login-pogingen gehad van, naar mijn idee vermoedelijke, 'hackers'.

---

De hackable sites werden waarschijnlijk via zoekmachines gevonden en vervolgens met een bot aangevallen.

---

Tis jammer ik versta geen spaans
Ik snap het niet helemaal, maar ik heb gewoon de site geupload en voor de rest geen beveiliging erop gezet.
Nu ik deze berichten lees, moet ik dan iets aan mijn beveiliging doen ?
Zoja hoe doe ik dit dan ?

---

Zorgen dat je geugrade bent naar de laatste versie (v7.00.1). Als blijkt dat je geen andere php-bestanden hebt anders dan index.php in de mappen ../admnistrations/db_backups/, ../forum/attachments/ en in ../images en enige van de submappen in images (inclusief ../images/photoalbums/submissions/), dan is je site nog schoon en hoef je je geen zorgen te maken.

---

Let wel, dat niet alleen bestanden worden geüpload, de footer/header worden ook aangepast, toen ik de mijne vergeleek met een originele (verse footer.php) bleek er een entry te zijn toegevoegd, die links naar sites toevoegt.(onzichtbaar voor de browser, maar zoekmachine bots zien die wel)