Potrzebuję pomocy. Forum zostało zhackowane.

[vBB]

Efekt: www.swiatczcionki.pl

Nic dodać, nic ująć. Jak to naprawić? Hasła nie są zmienione, zostały stare...

[Gość xDanielxmc]

A o co mniej więcej chodzi ? To jest twoja strona ?

PS : Teraz widzę, że usuwasz pliki ze strony.

Edytowane 17 Marca 2010 przez xDanielxmc

[Marek607]

przede wszystkim zmień najpierw hasło do ftp

Nie jest to czasami zwykły plik index.html??

Ostatnio widziałem hackera ktory wstawił index.html a na resztę plików dal chmod 0

Edytowane 17 Marca 2010 przez Marek607

[vBB]

Zastąpili cały plik conf_global.php takim czymś:

<script language="JavaScript1.2">

/*
Top-Down scrolling window Script-
© Dynamic Drive (www.dynamicdrive.com)
For full source code, installation instructions,
100's more free DHTML scripts, and Terms Of
Use, visit dynamicdrive.com
*/

//change 1 to another integer to alter the scroll speed. Greater is faster
var speed=1
var currentpos=0,alt=1,curpos1=0,curpos2=-1
function initialize(){
startit()
}
function scrollwindow(){
if (document.all)
temp=document.body.scrollTop
else
temp=window.pageYOffset
if (alt==0)
alt=1
else
alt=0
if (alt==0)
curpos1=temp
else
curpos2=temp
if (curpos1!=curpos2){
if (document.all)
currentpos=document.body.scrollTop+speed
else
currentpos=window.pageYOffset+speed
window.scroll(0,currentpos)
}
else{
currentpos=0
window.scroll(0,currentpos)
}
}
function startit(){
setInterval("scrollwindow()",30)
}
window.onload=initialize
</script>

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!-- saved from url=(0018)http://07-ksa.com/ -->
<HTML><HEAD><TITLE>[ Hacked By : z3ran gaza HaCK3eR ]</TITLE>
<META http-equiv=Content-Language content=en-us>
<META http-equiv=Content-Type content="text/html; charset=windows-1252">
<STYLE type=text/css>BODY {
SCROLLBAR-FACE-COLOR: #000000; SCROLLBAR-HIGHLIGHT-COLOR: #000000; SCROLLBAR-SHADOW-COLOR: #000000; SCROLLBAR-3DLIGHT-COLOR: #ffffff; SCROLLBAR-ARROW-COLOR: #ffffff; SCROLLBAR-TRACK-COLOR: #000000; SCROLLBAR-DARKSHADOW-COLOR: #ffffff
}
BODY {
CURSOR: crosshair
}
</STYLE>

<META content="MSHTML 6.00.2900.2180" name=GENERATOR></HEAD>
<BODY style="FONT-FAMILY: fixedsys; TEXT-ALIGN: center" bgColor=#000000>
<DIV dir=ltr align=center>
<SPAN 
style="FILTER: blur(add=1,direction=90,strength=25); HEIGHT: 30px">
<P align=center><FONT style="FONT-SIZE: 40pt" face=Impac color=#536172>
</FONT><FONT style="FONT-SIZE: 35pt" face=Impact color=#FF0000>z3ran gaza HaCK3eR 
</FONT><FONT style="FONT-SIZE: 35pt" face=Impact color=#536172></FONT></P>
<P align=center><SPAN style="FILTER: blur(add=1,direction=90,strength=20)"><FONT 

</style>
<meta name="keywords" content="GESOO">
<meta name="description" content="GESOO">
</head><body bgcolor="#000000" style="background-attachment: fixed">
<div align="center">
<span style="height: 30px;">
<table id="table1" style="border: 4px dotted rgb(238, 238, 238); color: rgb(51, 51, 51); background-color: rgb(0, 0, 0);" border="1" bordercolor="#102636" cellpadding="1" width="850" height="1108">

	<tbody>
		<tr style="border: medium none rgb(51, 51, 51); color: rgb(255, 255, 255);">
			<td style="border: medium none rgb(51, 51, 51); color: rgb(255, 255, 255);" align="center" valign="baseline">
			<div style="position: relative;">
				<div align="center">
					<p class="style1"><font class="lazez_bar">

<p align="center">
 </p>
<p align="center">
<img border="0" src="http://www5.0zz0.com/2009/04/29/15/522461314.jpg" width="400" height="300"></p>

<P><FONT face=Times New Roman><FONT color=#FDD017 size=6>AdM!n TiMe OuT ...... PRINT
</FONT></P>
<P><FONT face=Times New Roman><FONT color=#FF0000 size=8>z3ran gaza HaCK3eR
</FONT></P><P><FONT face=Times New Roman><FONT color=#FDD017 size=6>WaS HeRe
</FONT></P>
<p align="center">
 </p>
<p align="center">
<img border="0" src="http://www.al-mot.com/a/Sensemann_files/a-00007.jpg" width="480" height="552"></p>
<p align="CENTER"><font size="5" face="Times New Roman" color=#ff0000>ThIs SiTe HaS BeEn HaCkEd By...... z3ran gaza HaCK3eR</font></p>
<p align="center">
 </p>
<p align="center">
<img border="0" src="http://dc01.arabsh.com/i/00089/c27vl7ffnpr4.gif" width="300" height="150"></p>



<p align="CENTER"><font size="5" face="Times New Roman" color=#ff0000>I aM: A FrEe PaLeStIn!aN's HaCK3eR</font></p><br><br><br><br><br><br>
<p align="CENTER"><font size="5" face="Times New Roman" color=#FDD017>I DoN't ApPeAr InTelLeGaNcE, BuT I AiM To DeStRoY InTeLlEgAnT</font></p><br><br><br><br><br><br>
<p align="CENTER"><font size="5" face="Times New Roman" color=#ff0000>DoN't ChAlLeNg A PeRsOn WhO HaS N0N To LoSe</font></p><br><br><br><br><br><br>
<p align="CENTER"><font size="5" face="Times New Roman" color=#FDD017>PlAyInG WiTh Ch!LdReN DoSeN't EnTeRtA!N Me
</font></p>


<p align="center">
 </p>
<p align="center">
<img border="0" src="http://www.al-mot.com/a/101/041.gif" width="200" height="200"></p>


<p align="CENTER"><font size="5" face="Times New Roman" color=#ff0000>SkY Sm!LeS OnCe, BuT YoU WilL Sm!Le MoRe WiTh Me</font></p><br><br><br><br><br><br>
<p align="CENTER"><font size="5" face="Times New Roman" color=#FDD017>WiTh Me YoU ArE N0N</font></p>
<p align="center">
 </p>
<p align="center">
<img border="0" src="http://www.al-mot.com/a/Blut_files/aa__blut.gif" width="300" height="250"></p>
<p align="CENTER"><font size="5" face="Times New Roman" color=#ff0000>AdM!n DoN't CrY..... CrY!Ng Is N0T A MaN's ShArM</font></p><br><br><br><br><br><br>
<p align="center">
 </p>
<p align="center">
<img border="0" src="http://www.al-mot.com/a/E_files/a-mail3.gif" width="95" height="65">
<DIV align=center><FONT style="FONT-SIZE: 50pt" color=#FF0000 face="Times New Roman"><FONT size=6><IMG border=0 alt="لا تزعج الموتى بقبورهم" src="http://dc05.arabsh.com/i/00721/eni36ewdinc1.gif" width=65 height=78><A href="mailto:[email protected]">[email protected]</A><FONT size=4 face="Hesham Free"><IMG border=0 alt="لا تزعج الموتى بقبورهم" src="http://dc05.arabsh.com/i/00721/eni36ewdinc1.gif" width=65 height=78></FONT></FONT><BR></FONT></DIV>
<a bookmark="minipanel" style="font-weight: normal; text-decoration: none; font-style:italic">
<P><P align=center><FONT face=Times New Roman color=#536172 size=5>[</FONT><FONT size=5><FONT 
face=Times New Roman color=#f5f5f5> Copyright </FONT><FONT face=Times New Roman
color=#536172>:</FONT><FONT face=Times New Roman color=#f5f5f5> 2 0 0 9 - 2 0 10 
</FONT></FONT><SPAN style="FONT-FAMILY: Times New Roman"><FONT color=#f5f5f5 size=5>© 
</FONT><FONT color=#536172 size=5>]</FONT></SPAN></P></p></p></p></p></p></p>

<font size="5" face="Times New Roman" color=#ff0000>demo3 hacke3r</font></p><br><br><br><br><br><br>

<DIV align=center><FONT style="FONT-SIZE: 50pt" color=#FF0000 face="Times New Roman"><FONT size=6><IMG border=0 alt="لا تزعج الموتى بقبورهم" src="http://dc05.arabsh.com/i/00721/eni36ewdinc1.gif" width=65 height=78><A href="mailto:[email protected]">[email protected]</A><FONT size=4 face="Hesham Free"><IMG border=0 alt="لا تزعج الموتى بقبورهم" src="http://dc05.arabsh.com/i/00721/eni36ewdinc1.gif" width=65 height=78></FONT></FONT><BR></FONT></DIV>
<a bookmark="minipanel" style="font-weight: normal; text-decoration: none; font-style:italic">
<P><P align=center><FONT face=Times New Roman color=#536172 size=5>[</FONT><FONT size=5><FONT 
face=Times New Roman color=#f5f5f5>  </FONT><FONT face=Times New Roman
color=#536172>:</FONT><FONT face=Times New Roman color=#f5f5f5>  
</FONT></FONT><SPAN style="FONT-FAMILY: Times New Roman"><FONT color=#f5f5f5 size=5> 
</FONT><FONT color=#536172 size=5>]</FONT></SPAN></P></p></p></p></p></p></p>

<p align="center">
 </p>
<p align="center">
<img border="0" src="http://www.al-mot.com/a/Explosion_files/a_ex007.gif" width="290" height="200"></p>

<div align="center">
					<p class="style1"> </p>
				</div>
				<div align="center">
					<pre><b><font color="#ffffff" size="4" face="Courier New"><span style="background-color: #FF0000">####</span></font></b></pre>
					<pre><b><font color="#ffffff" size="4" face="Courier New"><span style="background-color: #FF0000">##</span></font></b></pre>

					<pre><b><font color="#ffffff" size="4" face="Courier New"><span style="background-color: #FF0000">#</span></font></b></pre>
				</div><blink>
				<p align="center">
				<font color="#ffffff" size="6">
				<span style="background-color: #FF0000">»Z3Ran gAzA  Hâ©k3eR«.</span></font><font color="#ffffff" size="2" face="Akhbar MT"> </font></p>
				</blink></div>
			<p align="center"><font color="#ff0000" size="5">
			<span lang="ar-sa">
<embed name="video" pluginspage="http://www.real.com/player/" src="http://downloadsun.com/temp/demo3.mp3" hidden="true" type="audio/x-pn-realaudio-plugin" loop="true" autostart="true" nojava="true" controls="ControlPanel,StatusBar" maintainaspect="false" width="165" height="46"></span></font></p>
			</td>
		</tr>
	</tbody>
</table></span></div>
</script>
</html>

Hasła już zmieniam, nie wiem tylko, jak przywrócić zawartość tego pliku...

[Gość xDanielxmc]

Co do conf global.php stwórz plik na nowo o treści :

<?php

$INFO['sql_driver'] = 'mysql';

$INFO['sql_host'] = 'tutaj wpisz host';

$INFO['sql_database'] = 'tutaj wpisz nazwe bazy danych';

$INFO['sql_user'] = 'tutaj wpisz usera';

$INFO['sql_pass'] = 'tutaj wpisz haslo';

$INFO['sql_tbl_prefix'] = '';

$INFO['sql_debug'] = '1';

$INFO['sql_charset'] = '';

$INFO['board_start'] = '1264796247';

$INFO['installed'] = '1';

$INFO['php_ext'] = 'php';

$INFO['safe_mode'] = '1';

$INFO['board_url'] = 'tutaj wpisz link swojej strony z http://';

$INFO['banned_group'] = '5';

$INFO['admin_group'] = '4';

$INFO['guest_group'] = '2';

$INFO['member_group'] = '3';

$INFO['auth_group'] = '1';

$INFO['use_friendly_urls'] = '1';

$INFO['_jsDebug'] = '0';

$INFO['mysql_tbl_type'] = 'MyISAM';

define('IN_DEV', 0);

?>

Uzupełnij treść swoimi danymi.

[vBB]

Dzięki. Właśnie to zrobiłem. Pozmieniałem hasła do wszystkiego. Poszukam jeszcze gdzieś śmieci w plikach...

Swoją drogą, to dziwny ten hack strasznie, muszę poszukać informacji, jak zabezpieczyć forum. Ciekawe, czy to przez lukę w skrypcie czy mój błąd...

Edytowane 17 Marca 2010 przez vBB

[Gość xDanielxmc]

Może być dużo powodów. Zapewne w instalacji podałeś swój prawdziwy email i jeżeli email umieściłeś także w swoim profilu to bardzo łatwo jest złamać hasło do poszty, potem przypomnieć hasło do panelu itd.

Pisz jeszcze jak jakieś pliczki będziesz musiał pozmieniać.

[vBB]

Hasło do poczty nie zostało zmienione, tak samo jak do panelu, co by wykluczało możliwość hacka e-maila. Mam swoją teorię: wczoraj miałem problem z total commanderem, nie mogłem wysłać paru plików na FTP. Ściągnąłem więc FileZille i tam zapamiętałem hasło. Muszę jeszcze sprawdzić komputer pod kątem wirusów, wszystko wydaję się niby być ok...

[vBB]

Patrząc na to: http://www.google.com/search?q=Hacked%20By%20:%20z3ran%20gaza%20HaCK3eR&source-id=Mozilla%20Firefox&start=0 - to trochę tego jest...

Mam nadzieję, że to nie jest luka w skrypcie...

[mlodszy]

Takie zalecenia dla Ciebie:

Zaktualizowanie Antywirusa

Użycie Firewalla

SpyBot S&D

Ad-Aware by Lavasoft

Potem na PW możesz podrzucić log z HiJackThis.

Z tym TotalCommanderem mi się kojarzy jakaś luka, czy coś. Skąd go wziąłeś? :>

[Dr R.I.P]

A czy miałeś na conf_global chmody 444?!

[prosiaczq]

Jak już wszystko naprawisz to warto zainteresować się zakładką Security Center w panelu administracyjnym.

[vBB]

Takie zalecenia dla Ciebie:

Zaktualizowanie Antywirusa

Użycie Firewalla

SpyBot S&D

Ad-Aware by Lavasoft

Potem na PW możesz podrzucić log z HiJackThis.

Z tym TotalCommanderem mi się kojarzy jakaś luka, czy coś. Skąd go wziąłeś? :>

Mam KIS2010 oryginalny i zaktualizowany. Jeśli chodzi o same wirusy, to nie ma raczej żadnego na kompie. Sprawdzałem logi z wielu programów (znam się na tym na tyle, że sam sobie sprawdzam ), skanowałem KIS i SpyBot'em i wszystko ok.

Co do Total Commandera, to również mam oryginał, najnowszą dostępna wersję.

Z zakładki centrum bezpieczeństwa już wszystko wykonałem, dzięki

[vBB]

Miałem CHMOD na conf_global.php ustawiony na 644, zmieniłem na 444.

[Łukasz]

Total Commander- beznadziejny program zaopatrz się w CuteFTP Professional

Ps.

podeślij mlodszy HiJackThis na pw można na niego liczyć zaufany człowiek.

Edytowane 17 Marca 2010 przez Łukasz

[vBB]

Podeślę te logi, ale to już jutro

Total Commander- beznadziejny program zaopatrz się w CuteFTP Professional

Jakieś uzasadnienie? Że TC nie jest najwyższych lotów to wiem, ale o CuteFTP też różne opinie chodzą

[Łukasz]

Ja tylko wyraziłem swoja opinie.

Coś co jest do wszystkiego jest do niczego....

[vBB]

W porządku, po prostu spytałem TC w wersji 7.5 jest bardzo bezpieczny, ale i tak najlepiej nie zapamiętywać haseł do FTP.

[vBB]

No i okazało się, że jak do tej pory, przeskanowałem cały dysk i znalazło mi jednego trojana na partycji, której wcześniej nie skanowałem...... widocznie, został jeszcze z czasów avasta, skoro w ogóle się tam dostał... Podeślę te logi do @mlodszy jutro.

[DawPi]

być może ktoś użył niedawno odkrytej luki? Zalecam wgrać najnowszą łatkę!

[vBB]

Wgrałem łatkę kilka minut po tym, jak tylko wyszła

Mnie się wydaję, chociaż mogę się mylić, że winny był CHMOD 644 na plik conf_global.php... Teraz ustawiłem na 444.

Nic się nie zmieniło, sprawdziłem pliki. Tylko zawartość tego pliku była zmieniona na tę, co podałem wyżej.

[DawPi]

To wgraj jeszcze raz, bo została zaktualizowana.

Winnym nie mógł być chmod. Niby w jaki sposób?

[vBB]

Faktycznie Wgrałem łatkę

Co do chmodu, to nie wiem, ale podobno da się napsuć...