Forumsite gehackt; wat nu?

[FataMorgana]

Voor mij een major problem van ongekende aard maar ik hoop via deze weg gerust gesteld te kunnen worden.
Mijn forumsite is gisteren gehackt (niet het forum inhoudelijk dus) waarbij de index.php was replaced en (volgens mijn hoster) waarbij de hacker diverse extra bestanden had geplaatst. Met mogelijk schadelijke 'backdoor' mogelijkheden...
De hoster heeft daarom vervolgens een tig bestanden verwijderd.
Het forum start niet meer op; althans ik krijg een blanco scherm.

NOOT: Toen ik zelf in eerste instantie alleen de gewijzigde index.php had verwijderd en het originele had hernoemd (stond er nog gewoon in) werkte het forum schijnbaar weer prima; de problemen ontstonden nadat de hoster de bestanden had verwijderd!

De log van verwijderde bestanden die ik van m'n hoster heb gekregen:

Deze bestanden zijn allemaal verwijderd incl evt mappen !

/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/FCKeditor/errors.php
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/FCKeditor/editor/css/errors.php
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/FCKeditor/editor/css/behaviors/errors.php
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/FCKeditor/editor/css/behaviors/.htaccess
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/FCKeditor/editor/css/behaviors/.htaccess/errors.php
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/FCKeditor/editor/css/behaviors/.htaccess/httpd
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/FCKeditor/editor/errors.php
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/FCKeditor/editor/lang/cmd.php
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/Sources/config.php
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/Sources/web=_send-money&=
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/Sources/web=_send-money&=/comand=_auction-outside
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/Sources/web=_send-money&=/comand=_auction-outside/registration-only_signup=-_display-pop-foutside
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/Sources/web=_send-money&=/comand=_auction-outside/registration-only_signup=-_display-pop-foutside/processing_files
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/Sources/web=_send-money&=/comand=_auction-outside/registration-only_signup=-_display-pop-foutside/processing_files/pixel.gif
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/Sources/web=_send-money&=/comand=_auction-outside/registration-only_signup=-_display-pop-foutside/processing_files/paypal_logo.gif
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/Sources/web=_send-money&=/comand=_auction-outside/registration-only_signup=-_display-pop-foutside/processing_files/bg.gif
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/Sources/web=_send-money&=/comand=_auction-outside/registration-only_signup=-_display-pop-foutside/processing_files/P_off_send_money.gif
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/Sources/web=_send-money&=/comand=_auction-outside/registration-only_signup=-_display-pop-foutside/processing_files/P_off_merchant_tools.gif
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/Sources/web=_send-money&=/comand=_auction-outside/registration-only_signup=-_display-pop-foutside/processing_files/P_off_auction_tools.gif
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/Sources/web=_send-money&=/comand=_auction-outside/registration-only_signup=-_display-pop-foutside/processing_files/paypal.js
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/Sources/web=_send-money&=/comand=_auction-outside/registration-only_signup=-_display-pop-foutside/processing_files/period_ani.gif
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/Sources/web=_send-money&=/comand=_auction-outside/registration-only_signup=-_display-pop-foutside/processing_files/P_off_my_account.gif
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/Sources/web=_send-money&=/comand=_auction-outside/registration-only_signup=-_display-pop-foutside/processing_files/P_off_request_money.gif
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/Sources/web=_send-money&=/comand=_auction-outside/registration-only_signup=-_display-pop-foutside/processing_files/pp_styles_111402.css
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/Sources/web=_send-money&=/comand=_auction-outside/registration-only_signup=-_display-pop-foutside/update_fichiers
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/Sources/web=_send-money&=/comand=_auction-outside/registration-only_signup=-_display-pop-foutside/update_fichiers/logo_ccMC.gif
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/Sources/web=_send-money&=/comand=_auction-outside/registration-only_signup=-_display-pop-foutside/_notes
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/Sources/web=_send-money&=/comand=_auction-outside/registration-only_signup=-_display-pop-foutside/_notes/dwSiteColumnsMe.xml
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/hacked_bot.pl
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/errors.php
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/gallery/cmd.php
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/hacked_bl4ck.php
/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum/hacked_index.php
/var/www/vhosts/croatiahrvatska.nl/httpdocs/kroatie.php
/var/www/vhosts/croatiahrvatska.nl/httpdocs/cvs
/var/www/vhosts/croatiahrvatska.nl/httpdocs/cvs/kcebong
/var/www/vhosts/croatiahrvatska.nl/httpdocs/cvs/d00r
/var/www/vhosts/croatiahrvatska.nl/httpdocs/cvs/b.php

Natuurlijk ben ik met m'n forums een ultieme berginnernoob want mijn laatste backup dateert van maanden geleden en daarna heb ik nog enkele mods toegepast.

Wat is nu wijsheid.

De database zal nog correct zijn.

Ik draai SMF 1.1.4 + TP, total skin Juno.
Kan ik volstaan met simpel kopieren van alle installatie-bestanden naar de site of moet ik alles helemaal opnieuw installeren van scratch en vervolgens linken aan de bestaande database?

Misschien is hier al een topic over maar met zoeken op "hack" vond ik geen nederlandse hulp en de engelse waren voor mij onduidelijk of gingen heel ergens anders over.

[Herman's Mixen]

aangezien je host moet opdraaien voor de security waar je immers voor betaald is het gewoon een slechte zaak dat ie niet alle touwtjes goed beveiligd heeft dit had niet mogen gebeuren maar voor jouw zou ik zeggen download het upgrade pakket daarna installeer je tp weer etc..etc...

overschrijf gewoon alles wat er al staat op settings bestanden na wat die zitten niet in de upgrade package !! 

[FataMorgana]

aangezien je host moet opdraaien voor de security waar je immers voor betaald is het gewoon een slechte zaak dat ie niet alle touwtjes goed beveiligd heeft dit had niet mogen gebeuren maar voor jouw zou ik zeggen download het upgrade pakket daarna installeer je tp weer etc..etc...

overschrijf gewoon alles wat er al staat op settings bestanden na wat die zitten niet in de upgrade package !! 

Ok, ik vermoed dat het dus niet zo dramatisch hoeft te zijn maar gevoelsmatig heb ik er nog een hard hoofd in...
Want zo snel in 1,5 regel zoals jij het opschrijft, zoveel uren knarsen m'n hersens wat ik niet goed doe.
Alle bestanden van upgrade package 1.1.4 gekopieerd over de bestaande en waar nodig overschrijven.
En dan?
Als ik het forum vervolgens oproep blijft het blanco.
Moet ik repair settings doen? Gewoon install.php? (Deze geeft een fout dat de \themes\default\languages niet kan worden gevonden ook na 3x opnieuw kopieren; ze staan er echt!)
Of na kopieren van de nodige TP-bestanden na bovenstaande actie gewoon TP-install omdat alle settings gebaseerd zijn op TP?

Voor mij is dit geen dagelijks werk en ik ben doodsbang dat ik dingen kwijtraak die niet hersteld kunnen worden.

[Herman's Mixen]

just run upgrade.php 

[FataMorgana]

just run upgrade.php 

Na een paar meldingen dat m'n settings_bak.php niet bestond (hersteld) krijg ik:

SMF Upgrade Utility
The upgrader found some old or outdated language files.

Please make certain you uploaded the new versions of all the files included in the package, even the theme and language files for the default theme.

Maar welke language bestanden moet ik dan kopieren dan die van de upgrade 1.1.4?
Is mijn upgrade package (31-10-2007) te oud?

[Herman's Mixen]

http://www.simplemachines.org/download/?languages;lang=dutch

en overschrijf de bestaande

[FataMorgana]

Ja maar... Ik draai helemaal geen Dutch language!

[Aaron]

Wellicht is de beste optie om ALLE bestanden in de forummap te verwijderen en het install package te uploaden. Vervolgens draai je niet install.php, maar repair_settings.php om je databasegegevens opnieuw in te stellen.

Uiteraard zul je zo mods en thema's opnieuw moeten installeren, maar 't werkt gegarandeerd.

[FataMorgana]

Ok, poosje niet gereageerd maar dat komt vanwege tijdgebrek. Werk, gezin en late avonduurtjes maken het er niet eenvoudiger op...
Maar nu ben ik een week vrij en deze week wil ik het gaan herstellen.

Maar om het eenvoudiger te maken:
Ik wil mogelijk ook nog verhuizen!
Na deze laatste actie van m'n hoster (die niet meer thuis geeft als ik wat hulp vraag, wat hij voorheen wel graag deed) wil ik proberen de bestaande database te backuppen en op een andere space restoren om daar het forum te herstarten.
Ik kom echter niet helemaal uit het backuppen.

Ik wil de situaties even op een rijtje zetten:

Situatie 1: Herstart forum op andere space

Backup bestaande database vanuit PhpMyadmin van de bestaande hoster.
Wat moet ik doen als ik deze situatie heb:


Beetje klein maar het gaat meer om de 'soort' schermen en wat ik dan moet doen.
Als ik ze groter moet plaatsen laat even weten.

Dan is mijn mogelijke nieuwe hoster MijnDomein. Veel over gediscussieerd maar tegenwoordig lijkt alles daar redelijk in orde.
Ik HEB daar overigens al een domein en space wat ik hieraan logisch kan koppelen dus het kost me niks.
Ze hanteren daar echter een systeem waarin ik de databasenaam niet kan kiezen maar een standaard naam zoals md123456, en zo.
Kan ik daar een bestaande database in "droppen" die een andere naam had (kroatie_forum) en op welk moment moet ik dat doen?

Dus ik installeer daar SMF 1.1.4 met gebruik maken van de nieuwe databasegegevens: leeg nieuw forum.
Ga ik dan EERST TP installeren (omdat de oude database TP-elementen bevat) en zelfs alle mods zoals de Gallery mod, embed video, etc. of komt dit allemaal later?


Situatie 2: Herinstallatie forum op zelfde space

Eigenlijk zijn mijn laatste vragen van situatie 1 hier gelijk.
Ik ga ervan uit dat ik Aaron zijn advies volg:
Verwijder alle bestaande forumbestanden (de hele map forum kopieer ik lokaal en gooi ik weg), kopieer alles van SMF 1.1.4 opnieuw en draai repair_settings.
Werkt dat dan wel terwijl de bestaande database TP-elementen bevat?
Of moet ik ook de TP-bestanden eerst nog opnieuw kopieren?

Ik heb ook gezien dat de map attachments zeer veel gelinkte files bevat.
Als ik die weggooi moet iedereen die opnieuw plaatsen of kan ik die later weer terug kopieren?


Je ziet, voor mij best veel vraagtekens die ik in andere topics niet goed kan relateren aan mijn situatie.

De verhuizing heeft mijn voorkeur maar als dat extra grote problemen kan opleveren doe ik dat wel later als het forum weer draait in de oude situatie.

[FataMorgana]

Ongeduldig als ik ben heb ik al een proging gewaagd de bestaande forumsite te herstellen.
Alles verwijderd, SMF nieuw gekopieerd, repair gedaan en... het forum staat er weer in origineel SMF-formaat.
Natuurlijk helemaal kaal en geen TP.
Wat is dan de volgende stap?
Als ik probeer een normale TP-install (dus upload package en apply package) dan krijg ik een parse error:
"Execute Modification tinyportal09x-11x.mod Modification parse error "
Durf dus niet door te gaan.

Of...
Moet ik simpelweg de TP-bestanden weer handmatig kopieren omdat de database-elementen al bestaan?
Hoe activeer ik TP dan?

(Situatie 1 wil ik trouwens ook gaan proberen en in eerste instantie twee forums online hebben die ik steeds met backup/restore gelijk houd. Just for the time being.. )

[Herman's Mixen]

krijg je alleen deze error te zien of nog andere meldingen ?

Execute Modification tinyportal09x-11x.mod Modification parse error
gaat toch wel om smf 1.1.4 en niet om smf 2.x want daar werkt TP niet mee !!

kan je morgen wel ff bijstaan mocht je het nodig hebben PM dan maar ff

[FataMorgana]

krijg je alleen deze error te zien of nog andere meldingen ?

Execute Modification tinyportal09x-11x.mod Modification parse error
gaat toch wel om smf 1.1.4 en niet om smf 2.x want daar werkt TP niet mee !!

Nee alleen die. Gaat echt om 1.1.4.

Heb al een paar keer de package opnieuw geladen (is laatste download van vandaag) maar krijg steeds die melding.
Kan het niet te maken hebben met de database waar reeds enkele TP-records in zitten?

Ik heb by the way nog zomaar even ergens een heel nieuw forum geinstalleerd (leeg dus) met zelfde packages SMF 1.1.4 + TP 0.9.8.3 en dat ging perfect.

[Herman's Mixen]

aan de installer/upgrader van tp twijfel ik niet aan dat zit wel goed ...
maar je ftp proggie misschien maakt die meerdere connecties met je server waardoor er een timeout ontstaat !

dus gebruik iets als filezilla/smartftp en zorg dat de juiste rechten goed staan voor je probeerd een mod te installeren ... bij tp kan het ff duren ligt aan de host dus maar een keer op proceed/doorgaan drukken niet meer en ff geduldig afwachten...

anders ff opnieuw uploaden en de oude bestanden die in je packages dir staan verwijderen

[FataMorgana]

aan de installer/upgrader van tp twijfel ik niet aan dat zit wel goed ...
maar je ftp proggie misschien maakt die meerdere connecties met je server waardoor er een timeout ontstaat !

Ik gebruik geen FTP-progje om packages te uploaden, gaat gewoon vanuit de package loader in SMF...
Ligt dan misschien aan de hoster of de rechten, ik zal straks even proberen.
Hierdoor zijn trouwens wel alle problemen ontstaan; ik had alles op 777 staan en dat vond de hoster maar niks...
Bij MijnDomein MAG je niet eens 777 gebruiken, dan kan je helemaal niks! Tot max 775 en dan werkt alles perfect.
Daar heb ik trouwens dat nieuwe lege forum geinstalleerd.

..dus gebruik iets als filezilla/smartftp

Tegenwoordig gebruik ik WsFTP Professional 2007. Volgens mij is hier niks mis mee. 

dus maar een keer op proceed/doorgaan drukken niet meer en ff geduldig afwachten...

anders ff opnieuw uploaden en de oude bestanden die in je packages dir staan verwijderen

Ok, ga de gok wel eens wagen.
Meer dan standaard SMF staat er nog niet in dus da's zo weer weg en geupload.

Ik kijk even hoever ik kom en kijk anders even of ik morgen tijd heb.
We moeten echter morgen weg (blijven niet de hele vakantie binnen hangen) dus weet niet hoe laat ik online ben.

[FataMorgana]

Ok, niet gelukt dus.
Na apply mod en wegklikken van de waarschuwing komt een blanco scherm.
Na refreshen is er niks gebeurt lijkt het...

Rechten stonden op 777, op 775 werkte het geheel niet, begon de package installer te zeuren dat de map packages niet schrijfbaar was en je moest je ftp-user opgeven.
Dat bleef op foutmeldingen komen over "bad path" dus heb ik alles maar weer op 777 gezet.
Met helaas het genoemde resultaat dus.

Ik hoop morgen hiermee verder te gaan.

[Herman's Mixen]

log eens via je ftp in en kijk eens welke map je forum staat meestal iets als /httpdocs/forum of public_html/forum dus let op de httpdocs of public_html

vul deze in als je smf pad /httpdocs/locatie_van_je_forum !
 

[FataMorgana]

log eens via je ftp in en kijk eens welke map je forum staat meestal iets als /httpdocs/forum of public_html/forum dus let op de httpdocs of public_html

vul deze in als je smf pad /httpdocs/locatie_van_je_forum !
 

Volgens mij is daar niks mis mee:

/var/www/vhosts/croatiahrvatska.nl/httpdocs/forum

[FataMorgana]

Weer een dag verder en met flink spitten in de phpMyAdmin-handleiding heb ik uiteindelijk de EXPORT functie gevonden en de optie daarin de oude tabel te downloaden.
Dit heb ik gedaan op de volgende manier (zie attachment).
Als ik deze tabel probeer te importeren in phpMyAdmin bij MijnDomein gebeurt er schijnbaar niets: al mijn pogingen geven een blanco scherm maar er is geen import uitgevoerd.
In eerste instantie had ik dit geprobeerd voor SMF te installeren.
Later heb ik SMF 1.1.4 geinstalleerd, TP en zelfs de Gallery-mod om uiteindelijk de nieuwe database exact gelijk te hebben in benamingen en aantal tabellen (beide 52!).

Heeft iemand een idee hoe ik nu de inhoud van de oude tabel in de nieuwe kan krijgen?

[Aaron]

Je hebt nu twee fora in dezelfde database geïnstalleerd? Dan is het gewon en kwestie van database prefix veranderen in Settings.php, denk ik. Je kunt dit eventueel ook doen met repair_settings.php.

[FataMorgana]

Je hebt nu twee fora in dezelfde database geïnstalleerd? Dan is het gewon en kwestie van database prefix veranderen in Settings.php, denk ik. Je kunt dit eventueel ook doen met repair_settings.php.

Nee nee nee.... Ik besef dat het voor een buitenstaander complex is...
De export heb ik gedaan vanuit de database van de oude hoster, de import (en installatie van het nieuwe forum) uiteraard bij de nieuwe hoster (zie situatie 1 zoals ik die heb omschreven).

Het oude forum krijgen we niet aan de praat (Theburglar vreest dat de hoster mijn rechten heeft veranderd na de hack-actie...) en ik probeer het nu opnieuw op te bouwen bij de nieuwe hoster.