Allvarligt hack på hemsidan

Clifford · januari 05, 2006, 17.49

Vi blev idag hackade av en bank-imitatör som gjorde en mirror på Bank of Barclay hos oss. För att hindra svindleri stängde b-one sidan. Den är upplåst nu, och forumet åter fixat. Om detta händer EN ENDA gång till så förlorar vi hela domänen med sida och allt, enligt b-ones regler. Det är vårt ansvar att säkerställa hemsida och forum från intrång. Jag kan inte tillräckligt för att fixa detta själv, än mindre hur jag ska förhindra detta från att hända igen.

Här är ett chat-transcript från när jag talade med B-ones support:

Källkod Markera

Chat InformationPlease wait for a site operator to respond.
Chat InformationYou are now chatting with 'Kaychelle'
Kaychelle: Thank you for using B-one Interactive Online Support. My name is Kaye. How may I assist you?
you: Hi, I tried to login to our site www.armagedon.se right now but got a "this site has been suspended"-message. I was wondering if it has been hacked or if the site really has been suspended by you for some reason?
Kaychelle: Your website and FTP has been suspended because of Fake Bank of America pages at:
Kaychelle: http://armagedon.se/onlineid-sessionload/cgi-bin/sso.login.controllernoscript=true/sessiondid=2335454893_Secured152388884&Update/
you: Im sorry, that tells me nothing. What does that link contain, it only gives me the same message again?
you: And fake bank pages? We are a small swedish gaming club, with a forum. We´ve had several hacks of our forum recently and I just updated our phpbb to the latest version, could that be related to this?
Kaychelle: Let me check a bit further
you: Thank you
Kaychelle: YOu need to change the password of your domain.
Kaychelle: Once this is done, kindly get back to me
you: Doing it immediately
Kaychelle: ok
you: done
Kaychelle: I have now unsuspended your FTP. Changes will take effect after 15 minutes
Kaychelle: You need to delete any fake pages on your website.
you: Ill get right on it, thanks for the excellent support! :)
Kaychelle: YOu are welcome. Once this is done, you can get back again so I can unsuspend your website
you: Ok, I think I got the relevant parts deleted, some folders named barclaybank and such.
Kaychelle: Great
Kaychelle: Done. I have unsuspended your website already.
Kaychelle: But please be cautious about this, so it will not happen again.
Kaychelle: Because if the domain is suspended for the second time for the same reason, we will not be able to unsuspend it again
you: I´m not sure how it happened in the first place, there´s only two of us that have the password for the pages.
Kaychelle: Ok.
you: Is it a common problem?
Kaychelle: Yes it is.
you: Any hints on how to avoid it? Or links where I can learn more?
Kaychelle: You need to secure/monitor your forum.
Kaychelle: You can refer to a programmer on how to secure it
you: Now I´m able to access the site again, but my forum gives me a "can´t connect to database"-error when I try to access it. All the files are still in there though.
Kaychelle: I am not sure regarding that, you may have made changes to your forum,
you: No, the forum worked perfectly this morning and I´ve changed nothing. Last week I upgraded it to phpBB 2.018. I´ve been on the phone with my co-admin and he´s as surprised about this as I am. We really don´t know where to begin fixing this mess. Im trying to learn phpMyadmin, seemed like a good place to start. I guess it´s nothing you can do about it anyway, but thanks for all the help.
Kaychelle: You are most welcome. Good Bye and have a nice time =)

Gobbos Spider · januari 05, 2006, 17.59

Skramla ihop penagr fixar jag pistolen. Kolla Ip ring Bodström som nyss skrev på övervaknings lagen och spåra hackern. Jag gör jobbet efter det.

Gud välsigne oss alla.

Gobbo Stefan

emil · januari 05, 2006, 18.19

Tackar, najs att allt funkar igen.

Jag vet ingen som kan hjälpa till med säkerheten tyvärr, om nu inte dagle visar sig behärska den biten? (Han har ju mumlat ngt om att den är dålig)

sebbe · januari 05, 2006, 20.12

jag hoppas att det där är någonting som har hamnat där innan vi uppgraderade forumet, annars måste någon lära sig lite om säkerhet så vi kan förhindra sånt här.

jag är rädd för att det blir jag =)

Clifford · januari 05, 2006, 22.04

kanske att vi är lite säkrare nu då jag bytt lösenord till sidan.

sebbe · januari 05, 2006, 22.49

ja, det är en annan möjlig anledning.

vet inte om det här med register globals eller vad det var kan ha någonting att göra med det. ska kolla upp det när jag får tid och ork.

emil · januari 06, 2006, 04.25

Uhm...? Jag har ju haft passwordet, men jag behöver ju bara ha tillgång till mappen blodboll. Det är ganska viktigt om jag ska kunna hålla igång blodbollandet i framtiden på föreningen. Så hur gör vi?

Alternativt skulle jag ju kunna flytta till någon annan hemsida iofs, det blir pöligt. Men det är ju upp till er om ni anser det vara en säkerhetsrisk att jag har tillgång till hemsidan/blodbollsmappen.

Om inte, så pma gärna det nya passwordet. :roll:

oscar · januari 06, 2006, 12.29

Att ngn har hackat vår sida verkar ha väldigt lite med själva PHP-applikationen att göra. För så vitt jag förstår så är det väl så här:

- Geddon har ett gäng PHP-sidor på en server på B-one
- Dessa sidor utgör ett forum (tillsammans med en databas)
- Hacker tar bort geddons sidor och ersätter med egna sidor

Det är naturligtvis så att dom hackar själva administrationsgränssnittet och inte vårat forum. Kan finnas flera orsaker till detta:

- Mest troligt är att man har kommit över ett lösenord till en Administratör på B-one (och därgenom snott våra lösenord).
- Man har utnyttjat ett säkerhetshål i PHPAdmin-programmet
- Man har kommit åt våra lösenord på ngt annat sätt

Tror att det bästa vi kan göra är att byta lösenord, kolla efter andra (säkrare) webbhotell och hålla tummarna.

Clifford · januari 06, 2006, 12.43

Citat från: "oscar"Att ngn har hackat vår sida verkar ha väldigt lite med själva PHP-applikationen att göra. För så vitt jag förstår så är det väl så här:

- Geddon har ett gäng PHP-sidor på en server på B-one
- Dessa sidor utgör ett forum (tillsammans med en databas)
- Hacker tar bort geddons sidor och ersätter med egna sidor

Det är naturligtvis så att dom hackar själva administrationsgränssnittet och inte vårat forum. Kan finnas flera orsaker till detta:

- Mest troligt är att man har kommit över ett lösenord till en Administratör på B-one (och därgenom snott våra lösenord).
- Man har utnyttjat ett säkerhetshål i PHPAdmin-programmet
- Man har kommit åt våra lösenord på ngt annat sätt

Tror att det bästa vi kan göra är att byta lösenord, kolla efter andra (säkrare) webbhotell och hålla tummarna.

Det är inte helt sant. Vårt PhpBB kräver att vi har samma lösen för det som för hemsidan i övrigt, har jag märkt. Databasen gnällde nämligen när jag bytt lösenord och då var jag tvungen att ändra till samma lösenord i den.
Med andra ord så är vår Php ett hål rätt in i hemsidan i övrigt också.

dagle · januari 06, 2006, 12.53

alltså det var inget fel i deras säkerhet vad jag kunde se, man kunde bara connecta till serverns admin delar med en användare per ip vilket gjorde säkerheten större. Sedan testade jag inte de riktigt olagliga hacken eftersom jag inte ville ta den smällen. PhpBB är ganska säkert nu iaf och säkerhetshålen är inte så farliga. Skall tanka ner och testa alla programmen på min egna server.

Angående register globals så är skulle jag inte säga att det är så farligt. Då det den gör är att den lägger in ett script längst upp på varje phpdocument som gör att den går igenom alla inparametrar och ändrar så att
$_GET['en parameter']=$en_parameter
Det farliga med detta är om man skulle ha ett värde som man har satt lika med något i ett php dokument (typiskt någon av huvudframesen) och sedan så byter man en av framesen eller något annat så bara en del av sidan laddas om och så väljer man att skicka in lite "haxxade" inparametrar till bara den delen som laddas om, då kan man bli hackad.

sebbe · januari 06, 2006, 15.22

jag är ganska säker på att webbhotellet inte är problemet, och inte forumet heller.

min teori är att någon genom att hacka forumet kom åt databaslösenordet, som var samma som ftp-lösenordet. nu kan man inte längre hacka forumet, alltså är vi säkra.

rAWTAZ · januari 29, 2006, 23.37

Citat från: "sebbe"jag är ganska säker på att webbhotellet inte är problemet, och inte forumet heller.

min teori är att någon genom att hacka forumet kom åt databaslösenordet, som var samma som ftp-lösenordet. nu kan man inte längre hacka forumet, alltså är vi säkra.

Jag håller nog med. Dock så vore det ju gott om man kunde ha olika lösen för FTp och DB, men det går alltså inte eller?

Om B-one skulle vara en så allmän säkerhetslös grej skulle man hört om det gissar jag. Sen det där med samma lösen på båda ställena är nog väldigt troligt, om det inte har o göra med den låga versionen på forumet.

Ett tillägg ang domänen (yep, igen ;), armagedon.se kan inte avregistreras av B-one, ej heller armagedon.org, den senare blir ju dock svår att styra om till annan server om det blir en flytt av sidan (som man förhoppningsvis har backup av isf?)