網站被黑客入侵

phpBB Plus Support
本區是討論關於 phpBB 2 plus 使用上的問題討論!
(發表文章請按照公告格式發表,違者砍文)

版主: 版主管理群

HKcities
星球普通子民
星球普通子民
文章: 22
註冊時間: 2004-02-14 01:26
來自: HKcities.COM
聯繫:

網站被黑客入侵

文章 HKcities »

http://www.hkcities.com 這個phpbb forum 被黑客入侵, 已upgrade 至最新version, 請問出現什麼問題

這是最upgrade 的version, 2.0.22, Ctracker也是最upgrade

phpmyadmin 找不到被add的code
HKcities.COM 香港旅遊討論區
圖檔

HKcities
星球普通子民
星球普通子民
文章: 22
註冊時間: 2004-02-14 01:26
來自: HKcities.COM
聯繫:

Re: 網站被黑客入侵

文章 HKcities »

HKcities 寫:www.hkcities.com 這個phpbb forum 被黑客入侵, 已upgrade 至最新version, 請問出現什麼問題

這是最upgrade 的version, 2.0.22, Ctracker也是最upgrade

phpmyadmin 找不到被add的code
剛剛發現問題所在, 已解決 相信Version 2.0.22仍然有漏洞

就是public_html/forum/cache被注入程式~

我刪除了所有cache的程式問題就解決了

以下是被注入程式, 可以給這裡的高人研究, 解決2.0.22的漏洞(沒有病毒的)

http://www.hkcities.com/billy/cache.rar

早前被入侵的情況是討論區background被人改, 上方寫上Hacked by Fawaz , 以及一大段文字
HKcities.COM 香港旅遊討論區
圖檔

Mac
百戰天龍馬蓋先
百戰天龍馬蓋先
文章: 2590
註冊時間: 2003-02-02 02:28
來自: MacphpBBMOD
聯繫:

文章 Mac »



我認為你應該把你的問題跟官方反應

http://www.phpbb.com/security/

~Mac
+ 關於 phpBB 使用問題請在版面發問,私人訊息提供其他不相干或是隱私的事情聯絡之用。

phpBB 官網 | 竹貓星球 | MacphpBBMOD | 我的服務

HKcities
星球普通子民
星球普通子民
文章: 22
註冊時間: 2004-02-14 01:26
來自: HKcities.COM
聯繫:

文章 HKcities »

Mac 寫:

我認為你應該把你的問題跟官方反應

http://www.phpbb.com/security/

~Mac
OK,

我自從1/11至10/11, Ctracker blocked了共有600個attack, 而單單今日10個小時, 已有300個attack blocked。

真的隨時再被人成功入侵, 如果情況不能改善的話, 可能有需要轉用discuz

:-( :-( :-(
HKcities.COM 香港旅遊討論區
圖檔

頭像
心靈捕手
默默耕耘的老師
默默耕耘的老師
文章: 8433
註冊時間: 2004-04-30 01:54
來自: Taiwan

文章 心靈捕手 »

HKcities 寫:
Mac 寫:

我認為你應該把你的問題跟官方反應

http://www.phpbb.com/security/

~Mac
OK,

我自從1/11至10/11, Ctracker blocked了共有600個attack, 而單單今日10個小時, 已有300個attack blocked。

真的隨時再被人成功入侵, 如果情況不能改善的話, 可能有需要轉用discuz

:-( :-( :-(
容易遭受入侵, 不見得是 phpbb 2.0.22 系統本身所致;
因為您使用的 phpbb plus 版本, 乃是在 phpbb 的基礎上, 加入了 '一卡車' 的外掛,
所以也有可能, 問題是出在所添加的外掛身上.

因此, 建議您:
1. 到官方 phpbb plus 去尋求支援.
2. 加入 '正體中文語系由 phpbb-tw 維護製作' 聲明
參考連結:
http://phpbb-tw.net/phpbb/viewtopic.php?t=25752
施比受有福,歡迎來信賜教,謝謝 & 再見!
祝福您 好運 ^_^
歡迎加入★★心靈捕手★★ :: 討論區!!
http://wang5555.hopto.org/phpBB3/
p.s. 奉老婆之命:在晚上十一點前,得關機睡覺!!!

HKcities
星球普通子民
星球普通子民
文章: 22
註冊時間: 2004-02-14 01:26
來自: HKcities.COM
聯繫:

文章 HKcities »

心靈捕手 寫:
HKcities 寫:
Mac 寫:

我認為你應該把你的問題跟官方反應

http://www.phpbb.com/security/

~Mac
OK,

我自從1/11至10/11, Ctracker blocked了共有600個attack, 而單單今日10個小時, 已有300個attack blocked。

真的隨時再被人成功入侵, 如果情況不能改善的話, 可能有需要轉用discuz

:-( :-( :-(
容易遭受入侵, 不見得是 phpbb 2.0.22 系統本身所致;
因為您使用的 phpbb plus 版本, 乃是在 phpbb 的基礎上, 加入了 '一卡車' 的外掛,
所以也有可能, 問題是出在所添加的外掛身上.

因此, 建議您:
1. 到官方 phpbb plus 去尋求支援.
2. 加入 '正體中文語系由 phpbb-tw 維護製作' 聲明
參考連結:
http://phpbb-tw.net/phpbb/viewtopic.php?t=25752
加入了 '正體中文語系由 phpbb-tw 維護製作' 聲明
HKcities.COM 香港旅遊討論區
圖檔

Mac
百戰天龍馬蓋先
百戰天龍馬蓋先
文章: 2590
註冊時間: 2003-02-02 02:28
來自: MacphpBBMOD
聯繫:

文章 Mac »

原來你用的是 Plus 版本啊
這樣的話,就算你回報給 phpBB 知道,他們應該也沒辦法幫你
因為有問題的並不是 phpBB 而是 Plus 版內加裝的外掛導致

我只能說,Ctracker 只會給你錯誤的安全感(false sense of security)
這種東西不是萬能的,重要的還是得你使用的程式沒有漏洞才是最重要的
至少到目前為止,phpBB 2.0.x 並沒有已知的安全漏洞,就算你沒裝 Ctracker 也不會被駭客入侵,這樣你懂吧

~Mac
+ 關於 phpBB 使用問題請在版面發問,私人訊息提供其他不相干或是隱私的事情聯絡之用。

phpBB 官網 | 竹貓星球 | MacphpBBMOD | 我的服務

hsientsung
星球公民
星球公民
文章: 42
註冊時間: 2006-04-06 01:05

文章 hsientsung »

Mac 寫:原來你用的是 Plus 版本啊
這樣的話,就算你回報給 phpBB 知道,他們應該也沒辦法幫你
因為有問題的並不是 phpBB 而是 Plus 版內加裝的外掛導致

我只能說,Ctracker 只會給你錯誤的安全感(false sense of security)
這種東西不是萬能的,重要的還是得你使用的程式沒有漏洞才是最重要的
至少到目前為止,phpBB 2.0.x 並沒有已知的安全漏洞,就算你沒裝 Ctracker 也不會被駭客入侵,這樣你懂吧

~Mac
我也是安裝 plus 版本,但是經常看到 CrackerTracker Professional v5.0.4 後台的 View Logfile 一直出現 has blocked,實在讓人很害怕!

難道沒有大大能夠抽空幫 plus 修正外掛的安全漏洞?
善用搜尋是很棒的選擇,但是~~
爬文好辛苦啊~ (╯▔︹▔)╯~╘═╛

頭像
SCR
竹貓忠實會員
竹貓忠實會員
文章: 330
註冊時間: 2006-03-11 23:21
來自: 網路的小角落

文章 SCR »

hsientsung 寫:難道沒有大大能夠抽空幫 plus 修正外掛的安全漏洞?
假如我把 phpBB 比喻成一隻怪獸的話,那 Plus 就是一隻長了三頭六臂大怪獸.
phpBB 已需要多位開發人員來作 DeBug 或補強升級的工作了,你想誰能有辦法去單獨面對那隻三頭六臂的 Plus ??
有勇氣去裝 Plus 人,就要有勇氣去承擔 Plus 他那一卡車的外掛可能引起的 Bug 漏洞,更別天真到以為裝了 Plus 後,就可以什麼都不用管了,反正只要等待下次 Plus 的升級版本出來,才來作升級動作.........若真有這種天真的想法,可是大錯特錯的.就因為你裝了 Plus ,所以你就得必須付出事後要補強(升級)其各別外掛的工作(我說的是其各別外掛補強,不是等待 Plus 升級).phpBB Plus,本身主體還是一樣跑 phpBB 2,要說本身主體會有安裝漏洞的機率是相當的低,而問題就出在那附加於主體上面為數眾多的外掛身上.誰能保證那些眾多的外掛是各各都無安全疑慮的?
實際的做法就是你得去針對其內部的每個外掛去作各別的補強與修正(這些補強與修正當然有賴你去逐一搜尋),只要找到與 Plus 內部的外掛相同且版本更高者(版本更高者大都意味著其安全性更高),就得立刻自己動手替 Plus 內部的外掛作更新動作.
又或當得知有 Plus 內部的某外掛可能引起安全顧慮,但卻無更新的補強作法時,則將此外掛給各別拆除(至於要怎麼拆,又賴你自己去搜尋..........秘訣:拆與裝其實是一體兩面的).
所以當 Plus 出現安全漏洞時,絕不是消極等待下一次的 Plus 更新版本問世,才來作更新動作,時時更新 Plus 內部的各外掛(或拆除)才是正確的防禦漏洞做法.
知難非行易,知易反行難~~

HKcities
星球普通子民
星球普通子民
文章: 22
註冊時間: 2004-02-14 01:26
來自: HKcities.COM
聯繫:

文章 HKcities »

該黑客今日(13/11) 用同一個方法去HACK 另外一個discuz 4.1.0 網站, 效果和我早前被入侵的phpbb 2.0.22 差不多。
HKcities.COM 香港旅遊討論區
圖檔

michaelchain
星球公民
星球公民
文章: 129
註冊時間: 2006-10-17 03:13

文章 michaelchain »

各位还在使用PHPBB2.0.x系列, 并且论坛上使用了Link MOD的站长, 请立即阅读这份漏洞通告并修正你们的代码, 否则论坛被黑只是时间问题, 取站长的密码MD5只需要粘贴一段地址再点一下鼠标!

http://www.phpbbchina.com/forum/viewtop ... f=1&t=1610

几乎所有使用phpBB2的中文论坛, 都会使用Link MOD, phpBB Plus就是其中之一.
※伺服器主機:Intel Core2 酷睿™2 E6300, 升級到4GB RAM了
※主機作業系統:CentOS 4 Linux
※我的 phpBB 版本:phpBB3.0.?
※我的網址: 中文PHPBB

hsientsung
星球公民
星球公民
文章: 42
註冊時間: 2006-04-06 01:05

文章 hsientsung »

SCR 寫: 假如我把 phpBB 比喻成一隻怪獸的話,那 Plus 就是一隻長了三頭六臂大怪獸.
phpBB 已需要多位開發人員來作 DeBug 或補強升級的工作了,你想誰能有辦法去單獨面對那隻三頭六臂的 Plus ??
有勇氣去裝 Plus 人,就要有勇氣去承擔 Plus 他那一卡車的外掛可能引起的 Bug 漏洞,...
謝謝這位大大的說明,您說的當然有理,但是對於新手來說,要去做這些動作,可能繁複了些。而若要進行外掛的升級,除了去搜尋最新版本來更新之外,我想,重點還是在於
  • 外掛是否有修正到最新版本。
  • 外掛與 plus 搭配在一起是否仍舊有安全漏洞。
謝謝 SCR 大大的詳細說明。
善用搜尋是很棒的選擇,但是~~
爬文好辛苦啊~ (╯▔︹▔)╯~╘═╛

hsientsung
星球公民
星球公民
文章: 42
註冊時間: 2006-04-06 01:05

文章 hsientsung »

michaelchain 寫:各位还在使用PHPBB2.0.x系列, 并且论坛上使用了Link MOD的站长, 请立即阅读这份漏洞通告并修正你们的代码, 否则论坛被黑只是时间问题, 取站长的密码MD5只需要粘贴一段地址再点一下鼠标!
http://www.phpbbchina.com/forum/viewtop ... f=1&t=1610
几乎所有使用phpBB2的中文论坛, 都会使用Link MOD, phpBB Plus就是其中之一.
不好意思,我閱讀了您的文章,要進行修正時,卻找不到你所描述的代碼!
我的論壇版本是 phpBB2 Plus 1.53 based on phpBB 2.0.22
善用搜尋是很棒的選擇,但是~~
爬文好辛苦啊~ (╯▔︹▔)╯~╘═╛

michaelchain
星球公民
星球公民
文章: 129
註冊時間: 2006-10-17 03:13

文章 michaelchain »

并未下載過1.53的代碼, 剛才檢查發現已經有過修改:

代碼: 選擇全部

$start = ( isset($HTTP_GET_VARS['start']) ) ? intval($HTTP_GET_VARS['start']) : 0;

if ( isset($_POST['t']) || isset($_GET['t']) ) 
{
	$t = ( isset($_POST['t']) ) ? $_POST['t'] : $_GET['t'];
} else {
	$t = 'index';
}
if ( isset($_POST['cat']) || isset($_GET['cat']) )
{
	$cat = ( isset($_POST['cat']) ) ? intval($_POST['cat']) : intval($_GET['cat']);
} else {
	$cat = 1;
}
所以不必擔心.

而在phpbb2.de上提供的Links MOD依然有此漏洞存在:
http://www.phpbb2.de/dload.php?action=file&file_id=361

代碼: 選擇全部

//
// Define initial vars
//
$start = ( isset($HTTP_GET_VARS['start']) ) ? intval($HTTP_GET_VARS['start']) : 0;

if ( isset($HTTP_POST_VARS['t']) || isset($HTTP_GET_VARS['t']) ) 
{
	$t = ( isset($HTTP_POST_VARS['t']) ) ? $HTTP_POST_VARS['t'] : $HTTP_GET_VARS['t'];
} else {
	$t = 'index';
}
if ( isset($HTTP_POST_VARS['cat']) || isset($HTTP_GET_VARS['cat']) )
{
	$cat = ( isset($HTTP_POST_VARS['cat']) ) ? $HTTP_POST_VARS['cat'] : $HTTP_GET_VARS['cat'];
} else {
	$cat = 1;
}
利用其中的$cat變量可以向mysql注入高負載查詢直至崩潰

代碼: 選擇全部

249935-# Query_time: 63  Lock_time: 0  Rows_sent: 1  Rows_examined: 0
249998-use phpbb_bb3;
250018-SELECT cat_id, cat_title FROM bb2link_categories WHERE cat_id =
-99 union select
user_password,IF(ORD(SUBSTRING(user_password,1,1))>57,BENCHMARK(4000000,MD5(31337)),1)
FROM bb2users WHERE user_id=2/*;
※伺服器主機:Intel Core2 酷睿™2 E6300, 升級到4GB RAM了
※主機作業系統:CentOS 4 Linux
※我的 phpBB 版本:phpBB3.0.?
※我的網址: 中文PHPBB

頭像
SCR
竹貓忠實會員
竹貓忠實會員
文章: 330
註冊時間: 2006-03-11 23:21
來自: 網路的小角落

文章 SCR »

hsientsung 寫: 但是對於新手來說,要去做這些動作,可能繁複了些。而若要進行外掛的升級,除了去搜尋最新版本來更新之外,我想,重點還是在於
  • 外掛是否有修正到最新版本。
  • 外掛與 plus 搭配在一起是否仍舊有安全漏洞。
這句話會有點令我覺得是拿來當"免死金牌"一樣.
沒錯,當一個想要使用 phpbb 的人來說(新手更是),想要用最簡單的方法又能得到最多功能的就屬 phpBB Plus 了.但不能拿"新手"兩個字來塘塞說是要各別升級 plus 內部所掛的外掛很麻煩,就不用升級了.........你把自己當新手嫌升級麻煩,可駭客卻不會管你是新手而手軟.
michaelchain 寫:各位还在使用PHPBB2.0.x系列, 并且论坛上使用了Link MOD的站长, 请立即阅读这份漏洞通告并修正你们的代码, 否则论坛被黑只是时间问题, 取站长的密码MD5只需要粘贴一段地址再点一下鼠标!

http://www.phpbbchina.com/forum/viewtop ... f=1&t=1610

几乎所有使用phpBB2的中文论坛, 都会使用Link MOD, phpBB Plus就是其中之一.
這一篇提供的就是各別針對Link MOD下去補強的方法,其餘外掛是否仍有安全疑慮還須有待自己去搜尋,總之你勤...就安全些;你懶....那就隨你去吧(到時候就別來哇哇大叫).
知難非行易,知易反行難~~

主題已鎖定

回到「phpBB 2 plus 綜合討論」