Hoppa till innehåll

Jaktsidans IPB infekterat med malware


LGH

Recommended Posts

Hej!

En "liten" forumteknisk sak bara: Er IPB-installation förefaller vara infekterad med malware som redirectar till url4short.info om man kommer till ett ämne direkt från en Google-sökning (oftast utan existerande session - tömd cache/icke inloggad).

 

Mer information finns i princip överallt, men framför allt här: http://peter.upfold.org.uk/blog/2013/01/15/cleaning-up-the-ip-board-url4short-mess/

 

Om ni behöver assistans kan ni hojta till.

 

Ledsen att mitt första inlägg här skulle bli så tråkigt, men nu har jag stört mig länge nog på det här! :)


MVH,

LGH

Länk till kommentera
Dela på andra webbplatser

Hittat och åtgärdas just nu.

Kommer att bygga om forumets cache i databasen så det kanske blir lite segt i några sekunder när det sker.

 

Jag har under tiden ändrat den infekterade filen i vår cache så det blir inga redirects från och med för en liten stund sedan.

 

Allt är återställt och lagat inom en halvtimme.

 

Tack för upptäckten!

  • Like 2
Länk till kommentera
Dela på andra webbplatser

Det var tveklöst ett av de snyggaste injects jag har sett på många år.

 

Med hjälp av en zero-day bug i IPB - och de kan man lätt räkna på ena handens fingrar under de år de har existerat - så lyckades de gömma en bit skadlig kod i ett attachment som exekverades när det packades upp.

Den payload som användes var både obfuskerad och base64 encoded, samt infogades i en genererad fil i vår cache på ett ställe där man faktiskt inte skulle reagera på den, och det tyder också på goda kunskaper om just IPB hos den som skrev själva payload. Detta hack var välgjort med andra ord och även om jag misstycker till att förstöra för oss som vill driva ett gemytligt forum så måste jag ta av mig hatten för ett väl genomtänkt hack!

 

Vi körde förr med rätt mycket egen kod i forumet vilket gjorde att saker som denna inte skulle funka men på senare år har jag migrerat ut den koden till javascript i stället och nu kan vi köra en uppdatering utan handpåläggning.

Jag skrev en egen rutin för att spambots inte skulle ta sig in och den koden sitter i dag som standard i IPB eftersom de tyckte min lösning var bra.

 

Så hur fick vi då in denna buggen? Jag vet inte till 100%, och det kommer jag nog aldrig ta reda på heller, men troligen så fick vi in ett attachment för ett par år sedan och som inte kunde exekvera pga tight säkerhet.

Under en uppdatering nyligen så av okänd anledning så lyckades den aktivera när en ny cache genererades och det var då ni började se redirects.

 

Jaktsidan har extremt lite lyckade angrepp och förutom denna första lyckade inject så har bara en handfull spambots lyckats registrera de sista fyra åren, och av dem har enbart en lyckats logga in en andra gång och skickat ett handfull pm's - vilket vi upptäckte direkt och raderade. Det är vi stolta över men det fanns en tid när jag raderade mellan 5-10 spambots varje dag!!!

 

När ni upptäcker någonting som känns mysko, och ni inte kör Internet Exploder ( :P ), försök återskapa problemet och hör av er direkt för vi är noga med vår integritet och säkerhet.

Just nu verkar vi ha en IE bug när man skall svara på ett inlägg och jag skall försöka laga det, men den browsern borde ha lagts ner för många år sedan...  <_<

 

-Eder gubbe under huven

  • Like 1
Länk till kommentera
Dela på andra webbplatser

Det var tveklöst ett av de snyggaste injects jag har sett på många år.

Med hjälp av en zero-day bug i IPB - och de kan man lätt räkna på ena handens fingrar under de år de har existerat - så lyckades de gömma en bit skadlig kod i ett attachment som exekverades när det packades upp.

Den payload som användes var både obfuskerad och base64 encoded, samt infogades i en genererad fil i vår cache på ett ställe där man faktiskt inte skulle reagera på den, och det tyder också på goda kunskaper om just IPB hos den som skrev själva payload. Detta hack var välgjort med andra ord och även om jag misstycker till att förstöra för oss som vill driva ett gemytligt forum så måste jag ta av mig hatten för ett väl genomtänkt hack!

Vi körde förr med rätt mycket egen kod i forumet vilket gjorde att saker som denna inte skulle funka men på senare år har jag migrerat ut den koden till javascript i stället och nu kan vi köra en uppdatering utan handpåläggning.

Jag skrev en egen rutin för att spambots inte skulle ta sig in och den koden sitter i dag som standard i IPB eftersom de tyckte min lösning var bra.

Så hur fick vi då in denna buggen? Jag vet inte till 100%, och det kommer jag nog aldrig ta reda på heller, men troligen så fick vi in ett attachment för ett par år sedan och som inte kunde exekvera pga tight säkerhet.

Under en uppdatering nyligen så av okänd anledning så lyckades den aktivera när en ny cache genererades och det var då ni började se redirects.

Jaktsidan har extremt lite lyckade angrepp och förutom denna första lyckade inject så har bara en handfull spambots lyckats registrera de sista fyra åren, och av dem har enbart en lyckats logga in en andra gång och skickat ett handfull pm's - vilket vi upptäckte direkt och raderade. Det är vi stolta över men det fanns en tid när jag raderade mellan 5-10 spambots varje dag!!!

När ni upptäcker någonting som känns mysko, och ni inte kör Internet Exploder ( :P ), försök återskapa problemet och hör av er direkt för vi är noga med vår integritet och säkerhet.

Just nu verkar vi ha en IE bug när man skall svara på ett inlägg och jag skall försöka laga det, men den browsern borde ha lagts ner för många år sedan... <_<

-Eder gubbe under huven

Jag har INGEN aning om vad du pratar om, men det är helt klart att ni som sköter sidan är på hugget. Det är vi i den illitterata pöbeln som okritiskt kör ie tacksamma för, tack. ;-)
  • Like 1
Länk till kommentera
Dela på andra webbplatser

Wizard, du som är en riktig trollkarl på området... kan du inte fixa så man kan få tillgång till full textredigering och emoticonerna från surfplatta/mobil? Jag sitter för det mesta med plattan framför blänglådan (tvn...) då datorn är lite otympligare att flytta och ha i knäet. ;)

Jag har provat med IE, Firefox, Chrome och nu Opera, men inget av dom funkar. :(

Länk till kommentera
Dela på andra webbplatser

Wizard, du som är en riktig trollkarl på området... kan du inte fixa så man kan få tillgång till full textredigering och emoticonerna från surfplatta/mobil? Jag sitter för det mesta med plattan framför blänglådan (tvn...) då datorn är lite otympligare att flytta och ha i knäet. ;)

Jag har provat med IE, Firefox, Chrome och nu Opera, men inget av dom funkar. :(

 

Skall kolla om jag kan ändra vår template för tablets. Mobil Chrome har i dag samma stöd som storebror på datorerna så det finns inga tekniska hinder, men det är fortfarande svårt att få in allt på den upplösningen som de flesta tablets har och då blir det inte alltid lyckat med att köra samma template som för datorer.

 

Kan göra ett test i helgen om jag har möjlighet.

Länk till kommentera
Dela på andra webbplatser

Skall kolla om jag kan ändra vår template för tablets. Mobil Chrome har i dag samma stöd som storebror på datorerna så det finns inga tekniska hinder, men det är fortfarande svårt att få in allt på den upplösningen som de flesta tablets har och då blir det inte alltid lyckat med att köra samma template som för datorer.

 

Kan göra ett test i helgen om jag har möjlighet.

Tack! Du är en liten ängel dessutom.. ;) puss!

Länk till kommentera
Dela på andra webbplatser

Dags att testa om mina önskningar har gått igenom med redigering och emoticonerna... och det har det inte. Inte än iaf...

Använder Chrome just nu (och fullständig editor)

Länk till kommentera
Dela på andra webbplatser

Dags att testa om mina önskningar har gått igenom med redigering och emoticonerna... och det har det inte. Inte än iaf...

Använder Chrome just nu (och fullständig editor)

Har inte hunnit än...

Länk till kommentera
Dela på andra webbplatser

Dags att testa om mina önskningar har gått igenom med redigering och emoticonerna... och det har det inte. Inte än iaf...

Använder Chrome just nu (och fullständig editor)

 

Den mobila template som IPB har levererat till oss lämnar en hel del att önska om jag skall vara ärlig men för att det skall funka för de flesta mobila enheter så har de skalat bort de flesta dynamiska element, och editorn är uppenbarligen en del av detta.

Eftersom user-agent inte skiljer sig från en Android mobiltelefon och en Android tablet så måste man titta på device-name i headers, och det blir fort väldigt mycket underhåll för att hålla detta fungerande...

 

Någon gång i framtiden skall vi uppgradera forumet till IPB 4.0 och då kan jag lägga ner ett större jobb på mobila templates, men i dagsläget är det på tok för mycket jobb om jag skall vara ärlig.

 

Själv skriver jag själv de tecken som ger emoticons i stället för att trycka på någon bild, men jag använder bara tre stycken kanske och då är det inte så svårt att komma ihåg ;) (semikolon + högerparantes)

Länk till kommentera
Dela på andra webbplatser

Den mobila template som IPB har levererat till oss lämnar en hel del att önska om jag skall vara ärlig men för att det skall funka för de flesta mobila enheter så har de skalat bort de flesta dynamiska element, och editorn är uppenbarligen en del av detta.

Eftersom user-agent inte skiljer sig från en Android mobiltelefon och en Android tablet så måste man titta på device-name i headers, och det blir fort väldigt mycket underhåll för att hålla detta fungerande...

 

Någon gång i framtiden skall vi uppgradera forumet till IPB 4.0 och då kan jag lägga ner ett större jobb på mobila templates, men i dagsläget är det på tok för mycket jobb om jag skall vara ärlig.

 

Själv skriver jag själv de tecken som ger emoticons i stället för att trycka på någon bild, men jag använder bara tre stycken kanske och då är det inte så svårt att komma ihåg ;) (semikolon + högerparantes)

 

Det gör jag på de tre jag kommer ihåg när jag använder plattan... :) Men finns det möjlighet att göra en lista med de emiconernas komandon? Som semikolon+ högerparentes ;)

Hm...

 

Men tack för att du försökte, Wizard! :) Det är uppskattat.

 

Nu har jag krånglat ut datorn till vardagsrumsbordet, men plattan är ju lite lättare att flytta och hantera... ;)

 

Får ha tålamod och vänta, bara... Story of my life. ;)

Länk till kommentera
Dela på andra webbplatser

  • 4 weeks later...

Tack!

 

Jag har raderat skiten och lagat vår cache men jag kan fan inte räkna ut hur i h-vete det tar sig in?

Någonstans finns det ett hål men inte där det borde vara det för det är igentäppt ordentligt!

 

Lyckligtvis skapar inte detta någon skada eller risk för er användare men det spelar ingen roll för det får bara inte bli så här!

Länk till kommentera
Dela på andra webbplatser

  • 1 month later...

Wizard, hur går det egentligen? Hamnade på en porrsida med jobbdatorn i dag när jag skulle följa en Google-länk till Jaktsidans forum. Väldigt låg lustighetsnivå på det klicket... *hrrmm*

 

På med propellerkepsen, nita alla cachar, sätt skrivskydd på allt som inte ska förändras, kör en find och sortera efter förändrat datum för att se vilka filer som är förändrade...? Förutom så klart tipsen i första länken.

Länk till kommentera
Dela på andra webbplatser

Jag har skrivit inte mindre än tre patchar nu men eftersom ingen i världen ännu vet vart denna inject tar sig in så är det inte helt enkelt att hitta.

Jag har suttit varje dygn och kollat igenom databasen efter den krypterade nyckel som skrivs in inte skall dyka upp men när jag trodde det var slutligen fixat så slutade jag kolla för två veckor sedan...

 

Vad som helst kan injectas när man kommer från tredje part i en URL, och det är en sådan bug de utnyttjat från början troligen.

 

Kontentan är: Använd inte Google för att söka på jaktsidan, använd vår egen sökmotor i forumet fram till att detta är lagat.

 

Förmodligen kommer vi att behöva uppdatera forumet till nästa version för att få bukt på detta problemet men det kräver en hel del jobb. T ex så måste hela vår Svenska template skrivas om från början och det är ett jättestort jobb som tar flera dar.

 

Själv har jag inte så mycket ork mellan varven innan operationen är gjord, och egentligen skulle jag ha opererats förra veckan men det har tydligen blivit förseningar någonstans på kliniken. Jag är inte alltid så sugen på att vara inne och rota i forumet och dess kod när jag ligger och har rejält ont för det brukar inte bli så bra då... ;)

 

Jag tömmer vår cache och bygger om index så klarar vi oss ett tag igen men låt bli att söka via Google för det är så problemet uppstår.

Länk till kommentera
Dela på andra webbplatser

Den som har skrivit den inject vi har sett här inne har nu skrivit om den och det är därför den har kommit tillbaka för den såg inte lika dan ut när jag kollade i databasen.

 

Jag har rensat bort den från vår cache samt vår databas men det kommer givetvis att komma tillbaka eftersom vi ännu inte vet hur den tar sig in och eftersom requesten in till oss som injectar skiten är UUENCODED så kan jag inte göra en sökning i loggarna eftersom jag inte vet hur den krypterade strängen ser ut.

Jag vet bara hur den ser ut uppackad och det är föga hjälp för att söka hur den tar sig in.

 

Men som sagt, fram till att vi har hittat hålet så använd inte Google för att söka på jaktsidan, använd vår egna sökmotor!

Länk till kommentera
Dela på andra webbplatser

Stort tack för det jobb du gör, Wizard. Det är sjukt otacksamt att sitta med sånt!

Och nej, jag använder inte Google för att söka på Jaktsidan, men i mitt nyvunna intresse så dyker Jaktsidan regelbundet upp på förstasidan i sökresultaten när jag törstar efter kunskap - vilket väl är ett kvalitetsmått på Jaktsidan (och ett tecken på att Google känner mig väl...)!

Länk till kommentera
Dela på andra webbplatser

Fattar givetvis inget av vad ni skriver. Men vad menar du (Wizard) när du skriver att vi ska använda våran egna sökmotor?

Länk till kommentera
Dela på andra webbplatser

Längst upp till höger finns en sökfunktion för jaktsidan, det är den som Wizard talar om.

Använd alltså INTE Google för att söka på jaktsidan utan använd vår interna sökmotor.

//Niclas Lundin

Länk till kommentera
Dela på andra webbplatser

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Gäst
Svara på detta ämne ...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Läser
  • Användare som läser detta    0 medlemmar

    • Inga registrerade användare tittar på detta sida.








×
×
  • Skapa ny...