LGH Publicerat November 3, 2014 Share Publicerat November 3, 2014 Hej!En "liten" forumteknisk sak bara: Er IPB-installation förefaller vara infekterad med malware som redirectar till url4short.info om man kommer till ett ämne direkt från en Google-sökning (oftast utan existerande session - tömd cache/icke inloggad). Mer information finns i princip överallt, men framför allt här: http://peter.upfold.org.uk/blog/2013/01/15/cleaning-up-the-ip-board-url4short-mess/ Om ni behöver assistans kan ni hojta till. Ledsen att mitt första inlägg här skulle bli så tråkigt, men nu har jag stört mig länge nog på det här! MVH, LGH Citat Länk till kommentera Dela på andra webbplatser More sharing options...
HerrBerg Publicerat November 3, 2014 Share Publicerat November 3, 2014 Tackar för det, skickar det vidare in till våra forumhaxxors... tack! Citat Länk till kommentera Dela på andra webbplatser More sharing options...
qvarnhill Publicerat November 4, 2014 Share Publicerat November 4, 2014 Japp, så är det, har råkat ut för fenomenet X antal gånger senaste veckan! Citat Länk till kommentera Dela på andra webbplatser More sharing options...
LGH Publicerat November 4, 2014 Författare Share Publicerat November 4, 2014 Tack så mycket HerrBerg! Citat Länk till kommentera Dela på andra webbplatser More sharing options...
Wizard Publicerat November 4, 2014 Share Publicerat November 4, 2014 Kollar omgående! Citat Länk till kommentera Dela på andra webbplatser More sharing options...
Wizard Publicerat November 5, 2014 Share Publicerat November 5, 2014 Hittat och åtgärdas just nu. Kommer att bygga om forumets cache i databasen så det kanske blir lite segt i några sekunder när det sker. Jag har under tiden ändrat den infekterade filen i vår cache så det blir inga redirects från och med för en liten stund sedan. Allt är återställt och lagat inom en halvtimme. Tack för upptäckten! 2 Citat Länk till kommentera Dela på andra webbplatser More sharing options...
Detta är en populär post. Wizard Publicerat November 5, 2014 Detta är en populär post. Share Publicerat November 5, 2014 Nu är det fixat och det skall inte kunna hända igen, men man skall aldrig säga aldrig - även om det extremt sällan kommer in någonting här. 3 Citat Länk till kommentera Dela på andra webbplatser More sharing options...
LGH Publicerat November 6, 2014 Författare Share Publicerat November 6, 2014 Guld! Kvickt jobbat, Wizard! Citat Länk till kommentera Dela på andra webbplatser More sharing options...
Wizard Publicerat November 6, 2014 Share Publicerat November 6, 2014 Det var tveklöst ett av de snyggaste injects jag har sett på många år. Med hjälp av en zero-day bug i IPB - och de kan man lätt räkna på ena handens fingrar under de år de har existerat - så lyckades de gömma en bit skadlig kod i ett attachment som exekverades när det packades upp. Den payload som användes var både obfuskerad och base64 encoded, samt infogades i en genererad fil i vår cache på ett ställe där man faktiskt inte skulle reagera på den, och det tyder också på goda kunskaper om just IPB hos den som skrev själva payload. Detta hack var välgjort med andra ord och även om jag misstycker till att förstöra för oss som vill driva ett gemytligt forum så måste jag ta av mig hatten för ett väl genomtänkt hack! Vi körde förr med rätt mycket egen kod i forumet vilket gjorde att saker som denna inte skulle funka men på senare år har jag migrerat ut den koden till javascript i stället och nu kan vi köra en uppdatering utan handpåläggning. Jag skrev en egen rutin för att spambots inte skulle ta sig in och den koden sitter i dag som standard i IPB eftersom de tyckte min lösning var bra. Så hur fick vi då in denna buggen? Jag vet inte till 100%, och det kommer jag nog aldrig ta reda på heller, men troligen så fick vi in ett attachment för ett par år sedan och som inte kunde exekvera pga tight säkerhet. Under en uppdatering nyligen så av okänd anledning så lyckades den aktivera när en ny cache genererades och det var då ni började se redirects. Jaktsidan har extremt lite lyckade angrepp och förutom denna första lyckade inject så har bara en handfull spambots lyckats registrera de sista fyra åren, och av dem har enbart en lyckats logga in en andra gång och skickat ett handfull pm's - vilket vi upptäckte direkt och raderade. Det är vi stolta över men det fanns en tid när jag raderade mellan 5-10 spambots varje dag!!! När ni upptäcker någonting som känns mysko, och ni inte kör Internet Exploder ( ), försök återskapa problemet och hör av er direkt för vi är noga med vår integritet och säkerhet. Just nu verkar vi ha en IE bug när man skall svara på ett inlägg och jag skall försöka laga det, men den browsern borde ha lagts ner för många år sedan... -Eder gubbe under huven 1 Citat Länk till kommentera Dela på andra webbplatser More sharing options...
MarkusR Publicerat November 6, 2014 Share Publicerat November 6, 2014 Det var tveklöst ett av de snyggaste injects jag har sett på många år. Med hjälp av en zero-day bug i IPB - och de kan man lätt räkna på ena handens fingrar under de år de har existerat - så lyckades de gömma en bit skadlig kod i ett attachment som exekverades när det packades upp. Den payload som användes var både obfuskerad och base64 encoded, samt infogades i en genererad fil i vår cache på ett ställe där man faktiskt inte skulle reagera på den, och det tyder också på goda kunskaper om just IPB hos den som skrev själva payload. Detta hack var välgjort med andra ord och även om jag misstycker till att förstöra för oss som vill driva ett gemytligt forum så måste jag ta av mig hatten för ett väl genomtänkt hack! Vi körde förr med rätt mycket egen kod i forumet vilket gjorde att saker som denna inte skulle funka men på senare år har jag migrerat ut den koden till javascript i stället och nu kan vi köra en uppdatering utan handpåläggning. Jag skrev en egen rutin för att spambots inte skulle ta sig in och den koden sitter i dag som standard i IPB eftersom de tyckte min lösning var bra. Så hur fick vi då in denna buggen? Jag vet inte till 100%, och det kommer jag nog aldrig ta reda på heller, men troligen så fick vi in ett attachment för ett par år sedan och som inte kunde exekvera pga tight säkerhet. Under en uppdatering nyligen så av okänd anledning så lyckades den aktivera när en ny cache genererades och det var då ni började se redirects. Jaktsidan har extremt lite lyckade angrepp och förutom denna första lyckade inject så har bara en handfull spambots lyckats registrera de sista fyra åren, och av dem har enbart en lyckats logga in en andra gång och skickat ett handfull pm's - vilket vi upptäckte direkt och raderade. Det är vi stolta över men det fanns en tid när jag raderade mellan 5-10 spambots varje dag!!! När ni upptäcker någonting som känns mysko, och ni inte kör Internet Exploder ( ), försök återskapa problemet och hör av er direkt för vi är noga med vår integritet och säkerhet. Just nu verkar vi ha en IE bug när man skall svara på ett inlägg och jag skall försöka laga det, men den browsern borde ha lagts ner för många år sedan... -Eder gubbe under huven Jag har INGEN aning om vad du pratar om, men det är helt klart att ni som sköter sidan är på hugget. Det är vi i den illitterata pöbeln som okritiskt kör ie tacksamma för, tack. ;-) 1 Citat Länk till kommentera Dela på andra webbplatser More sharing options...
shamani Publicerat November 6, 2014 Share Publicerat November 6, 2014 Wizard, du som är en riktig trollkarl på området... kan du inte fixa så man kan få tillgång till full textredigering och emoticonerna från surfplatta/mobil? Jag sitter för det mesta med plattan framför blänglådan (tvn...) då datorn är lite otympligare att flytta och ha i knäet. Jag har provat med IE, Firefox, Chrome och nu Opera, men inget av dom funkar. Citat Länk till kommentera Dela på andra webbplatser More sharing options...
Wizard Publicerat November 6, 2014 Share Publicerat November 6, 2014 Wizard, du som är en riktig trollkarl på området... kan du inte fixa så man kan få tillgång till full textredigering och emoticonerna från surfplatta/mobil? Jag sitter för det mesta med plattan framför blänglådan (tvn...) då datorn är lite otympligare att flytta och ha i knäet. Jag har provat med IE, Firefox, Chrome och nu Opera, men inget av dom funkar. Skall kolla om jag kan ändra vår template för tablets. Mobil Chrome har i dag samma stöd som storebror på datorerna så det finns inga tekniska hinder, men det är fortfarande svårt att få in allt på den upplösningen som de flesta tablets har och då blir det inte alltid lyckat med att köra samma template som för datorer. Kan göra ett test i helgen om jag har möjlighet. Citat Länk till kommentera Dela på andra webbplatser More sharing options...
shamani Publicerat November 6, 2014 Share Publicerat November 6, 2014 Skall kolla om jag kan ändra vår template för tablets. Mobil Chrome har i dag samma stöd som storebror på datorerna så det finns inga tekniska hinder, men det är fortfarande svårt att få in allt på den upplösningen som de flesta tablets har och då blir det inte alltid lyckat med att köra samma template som för datorer. Kan göra ett test i helgen om jag har möjlighet. Tack! Du är en liten ängel dessutom.. puss! Citat Länk till kommentera Dela på andra webbplatser More sharing options...
shamani Publicerat November 9, 2014 Share Publicerat November 9, 2014 Dags att testa om mina önskningar har gått igenom med redigering och emoticonerna... och det har det inte. Inte än iaf... Använder Chrome just nu (och fullständig editor) Citat Länk till kommentera Dela på andra webbplatser More sharing options...
Wizard Publicerat November 10, 2014 Share Publicerat November 10, 2014 Dags att testa om mina önskningar har gått igenom med redigering och emoticonerna... och det har det inte. Inte än iaf... Använder Chrome just nu (och fullständig editor) Har inte hunnit än... Citat Länk till kommentera Dela på andra webbplatser More sharing options...
Wizard Publicerat November 12, 2014 Share Publicerat November 12, 2014 Dags att testa om mina önskningar har gått igenom med redigering och emoticonerna... och det har det inte. Inte än iaf... Använder Chrome just nu (och fullständig editor) Den mobila template som IPB har levererat till oss lämnar en hel del att önska om jag skall vara ärlig men för att det skall funka för de flesta mobila enheter så har de skalat bort de flesta dynamiska element, och editorn är uppenbarligen en del av detta. Eftersom user-agent inte skiljer sig från en Android mobiltelefon och en Android tablet så måste man titta på device-name i headers, och det blir fort väldigt mycket underhåll för att hålla detta fungerande... Någon gång i framtiden skall vi uppgradera forumet till IPB 4.0 och då kan jag lägga ner ett större jobb på mobila templates, men i dagsläget är det på tok för mycket jobb om jag skall vara ärlig. Själv skriver jag själv de tecken som ger emoticons i stället för att trycka på någon bild, men jag använder bara tre stycken kanske och då är det inte så svårt att komma ihåg (semikolon + högerparantes) Citat Länk till kommentera Dela på andra webbplatser More sharing options...
shamani Publicerat November 13, 2014 Share Publicerat November 13, 2014 Den mobila template som IPB har levererat till oss lämnar en hel del att önska om jag skall vara ärlig men för att det skall funka för de flesta mobila enheter så har de skalat bort de flesta dynamiska element, och editorn är uppenbarligen en del av detta. Eftersom user-agent inte skiljer sig från en Android mobiltelefon och en Android tablet så måste man titta på device-name i headers, och det blir fort väldigt mycket underhåll för att hålla detta fungerande... Någon gång i framtiden skall vi uppgradera forumet till IPB 4.0 och då kan jag lägga ner ett större jobb på mobila templates, men i dagsläget är det på tok för mycket jobb om jag skall vara ärlig. Själv skriver jag själv de tecken som ger emoticons i stället för att trycka på någon bild, men jag använder bara tre stycken kanske och då är det inte så svårt att komma ihåg (semikolon + högerparantes) Det gör jag på de tre jag kommer ihåg när jag använder plattan... Men finns det möjlighet att göra en lista med de emiconernas komandon? Som semikolon+ högerparentes Hm... Men tack för att du försökte, Wizard! Det är uppskattat. Nu har jag krånglat ut datorn till vardagsrumsbordet, men plattan är ju lite lättare att flytta och hantera... Får ha tålamod och vänta, bara... Story of my life. Citat Länk till kommentera Dela på andra webbplatser More sharing options...
MagnusN Publicerat December 8, 2014 Share Publicerat December 8, 2014 Nu har det hänt igen Citat Länk till kommentera Dela på andra webbplatser More sharing options...
Wizard Publicerat December 8, 2014 Share Publicerat December 8, 2014 Tack! Jag har raderat skiten och lagat vår cache men jag kan fan inte räkna ut hur i h-vete det tar sig in? Någonstans finns det ett hål men inte där det borde vara det för det är igentäppt ordentligt! Lyckligtvis skapar inte detta någon skada eller risk för er användare men det spelar ingen roll för det får bara inte bli så här! Citat Länk till kommentera Dela på andra webbplatser More sharing options...
LGH Publicerat Februari 4, 2015 Författare Share Publicerat Februari 4, 2015 Wizard, hur går det egentligen? Hamnade på en porrsida med jobbdatorn i dag när jag skulle följa en Google-länk till Jaktsidans forum. Väldigt låg lustighetsnivå på det klicket... *hrrmm* På med propellerkepsen, nita alla cachar, sätt skrivskydd på allt som inte ska förändras, kör en find och sortera efter förändrat datum för att se vilka filer som är förändrade...? Förutom så klart tipsen i första länken. Citat Länk till kommentera Dela på andra webbplatser More sharing options...
Wizard Publicerat Februari 4, 2015 Share Publicerat Februari 4, 2015 Jag har skrivit inte mindre än tre patchar nu men eftersom ingen i världen ännu vet vart denna inject tar sig in så är det inte helt enkelt att hitta. Jag har suttit varje dygn och kollat igenom databasen efter den krypterade nyckel som skrivs in inte skall dyka upp men när jag trodde det var slutligen fixat så slutade jag kolla för två veckor sedan... Vad som helst kan injectas när man kommer från tredje part i en URL, och det är en sådan bug de utnyttjat från början troligen. Kontentan är: Använd inte Google för att söka på jaktsidan, använd vår egen sökmotor i forumet fram till att detta är lagat. Förmodligen kommer vi att behöva uppdatera forumet till nästa version för att få bukt på detta problemet men det kräver en hel del jobb. T ex så måste hela vår Svenska template skrivas om från början och det är ett jättestort jobb som tar flera dar. Själv har jag inte så mycket ork mellan varven innan operationen är gjord, och egentligen skulle jag ha opererats förra veckan men det har tydligen blivit förseningar någonstans på kliniken. Jag är inte alltid så sugen på att vara inne och rota i forumet och dess kod när jag ligger och har rejält ont för det brukar inte bli så bra då... Jag tömmer vår cache och bygger om index så klarar vi oss ett tag igen men låt bli att söka via Google för det är så problemet uppstår. Citat Länk till kommentera Dela på andra webbplatser More sharing options...
Wizard Publicerat Februari 4, 2015 Share Publicerat Februari 4, 2015 Den som har skrivit den inject vi har sett här inne har nu skrivit om den och det är därför den har kommit tillbaka för den såg inte lika dan ut när jag kollade i databasen. Jag har rensat bort den från vår cache samt vår databas men det kommer givetvis att komma tillbaka eftersom vi ännu inte vet hur den tar sig in och eftersom requesten in till oss som injectar skiten är UUENCODED så kan jag inte göra en sökning i loggarna eftersom jag inte vet hur den krypterade strängen ser ut. Jag vet bara hur den ser ut uppackad och det är föga hjälp för att söka hur den tar sig in. Men som sagt, fram till att vi har hittat hålet så använd inte Google för att söka på jaktsidan, använd vår egna sökmotor! Citat Länk till kommentera Dela på andra webbplatser More sharing options...
LGH Publicerat Februari 4, 2015 Författare Share Publicerat Februari 4, 2015 Stort tack för det jobb du gör, Wizard. Det är sjukt otacksamt att sitta med sånt! Och nej, jag använder inte Google för att söka på Jaktsidan, men i mitt nyvunna intresse så dyker Jaktsidan regelbundet upp på förstasidan i sökresultaten när jag törstar efter kunskap - vilket väl är ett kvalitetsmått på Jaktsidan (och ett tecken på att Google känner mig väl...)! Citat Länk till kommentera Dela på andra webbplatser More sharing options...
kkjon Publicerat Februari 4, 2015 Share Publicerat Februari 4, 2015 Fattar givetvis inget av vad ni skriver. Men vad menar du (Wizard) när du skriver att vi ska använda våran egna sökmotor? Citat Länk till kommentera Dela på andra webbplatser More sharing options...
Niclas L Publicerat Februari 4, 2015 Share Publicerat Februari 4, 2015 Längst upp till höger finns en sökfunktion för jaktsidan, det är den som Wizard talar om. Använd alltså INTE Google för att söka på jaktsidan utan använd vår interna sökmotor. //Niclas Lundin Citat Länk till kommentera Dela på andra webbplatser More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.