[olsserik]

Hej,
Driver ett forum (phpbb) som sedan två dagar har fått några av användarnas virusprogram att larma för skadlig kod på sajten.

Nedan är några skärmdumpar som användare skickat.

Får inga larm själv (Norton) och Google Webmasters har inga larm. Även testat andra onlinetjänster och alla visar grönt.

Kollat FTP och hittar inga filer som ändrade (datum).

En användare fick också larm att en JS fil på sajten var infekterad, kollade denna, hittade inget, men laddade ändå upp en nyare variant (highslide js), men efter det verkar användare få varningar i alla fall.

Kan någon tipsa om något bra, jag har lite kört fast.

Tack!

[Jake.Nu]

phpBB är väl känt för diverse säkerhetshål genom tiderna så det bästa du kan göra är väl att uppgradera till en senare version.

Vad är q.php för något? Är det en sökfunktion? Kanske ligger texten som det varnas på i databasen och då hjälper det inte att ändra filerna.

[olsserik]

Tack för svaret.
Kollade precis och q.php finns inte i databasen heller. Däremot läste jag på ett annat forum om en sajtägare som just en sådan q.php placerad på servern och tydligen kunde hackare då använda koden i filen till att köra saker i GET variabel.

Några fler tips?

Tack!

[olsserik]

Förtydligande. IP numren ovan i bilderna har inget som helst med min server att göra, de verkar komma från USA.

[Jake.Nu]

Ok, ta bort filen och uppdatera phpBB.

[Slacker]

phpBB har en service till hackade phpBB sajter:

If you board has been hacked, please do the following before making any modifications to your board (this includes changing passwords, editing files, running the support toolkit, etc.):
1) Save a copy of the files (simply create a local copy of the files on the server).
2) Save a copy of the database.
3) Save the server access logs for the time of the hack (they may be available in the 'logs' directory on the server, in your host's control panel or only by request directly from your host).
4) File a report in the incident tracker. Attach the items from steps 1-3 when you file the report or upload them to a secure location for the incident investigation team to download. Please do not start a new topic on the board, the proper place for incidents reports is the tracker.

läs mer i denna tråd, där länken till incident tracker finns:
https://www.phpbb.com/community/viewtopic.php?t=2000245

[olsserik]

Hej och tack för svaren.
Det verkar som att sajten inte varit hackad trots allt.
Vad det verkar så var det några användare som hade gammal version av java som infekterats lokalt på deras datorer och när de surfade så triggades grejerna ovan.

Sucuri körde jag första dagen och även gjort så några dagar, inga larm what so ever därifrån.

Lite skumt, kan det vara så enkelt? Jag undrar vad det är som drar igång java på sajten. Men å andra sidan borde fler rapporterat om sajten vart hackad, nu är det ju bara nån promille som rapporterat (4st).