X

Synthforum hack - post mortem

Collapse
 
  • Filter
  • Tijd
  • Tonen
Clear All
nieuwe berichten

    Synthforum hack - post mortem

    Hallo forumleden,

    Zoals jullie vermoedelijk hebben opgemerkt, was het forum deze namiddag onbeschikbaar nadat het forum weer werd gehacked. Bij deze een woordje uitleg, wat er gebeurd, waarom we dit gedaan hebben, het onderzoek dat werd gerealiseerd en welke maatregelen we verder nemen.


    Wat is er gebeurd?

    Om 12:05 werd een hack uitgevoerd uit China op de voorpagina waardoor pagina's werden doorgestuurd naar Aziatische pagina's (vb. baidu.com). Er werden enerzijds extra bestanden op de server geplaatst en anderzijds code toegevoegd aan de frontpage (1). Het gevolg was dat bezoekers werden omgeleid naar deze sites en niet de originele post konden bezichtigen. We melden hierbij dat we gisteren ook al een gelijkaardige actie werd ondernomen.
    De situatie gisteren zagen we toen oorzakelijk anders: na de oorspronkelijke hack hadden we de update van vbulletin ge´nstalleerd. Kortelings geleden werden er nog lekken ontdekt en werd er nog een update vrijgegeven. Deze ging zondagnacht worden ge´nstalleerd. Helaas waren de hackers ons voor. We hebben gisterennacht dan de update opgeladen en foute bestanden verwijderd.

    Update: op zaterdag 2/11 hadden we weer prijs, na de nodige forum opkuis werd punt (7) uitgevoerd. Mogelijks werden er te veel PHP functionaliteiten uitgezet maar beter te veel dan te weinig. We evalueren of dit voldoende is.

    De site was volledige weg deze middag?

    Dit klopt, we wouden geen risico nemen dat er verder ongeoorloofde toegang kon plaatsvinden. We hebben zeer snel na detectie ingegrepen en de software volledige gedeactiveerd (2). Dit liet ons toe in een latere fase om uit te vissen of het probleem lag bij originele vbulletin software en/of we gisteren iets over het hoofd hadden gezien.

    Maar vandaag dan weer prijs?

    Helaas wel, en dit lag eerder aan het niet zorgvuldig opkuisen van de bestanden die werden opgeladen (3). Via deze bestanden werden namelijk een soort van trojaanse paarden geplaatst waarmee men toch toegang kreeg om de forumsoftware te be´nvloeden.

    Wat hebben jullie dan vandaag gedaan toen ik niet meer kon posten?

    Eerst en vooral werd er geanalyseerd hoe men weer was binnengekomen. Was het via vbulletin of via een andere weg? Toen bleek dat het ging om een bestand dat eerder niet werd verwijderd hebben een diepere analyse (5) gedaan welke bestanden geen bestaansrecht hadden. Verder hebben we zoals een virusscanner bestanden onderzoekt, dit ook nu gedaan voor de forumsoftware (6). Dit proces heeft meer dan vier uur in beslag genomen.

    Moet ik nu weer mijn paswoord veranderen?

    Nee, dit hoeft niet. Na de eerste hack begin oktober hebben we een aantal extra componenten geactiveerd op de server die ons toelaten om meer inzicht (4) te krijgen van de forum software en eventuele hack pogingen. Een analyse gaf aan dat er geen poging werd ondernomen om de database uit te lezen. Het betreft hier vermoedelijk om een geautomatiseerde aanval met als doel te routeren naar een aantal specifieke sites, vermoedelijk wordt hiermee geld verdiend.

    Ondernemen jullie nog stappen?

    Ja, eigenlijk kan het niet de bedoeling zijn dat uitvoerbare bestanden zomaar kunnen worden aangemaakt. Hiervoor hebben aan de hoster gevraagd om wijzigingen door te voeren (7).
    We kijken ook of er mogelijkheden zijn om sneller een inbreuk te kunnen detecteren. Maar dit gaat niet op 1 2 3.

    Als jullie vragen hebben of suggesties, horen we dit graag.


    Technische detaillering in alle transparantie:

    (1) code werd aan index.php toegevoegd alsook verspreid over de vb5 installatie werden php bestanden aangetroffen niet eigen aan de originele installatie
    (2) Een simpele disabling via de forum software zou nog altijd toelaten om geplaatste php bestanden uit te voeren. de public_html dir werd verplaatst naar een lege dir met een simple index.html
    (3) Er waren veel vreemde php bestanden opgeladen die redelijk obvious waren dat deze er niet hoorden. Met find -mtime -2 dacht ik al deze bestanden te kunnen opsporen en verwijderen. Achteraf bleek dat er in de core libraries van vbulletin een hoop php bestanden te zijn die je qua naam niet kon onderscheiden van een reguliere installatie.
    (4) Mysql query logs werden geactiveerd , geen select * op user tabellen en dergelijke werden gevonden
    (5) diff -r . tussen de as-is public_html en de installer/
    (6) https://github.com/nbs-system/php-malware-finder/ op de installatie gedraaid, gaf wel een hoop false positives
    (7) PHP functies zoals exec, shell_exec, passthru, ..., zouden niet uitvoerbaar mogen zijn. Heden blijkt er geen custom php.ini voorhanden te zijn om hardening te doen. Dit werd aangevraagd.
    Laatst gewijzigd door Inspiran , 2 november 2019, 17:39.
    Korg Kronos 88 & Minilogue, Clavia Nord Lead 3 & 4, Moog Sub 37, Roland D-50, Roland Juno 60, Korg Volca Sample & FM, Waldorf mQ Keys

    #2
    Pfff wat een gedoe zeg, jammer dat jullie hier je tijd aan moeten besteden. En hartstikke bedankt voor de ge´nvesteerde moeite!

    Comment


      #3
      Bedankt en goed werk voor allen die hebben meegeholpen dit op te lossen.


      facebook ytsek

      Comment


        #4
        Geloof ook dat een bedankje op z'n plek is, bedankt voor de moeite!
        Ich liebe Falco.

        Comment


          #5
          Wat een gezeik zeg. Kunnen mensen niet gewoon met hun poten van andermans spullen afblijven?! Bedankt voor de fix mannen!!
          http://www.soundcloud.com/djtt

          GEARLIST
          Hardware: KRK RP5, Novation impulse 61, Steinberg Houston
          Computers: pc Core i7 6700 32g ram, SPL Crimson
          Software: Cubase 9, Bitwig 2, NI Komplete 9, Vengeance Metrum, Waves: Gold/puigtec eq/api2500/api550/aphex aural exiter, Sonnox Dynamics, Fabfilter Pro C2, PSP84/PSP42, Soundtoys Echoboy, RP Predator2, Sylenth1, Slate FG-X, LuSh-101, Audiorealism Bassline 3, Z3ta2, GS-201, ToneBoosters Trackessentials, MicroTonic, Bass Station

          Comment


            #6
            Bedankt

            Comment


              #7
              Bedankt voor jullie tijd en energie in deze zaak! Hoeveel zal een dergelijke hack hun nou echt opleveren?

              Comment


                #8
                Tnx, ook voor de gedetailleerde technische uitleg
                ...free 4 the free...

                Comment


                  #9
                  Mooi werk en respect voor jullie inzet!
                  Ach, het houdt me van de straat...

                  Comment


                    #10
                    Thirty thousand feet above the earth, it's a beautiful thing..

                    I just like to sit in the dark and watch all the pretty lights blink and glow..

                    Comment


                      #11
                      Zeker uit de fabriek van Uli zodat ze het forum kunnen klonen...

                      Comment


                        #12
                        Kudos voor de admins van de site. We vinden het allemaal vanzelfsprekend dat het allemaal zo vlot draait, maar dat is het duidelijk niet altijd.

                        Comment


                          #13
                          Voor alle duidelijkheid, waar Inspiran spreekt over "we" of "wij" bedoelt hij "ik" (behalve als het gaat om het ontvangen van vragen of suggesties).

                          Nil Volentibus Arduum

                          Comment


                            #14
                            Mijn dank voor jullie werk hieraan. Wat een gedoe!

                            Comment


                              #15
                              Klinkt ook wel een beetje alsof er schrijfrechten actief waren voor world op de webserver. Ook niet helemaal de bedoeling volgens mij.
                              \+\ Elite Underdog /+/

                              Comment


                                #16
                                Koffie voor de ICT loopgraven

                                Comment


                                  #17
                                  Hoog tijd voor een waardeer-het-beheer-dag.

                                  Comment


                                    #18
                                    Tsjonge blij dat er iemand is die weet hoe om te gaan met dit soort zaken...! En dan ook nog eens op vrijwillige basis. Hoog tijd om weer eens donatie te doen aan het forum.
                                    Fear the beard!

                                    Comment


                                      #19
                                      Ik zie veel meer reclame, is dat door dat gehack?
                                      ///Zo mooi als oud spul maken ze het niet meer///

                                      Comment


                                        #20
                                        Originally posted by klinkske View Post
                                        Ik zie veel meer reclame, is dat door dat gehack?
                                        Goeie vraag. Viel mij ook al op. En volgens mij was dat gisteren ook al zo. Dat moeten we nog even uitzoeken.

                                        Nil Volentibus Arduum

                                        Comment

                                        Working...
                                        X