Synthforum hack - post mortem

Inspiran

Administrator
Lid sinds
20 augustus 2002
Berichten
424
Locatie
Wachtebeke ( BE )
Hallo forumleden,

Zoals jullie vermoedelijk hebben opgemerkt, was het forum deze namiddag onbeschikbaar nadat het forum weer werd gehacked. Bij deze een woordje uitleg, wat er gebeurd, waarom we dit gedaan hebben, het onderzoek dat werd gerealiseerd en welke maatregelen we verder nemen.


Wat is er gebeurd?

Om 12:05 werd een hack uitgevoerd uit China op de voorpagina waardoor pagina's werden doorgestuurd naar Aziatische pagina's (vb. baidu.com). Er werden enerzijds extra bestanden op de server geplaatst en anderzijds code toegevoegd aan de frontpage (1). Het gevolg was dat bezoekers werden omgeleid naar deze sites en niet de originele post konden bezichtigen. We melden hierbij dat we gisteren ook al een gelijkaardige actie werd ondernomen.
De situatie gisteren zagen we toen oorzakelijk anders: na de oorspronkelijke hack hadden we de update van vbulletin geïnstalleerd. Kortelings geleden werden er nog lekken ontdekt en werd er nog een update vrijgegeven. Deze ging zondagnacht worden geïnstalleerd. Helaas waren de hackers ons voor. We hebben gisterennacht dan de update opgeladen en foute bestanden verwijderd.

Update: op zaterdag 2/11 hadden we weer prijs, na de nodige forum opkuis werd punt (7) uitgevoerd. Mogelijks werden er te veel PHP functionaliteiten uitgezet maar beter te veel dan te weinig. We evalueren of dit voldoende is.

De site was volledige weg deze middag?

Dit klopt, we wouden geen risico nemen dat er verder ongeoorloofde toegang kon plaatsvinden. We hebben zeer snel na detectie ingegrepen en de software volledige gedeactiveerd (2). Dit liet ons toe in een latere fase om uit te vissen of het probleem lag bij originele vbulletin software en/of we gisteren iets over het hoofd hadden gezien.

Maar vandaag dan weer prijs?

Helaas wel, en dit lag eerder aan het niet zorgvuldig opkuisen van de bestanden die werden opgeladen (3). Via deze bestanden werden namelijk een soort van trojaanse paarden geplaatst waarmee men toch toegang kreeg om de forumsoftware te beïnvloeden.

Wat hebben jullie dan vandaag gedaan toen ik niet meer kon posten?

Eerst en vooral werd er geanalyseerd hoe men weer was binnengekomen. Was het via vbulletin of via een andere weg? Toen bleek dat het ging om een bestand dat eerder niet werd verwijderd hebben een diepere analyse (5) gedaan welke bestanden geen bestaansrecht hadden. Verder hebben we zoals een virusscanner bestanden onderzoekt, dit ook nu gedaan voor de forumsoftware (6). Dit proces heeft meer dan vier uur in beslag genomen.

Moet ik nu weer mijn paswoord veranderen?

Nee, dit hoeft niet. Na de eerste hack begin oktober hebben we een aantal extra componenten geactiveerd op de server die ons toelaten om meer inzicht (4) te krijgen van de forum software en eventuele hack pogingen. Een analyse gaf aan dat er geen poging werd ondernomen om de database uit te lezen. Het betreft hier vermoedelijk om een geautomatiseerde aanval met als doel te routeren naar een aantal specifieke sites, vermoedelijk wordt hiermee geld verdiend.

Ondernemen jullie nog stappen?

Ja, eigenlijk kan het niet de bedoeling zijn dat uitvoerbare bestanden zomaar kunnen worden aangemaakt. Hiervoor hebben aan de hoster gevraagd om wijzigingen door te voeren (7).
We kijken ook of er mogelijkheden zijn om sneller een inbreuk te kunnen detecteren. Maar dit gaat niet op 1 2 3.

Als jullie vragen hebben of suggesties, horen we dit graag.


Technische detaillering in alle transparantie:

(1) code werd aan index.php toegevoegd alsook verspreid over de vb5 installatie werden php bestanden aangetroffen niet eigen aan de originele installatie
(2) Een simpele disabling via de forum software zou nog altijd toelaten om geplaatste php bestanden uit te voeren. de public_html dir werd verplaatst naar een lege dir met een simple index.html
(3) Er waren veel vreemde php bestanden opgeladen die redelijk obvious waren dat deze er niet hoorden. Met find -mtime -2 dacht ik al deze bestanden te kunnen opsporen en verwijderen. Achteraf bleek dat er in de core libraries van vbulletin een hoop php bestanden te zijn die je qua naam niet kon onderscheiden van een reguliere installatie.
(4) Mysql query logs werden geactiveerd , geen select * op user tabellen en dergelijke werden gevonden
(5) diff -r . tussen de as-is public_html en de installer/
(6) https://github.com/nbs-system/php-malware-finder/ op de installatie gedraaid, gaf wel een hoop false positives
(7) PHP functies zoals exec, shell_exec, passthru, ..., zouden niet uitvoerbaar mogen zijn. Heden blijkt er geen custom php.ini voorhanden te zijn om hardening te doen. Dit werd aangevraagd.
 
Laatst gewijzigd:
Pfff wat een gedoe zeg, jammer dat jullie hier je tijd aan moeten besteden. En hartstikke bedankt voor de geïnvesteerde moeite!:halleluja
 
Geloof ook dat een bedankje op z'n plek is, bedankt voor de moeite!
 
Wat een gezeik zeg. Kunnen mensen niet gewoon met hun poten van andermans spullen afblijven?! Bedankt voor de fix mannen!!
 
Bedankt voor jullie tijd en energie in deze zaak! Hoeveel zal een dergelijke hack hun nou echt opleveren?
 
:okdan:
 
Kudos voor de admins van de site. We vinden het allemaal vanzelfsprekend dat het allemaal zo vlot draait, maar dat is het duidelijk niet altijd.
 
Klinkt ook wel een beetje alsof er schrijfrechten actief waren voor world op de webserver. Ook niet helemaal de bedoeling volgens mij.
 
Tsjonge blij dat er iemand is die weet hoe om te gaan met dit soort zaken...! En dan ook nog eens op vrijwillige basis. Hoog tijd om weer eens donatie te doen aan het forum.
 
Back
Top