Stichting Club Alfa Romeo Bezitters

Hoi,

Al een hele tijd ben ik bezig het spammen van het Alfa75 forum door lieden die allerlei pornolinks plaatsen tegen te gaan.
Ik heb het volgende al gedaan:

- phpbb geupgraded naar de laatste versie
- link op de site naar het forum verwijderd
- 'vreemde' users gedeleted
- aanmelden nu via bevestigen van een e-mail, dus niet via onzin-mailadresseb
- posten alleen door geregistreerde users mogelijk

Toch blijft het doorgaan.

Wat kan ik er verder aan doen?
Hoe kun je deze mensen opsporen?
Waar kun je dit misbruik melden?

Graag advies, want het is zonde dat het forum al die tijd plat ligt.

Arjan

Ben je verder helemaal bij qua security patches en hotfixes, service packs, etc voor al je componenten? (er van uitgaande dat je windows draait )
Weet je zeker dat je geen backdoor of rootkit hebt?

Ik zou zeggen gaat eens aan de slag met Proces Explorer en RootkitRevealer van Sysinternals

RootkitRevealer moet je in ieder geval draaien als je systeem "ïdle" is, dat wil zeggen..... OS draait, verder geen enkel ander process! bij voorkeur geen netwerkconnectiviteit. In process explorer zoek je naar processen welke geen icon hebben of niet te valideren zijn, dit kan er op wijzen dat er iets aanwezig is op je systeem wat jij niet geinstalleerd hebt Is dit het geval, dan begint het betere speurwerk om het weer verwijderd te krijgen
Succes met zoeken.

Groetjes,
Marc

Het froum draait niet op mijn PC of eigen server maar bij de host in de VS. Ik neem aan dat die alles op orde heeft.

Op het "stille" forum van de belgische club hebben we hetzelfde probleem.
Het enige wat blijkt te helpen is het registreren van het IP adres, en dat dan blokkeren.

Voorlopig heeft dat alvast wat opgebracht,
het gekende IP adres gaat dan naar de provider, en die heeft me een onderzoek beloofd.

Hopen dat alles weer goed komt
Zou zonde zijn als het forum verloren gaat door een paar van die grappemakers.

Heb er zelf ook af en toe last van op het alfetta forum (http://www.alfetta-gt.nl/forum).
Direct deleten en bepaalde combi's van internet adressen bannen.

Ik ga e.e.a. proberen.
Heb nu problemen met terugzetten van de backup...

Op het forum van mijn werk hebben we soortgelijke problemen gehad.
De oplossing was geen een forum meer publiek te maken. Dus moet je jezelf eerst aanmelden.
Daarna krijg je toestemming om op het forum te komen.

Op het forum van mijn werk hebben we soortgelijke problemen gehad.
De oplossing was geen een forum meer publiek te maken. Dus moet je jezelf eerst aanmelden.
Daarna krijg je toestemming om op het forum te komen.

Ook op het alfetta forum moet je je eerst aanmelden voordat je kunt een topic kunt starten of reageren.
Desondanks last van die gasten

Hoe lost Jorix dit op

Het is erg hardnekkig.
Heb vandaag na veel tijd het forum weer in orde kunnen krijgen (na restore waren sommige subfora leeg). Nu wel goed gekregen en weer gebackupped. Deze kan ik nu telkens even terugzetten.

Ik heb als beveiliging het volgende gedaan:
- phpbb geupdated naar 2.0.21
- alle fora zijn nu niet meer public maar 'registered', dus als guest kun je niks posten.
- automatisch aanmelden is disabled
- registratie pas na verificatie door user via een e-mail (kan ook nog via admin maar dan wordt mijn mailbox het doelwit...)
- visiueel verificatie enabled (zou helpen tegen scripts)

En dan nog gaat het niet goed. Sterker nog, ook topic titels worden ook verkracht. Lijkt dan op inbraak in de SQL?

Het stomme is dat je op het internet vanalles hierover kunt lezen met als antwoord: neem contact op met de webmaster... Maar dat ben ik en waar moet ik dan heen ?? Misschien dat Jorix wat weet ja, ben heel benieuwd.

Lijkt dan op inbraak in de SQL?

Vandaar ook mijn eerste vraag of alles helemaal bij is qua patches en securityfixes. Of dit automatisch gebeurd hangt helemaal van de hostingprovider af en het soort dienst je afneemt. En idd via SQL een DLL injectiedoen (kinderlijk eenvoudig) en je bent binnen no-time admin als de SQL server niet helemaal bij is.....Ik weet niet of je er verder nog eigen gemaakte aplicaties/scripts hebt draaien, via buffer overflows kun je ook erg veel Deze gebruikte methode is veel lastiger toe te passen, vergt veel research en tijd, maar levert uiteindelijk hetzelfde resultaat.....

Groetjes,
Marc

Arjan,

De 8e en de 10e kreeg ik (mail) twee topic answer notifications. Daar kan ik dus niet op reageren, want het forum is nog gesloten. Dat kunnen volgens mij geen recente reacties zijn. Ik merk wel als er weer 'bij' kan.
Atte Roskam

Forum is idd nog steeds afgeschakeld, anders blijf ik maar bezig.
Heb zelf een schone backup.

Ik zal deze week die freeCap eens uitproberen, maar mijn kennis ervan is zeer beperkt.

@Atte: ja dat waren weer zinloze meldingen.

Arjan, ik heb even een pb-tje op je afgevuurd.

@Arjan75qv: Overleg gewoon even met het bestuur; we hebben een hele dikke eigen server die nu op z'n sloffies de vele requests voor de SCARB site en het forum kan verwerken. Deze server is redelijk goed beveiligd tegen rootkits, shellbots, e.d. (o.a. mod_security, zodat op een laag niveau 'foute' requests al gefilterd worden en je forum dus nooit zullen bereiken).

Ander voordeel: als er eens een keer wat is, hoef je niet het tijdverschil af te wachten met de US. Onze server staat gewoon in het Versatel Gyrocenter in Amsterdam en Ik heb daar 24/7 toegang voor als het echt nodig is.

Ter illustratie: onze server mag per maand gemiddeld 1 mbit verstoken, maar dit is momenteel zo'n 0.26 mbit, dus nog genoeg ruimte voor een extra site + forum:


Bekostiging hoef je je niet zo'n zorgen om te maken; daar komen we vast wel uit.

Mail me anders even.

Greetz,
Jorix