Visualizzazione Stampabile
Buon giorno
mentre lavoravo al pc ho notato una nuova registrazione col nick federal
controllando questo pseudoutente non aveva indirizzo IP ed aveva il titolo di amministratore con tutti i permessi di lettura e scrittura, come può essere avvenuto questo?, come ci si può difendere da questi attacchi? dov'è il bug che permette ciò?
Ringrazio in anticipo
Collegandomi al database mi appare una strana intestazione che riporto
Team Haker Egipt
di che si tratta, vbulletin non è più sicuro ho letto in giro per i forum, sarà vero?
cosa dobbiamo fare?
per stare al sicuro, secondo gli sviluppatori, avresti dovuto cancellare la cartella install. notizia che è visibile da qualche giorno tra le notizie nel tuo pannello amministratore.
federal è un hacker molto attivo e sono davvero tanti i forum hackerati in questi giorni.
quali sono le azioni che compie le vedi nei logs. anche se, a leggerti, sembra che non abbia finito di fare quello che voleva. cmq trovi ogni info nei tanti post aperti nel forum di vbulletin.com. anche cosa devi fare per rimuovere il problema.
esempio: http://www.vbulletin.com/forum/forum...pe-hack-method
Grazie ho cancellato la cartella install sul server, ho bannato ed eliminato l'utente federal, il forum sembra vada bene, quando nel pannello amministratore clicco su un punto interrogativo ( Help ) mi appare invece del messaggio questa fotoCitazione:
Originariamente Scritto da fruscio
Allegato 1808
ho anche cambiato le password, il mio hosting mi ha consigliato di cancellare
tutto quello che c'è nella directory del sito e rifare una installazione, ma facendo così non vado a perdere tutto, cioè utenti e post?
cosa mi consigliate, ho la licenza anche di Vb 5 connect ma sto usando la 4.2
incredibile che ci siano queste porte aperte nella board
Aggiorno anche che ho trovato nella directory del server il il file /public_html/Federal.php che conteneva codice malevolo e l'ho eliminato,
speriamo bene
verifica comunque anche l'esistenza o meno di un plugin di nome federal (e naturalmente di ogni altro files che non faccia parte del tuo vbulletin).
sei stato hackerato "solo" in parte. questa è la mia sensazione.
Ho passato questo pomeriggio a ripulire miei server da questo hack ed ecco cosa si deve fare:
- chiudere il server e disattivare tutti i siti, perché loro installano ovunque loro script, per poi usare il server come portale per loro spam
- cercare i file federal.php, logs.php, index-old.php, adminer.php, cex.php, php.php, email.php, emailphp.php, sql.php e sqlnew.php e spostarli in zona inaccessibile dal web
- cercare tutti i file php modificati da N giorni: find /var/www/*/htdocs/ -type f -name '*.php' -ctime -N
- controllare tutti i file trovati ed eliminare quelli che contengono codice strano
- uppare i file giusti
- andare a cercare le cartelle che contengono soft link ai file includes/config.php (camuffati da file *.html)
- spostare la cartella fuori dalle palle
- listare tutti i file in quella cartella (ls -lA) per vedere quali sono i siti compromessi
- cambiare le password a tutti i siti compromessi, sia per database che per forum e FTP e qualunque altra password uguale o simili e all'occasione renderli sicuri e usare per ogni cosa la sua password
- avviare i siti uno per uno con .htaccess che fa passare solo il vostro IP
- cambiare password al forum di tutti gli amministratori, compreso il vostro (se non va allora bisogna costruire uno con md5(md5('password') + salt) e uno script php temporaneo. consiglio cambiare anche salt ed email)
- controllare ed eliminare dopo controllo manuale tutti i file sospetti trovati in area manutenzione, diagnostica
- mandare in culo il hacker la prossima volta che vi capita, e massacrare di botte tutti coloro che si vantano di appartenere alla categoria :mad:
dimenticavo:
aggiungere in php.ini:
Codice:disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,system,exec,
Grazie Giovanni
sai che non ho dimestichezza con i codici, mi ha aiutato il mio Hosting
a fare queste operazioni, la pass per il pannello admin cp non ricordo da dove si cambia, in ultimo resta sempre che quando vado nel mio pannello cp admin a cliccare su un punto interrogativo ( l'aiuto ) invece del messaggio di aiuto mi compare la foto che ho postato nel post precedente, cioè il team haker egipt,
non sò che devo fare, e francamente comincio ad essere deluso dall'aver acquistato Vb scusate questa affermazione e sfogo.
Copntro il hacking c'è poco da fare, può capitare a tutti. Nonostante credo parte della responsabilità sta nel fatto che vbulletin.com ha licenziato lo staff che aveva tutte queste conoscenze e ha preso invece ragazzini di buon mercato, che però non hanno l'esperienza.Citazione:
Originariamente Scritto da excalibur27
Al di là delle polemiche, devi anadare a vedere se hai amministratori "nuovi" e devi eliminarli, meglio con un ban indeterminato dopo averli degradati. Poi devi cercare tutti i template modificati e controllare che non contengono lo spam. Io l'ho trovato nella forumhome e basta, ma avevano anche ripuliti gli stili e fatto altri danni grafici, che però mi fanno poco perché ho il backup.
Per gli hacker:
Nonostante io sia una persona ragionevole e gentile, se trovo chi fa queste cose, gli spacco letteralmente il culo fino alle orecchie. Magari pensi che non leggerà mai e se ne riderà, ma io ho inconfutabili prove che vi siano coinvolti Italiani, e quelli non scappano. Già hanno fatto errori gravi e ogni volta che riprovano aggiungono un tassello a un puzzle che ha solo poche domande aperte.
Perché, gente, io so dove battere e trovo tutti. E' mio mestiere!