Visualizzazione Stampabile
Buon giorno
mentre lavoravo al pc ho notato una nuova registrazione col nick federal
controllando questo pseudoutente non aveva indirizzo IP ed aveva il titolo di amministratore con tutti i permessi di lettura e scrittura, come può essere avvenuto questo?, come ci si può difendere da questi attacchi? dov'è il bug che permette ciò?
Ringrazio in anticipo
Collegandomi al database mi appare una strana intestazione che riporto
Team Haker Egipt
di che si tratta, vbulletin non è più sicuro ho letto in giro per i forum, sarà vero?
cosa dobbiamo fare?
per stare al sicuro, secondo gli sviluppatori, avresti dovuto cancellare la cartella install. notizia che è visibile da qualche giorno tra le notizie nel tuo pannello amministratore.
federal è un hacker molto attivo e sono davvero tanti i forum hackerati in questi giorni.
quali sono le azioni che compie le vedi nei logs. anche se, a leggerti, sembra che non abbia finito di fare quello che voleva. cmq trovi ogni info nei tanti post aperti nel forum di vbulletin.com. anche cosa devi fare per rimuovere il problema.
esempio: http://www.vbulletin.com/forum/forum...pe-hack-method
Grazie ho cancellato la cartella install sul server, ho bannato ed eliminato l'utente federal, il forum sembra vada bene, quando nel pannello amministratore clicco su un punto interrogativo ( Help ) mi appare invece del messaggio questa fotoCitazione:
Originariamente Scritto da fruscio
Allegato 1808
ho anche cambiato le password, il mio hosting mi ha consigliato di cancellare
tutto quello che c'è nella directory del sito e rifare una installazione, ma facendo così non vado a perdere tutto, cioè utenti e post?
cosa mi consigliate, ho la licenza anche di Vb 5 connect ma sto usando la 4.2
incredibile che ci siano queste porte aperte nella board
Aggiorno anche che ho trovato nella directory del server il il file /public_html/Federal.php che conteneva codice malevolo e l'ho eliminato,
speriamo bene
verifica comunque anche l'esistenza o meno di un plugin di nome federal (e naturalmente di ogni altro files che non faccia parte del tuo vbulletin).
sei stato hackerato "solo" in parte. questa è la mia sensazione.
Ho passato questo pomeriggio a ripulire miei server da questo hack ed ecco cosa si deve fare:
- chiudere il server e disattivare tutti i siti, perché loro installano ovunque loro script, per poi usare il server come portale per loro spam
- cercare i file federal.php, logs.php, index-old.php, adminer.php, cex.php, php.php, email.php, emailphp.php, sql.php e sqlnew.php e spostarli in zona inaccessibile dal web
- cercare tutti i file php modificati da N giorni: find /var/www/*/htdocs/ -type f -name '*.php' -ctime -N
- controllare tutti i file trovati ed eliminare quelli che contengono codice strano
- uppare i file giusti
- andare a cercare le cartelle che contengono soft link ai file includes/config.php (camuffati da file *.html)
- spostare la cartella fuori dalle palle
- listare tutti i file in quella cartella (ls -lA) per vedere quali sono i siti compromessi
- cambiare le password a tutti i siti compromessi, sia per database che per forum e FTP e qualunque altra password uguale o simili e all'occasione renderli sicuri e usare per ogni cosa la sua password
- avviare i siti uno per uno con .htaccess che fa passare solo il vostro IP
- cambiare password al forum di tutti gli amministratori, compreso il vostro (se non va allora bisogna costruire uno con md5(md5('password') + salt) e uno script php temporaneo. consiglio cambiare anche salt ed email)
- controllare ed eliminare dopo controllo manuale tutti i file sospetti trovati in area manutenzione, diagnostica
- mandare in culo il hacker la prossima volta che vi capita, e massacrare di botte tutti coloro che si vantano di appartenere alla categoria :mad:
dimenticavo:
aggiungere in php.ini:
Codice:disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,system,exec,
Grazie Giovanni
sai che non ho dimestichezza con i codici, mi ha aiutato il mio Hosting
a fare queste operazioni, la pass per il pannello admin cp non ricordo da dove si cambia, in ultimo resta sempre che quando vado nel mio pannello cp admin a cliccare su un punto interrogativo ( l'aiuto ) invece del messaggio di aiuto mi compare la foto che ho postato nel post precedente, cioè il team haker egipt,
non sò che devo fare, e francamente comincio ad essere deluso dall'aver acquistato Vb scusate questa affermazione e sfogo.
Copntro il hacking c'è poco da fare, può capitare a tutti. Nonostante credo parte della responsabilità sta nel fatto che vbulletin.com ha licenziato lo staff che aveva tutte queste conoscenze e ha preso invece ragazzini di buon mercato, che però non hanno l'esperienza.Citazione:
Originariamente Scritto da excalibur27
Al di là delle polemiche, devi anadare a vedere se hai amministratori "nuovi" e devi eliminarli, meglio con un ban indeterminato dopo averli degradati. Poi devi cercare tutti i template modificati e controllare che non contengono lo spam. Io l'ho trovato nella forumhome e basta, ma avevano anche ripuliti gli stili e fatto altri danni grafici, che però mi fanno poco perché ho il backup.
Per gli hacker:
Nonostante io sia una persona ragionevole e gentile, se trovo chi fa queste cose, gli spacco letteralmente il culo fino alle orecchie. Magari pensi che non leggerà mai e se ne riderà, ma io ho inconfutabili prove che vi siano coinvolti Italiani, e quelli non scappano. Già hanno fatto errori gravi e ogni volta che riprovano aggiungono un tassello a un puzzle che ha solo poche domande aperte.
Perché, gente, io so dove battere e trovo tutti. E' mio mestiere!
Che dire sono senza parole, non immaginavo che potessero accadere queste cose, pazienza, anche un mio amico ha il sospetto che c'entra qualche italiano, supposizioni sue, intanto a me è rimasto che quando clicco sugli help nel pannello cp admin mi esce la schermata che ho postato e non sò come devo fare per eliminarla, dovrei forse sostituire qualche file ma non sò quale, Giovanni mi sà che dovrò contattarti in modo che risolviamo questo problema, intanto ringrazio tutti per le risposte.
Che bello mi hanno graziato :p...
Mandami via PM le credenziali di un account admin con diritto di modificare gli stili. Bisogna solo ripristinare la pagina "guastata"Citazione:
Originariamente Scritto da excalibur27
Ringrazio pubblicamente Giovanni per l'aiuto e la disponibilità che mi ha dedicato
spero un giorno di ricambiare.
Mi è stato utile per capire alcune cose :)
Sono anche io vittima di un certo MR Galow che dall' indonesia mi sta facendo impazzire, ieri ho perso un pomeriggio a cercare di sistemare, ma non ci sono riuscito, nonostante abbia eliminato tutti files via ftp e ricaricati "puliti" non riesco a togliere la pagina del forum.php hackerata. Il mio è un sito di pochi appassionati di caffè che ha richiesto tanto lavoro mi hanno fatto un danno enorme in termini di tempo che ho dedicato al sito da autodidatta, sono molto demoralizzato.
Spero che hai almeno un backup da qualche parte.Citazione:
Originariamente Scritto da bozzawa
Grazie al vostro aiuto sono riuscito a ripristinare nello stile che utilizzavo c'era modificato un template di nome "page" con tutto un lungo script.Citazione:
Originariamente Scritto da y2ksw
per non sapere ne leggere ne scrivere ho eliminato tutto lo stile che ricaricherò successivamente tale e quale.
spero che non ci siano altri danni, ora prima di proseguire aspetto che il mio host mi cambi le pass di ftp e database, che potrebbero essere state prelevate.
Per ora vi ringrazio ma penso che presto sarò ancora qui a chiedere supporto per altre conseguenze a questo danno.
PS ho anche un back up che ho fatto ai primi di luglio :P
Per risolvere il problema dei file .php modificati, non è sufficiente sovrascriverli con un upgrade della versione corrente?Citazione:
Originariamente Scritto da y2ksw
Tutto questo sta succedendo anche con forum diversi da vBulletin?
si, ma loro aggiungono anche dei file e quelli servono poi per reiscriversi ancora e ancora, e per spammare.Citazione:
Originariamente Scritto da Malix
io ho eliminato tutto e ricaricato tutto, meno la dir install ovviamenteCitazione:
Originariamente Scritto da y2ksw