Attacchi Hacker alle IP.Board

[najaru]

Purtroppo dobbiamo segnalare che si sono verificati molti Attacchi Hacker alle IP.Board in queste ultime 2 settimane.

Si verificano indipendentemente all'hosting utilizzato.

La maggiorparte dei problemi si verifica con la comparsa di codici "maligni" in alcuni file, la nostra board, nonostante avessimo sempre aggiornato il software anche con le ultime patch di sicurezza rilasciate, è stata anche bucata.

Per ora stiamo cercando di risolvere il problema, non c'è nulla di veramente visibile ma alcuni utenti potrebbero essere avvertiti dal browser di presenza di codice malevolo.

Questo potrebbe anche succedere sulle vostre board, quindi fate i dovuti controlli.

Qui ci sono 2 topic che documentano quanti abbiano lo stesso problema

http://community.inv...5-forum-hacked/

http://community.invisionpower.com/topic/372259-i-got-hacked-but-how

Al più presto vi daremo notizie della nostra situazione e cercheremo di rilasciare una o più guide di come utilizzare le funzioni di sicurezza di IP.Board

Volevo ringraziare gianpiero e Hostingplaza che ci stanno aiutando ad andare più a fondo nel problema

[CUmirco]

Nello specifico, qual'è l'indicatore dell'hackeraggio?

[Askancy]

Nello specifico, qual'è l'indicatore dell'hackeraggio?

Ti sostituisce la index.php, ti inserisce uno javascript che gli antivirus te lo rilevano come virus, ti consuma tantissime risorse del server.

Qui su InvisionITA è stato inserito uno script maligno che gli antivirus rilevavano come virus.

[Haku]

Come ci dobbiamo comportare?

[gianpiero]

Aggiornare con patch 6 novembre

[Zac]

Grazie per la segnalazione.

In pratica basterebbe vedere se la data del file index è cambiato, oppure scaricarlo e fare una scansione del file ?

[Michele Bortolato]

Dicono di porre il contenuto dello zip all'interno della root della ip-Board, ma come faccio a sapere tale path, non penso coincida con la root del forum.

Ed una volta fatto l'upload mmi compare una notifica in qualche parte nella consolle come per le nuove applicazioni installate?

[najaru]

io ho apllicato entrambe le patch uscite egli ultimi giorni, eppure hanno bucato. l ho fatto subito. come si puo dire che dipendeva dal non aggiornamento?

[Askancy]

Molti utenti sul forum di IPS dicono di aver applicato tutte le patch, anche l'ultima rilasciata il 6 novembre, ma sono riusciti ad'hackerare il forum.

[HostingPlaza]

Il discorso è un'altro. Io sto monitorando e se per stasera è tutto ok vi dirò. Per ora posso solo dirvi 2 ore di lavoro (nel caso di invision) per togliere lo script malevolo. Appena sarò sicuro di quello che abbiamo fatto vi dirò come procedere e quale misure di sicurezza dovete prendere.

[najaru]

confermo che dopo 5 ore di full scan sul mio pc non sono stati rilevati virus

grazie hostingplaza per l aiuto io non avevo i mezzi per agire con efficacia

grazie a gianpiero per il controllo sul db

[najaru]

niente da fare. siamo sempre con i codici maledetti

[CUmirco]

Domanda: e se avessero hakerato i dati di IPS?

Ricordo esserci le nostre credenziali per accedere via FTP - SSH ai nostri server.

In questo caso, nessun tipo di aggiornamento sarebbe al sicuro.

Andrea, tu hai trasmesso a IPS i tuoi dati d'accesso al server?

Io, nel dubbio, sto facendo un buckUp delle cartelle importanti (admin, .php posti in radice, hooks e altri)

[CUmirco]

Io ho verificato i dati in IPS.

Sono superati, ovvero i dati di accesso sono stati soppressi l'anno scorso.

Ora, se avrò un hackeraggio, non dipenderà dall'acquisizione dei miei dati da IPS.

Della serie, a pensar male .......

[najaru]

io non saprei. comunque fino ad ora abbiamo agito cercando di arginare. da qui in poi spiano tutto e ricarico piano piano i files

[gianpiero]

già che ci sei conviene una bonifica e riconfigurazione server di tutta la root.

Attenzione ai files di cache, che devono essere tutti spianati, di qualsiasi tipo essi siano.

Hai la mia solidarietà

[Askancy]

lo staff di IPS non fa nulla a riguardo? possiamo chiedere l'aiuto di loro?

[najaru]

vi faro sapere. la bonifica di invisionita e' semplice. il problema grosso sara rm online.....

[gianpiero]

anche quello ..... non lo sapevo

[najaru]

io ho un piano unico multidominio, tutto sullo stesso ftp. ha preso tutte le cartelle

[najaru]

se vedete sparire roba tipo avatar sidebar hook o immagini non preoccupatevi perchè sto disattivando un po di soba qui su invisionita

[Askancy]

Andre ma spiegami meglio, perché a questo punto penso di aver capito male e non vorrei che Games247 mi si sia infettato, praticamente, da cosa si nota se si è preso questo "virus"? io ho controllato index.php, ho controllato se ci sono file shell nell'ftp e niente, non noto anomalie... Google WebMaster dice che il sito non è infetto... ma vorrei esserne sicuro

[najaru]

anche a me non vedeva anomalie neanche in locale.

comunque mi ha inserito codici malevoli in tutti gli index.php di tutte le cartelle

[BomAle]

non potrebbe essere il fatto che il cliente compili i dati ftp nel "client area" di ips? l'unico script che può avere accesso alle board sarà minify ecc... gli altri dei banner pubblicitari non credo centrino.

[HostingPlaza]

Non ci sono notizie per quanto riguarda questo malware e IPB, a differenza di questo malware e wordpress dove ci sono un pò di guide. Ma il modo di infettare è diverso l'unica cosa che dice il team di IPB è aggiornare alla security patch, quello che non hanno detto è che se anche aggiorni ma non pulisci tutti e dico tutti gli index.html e php non ci fai nulla, quindi chi ha preso questo virus consiglio di aprire cartella per cartella(TUTTE LE CARTELLE) e cancellare il malware che di solito è proprio nelle prime 3 righe del file racchiuso tra <? e ?> per ora pare l'unico modo di sistemare questo malware.

[gianpiero]

quello che non hanno detto è che se anche aggiorni ma non pulisci tutti e dico tutti gli index.html e php non ci fai nulla

non è scritto ufficialemente, un accenno a questo problema c'è in un thread di chi credeva di aver bonificato e poi .......

comunque

da un po di tempo non compare più l'avviso

Non so se vi è utile, di tanto in tanto metto un report

*

* Avviato: giovedì 8 novembre 2012 15:44:38
*
08/11/2012 23:34:29 http://adonclick.net/t/vc.php?go=2 [L] URL:Mal (0)
08/11/2012 23:43:43 http://adonclick.net/t/vc.php?go=2 [L] URL:Mal (0)
08/11/2012 23:48:24 http://adonclick.net/t/vc.php?go=2 [L] URL:Mal (0)
08/11/2012 23:48:58 http://adonclick.net/t/vc.php?go [L] URL:Mal (0)
08/11/2012 23:52:51 http://adonclick.net/t/vc.php?go=2 [L] URL:Mal (0)
09/11/2012 00:00:12 http://adonclick.net/t/vc.php?go=2 [L] URL:Mal (0)
09/11/2012 00:03:17 http://adonclick.net/t/vc.php?go=2 [L] URL:Mal (0)
*
*
* Avviato: venerdì 9 novembre 2012 12:36:25
*
09/11/2012 12:38:33 http://adonclick.net/t/vc.php?go=2 [L] URL:Mal (0)
09/11/2012 12:58:04 http://adonclick.net/t/vc.php?go=2 [L] URL:Mal (0)
09/11/2012 14:04:31 http://adonclick.net/t/vc.php?go=2 [L] URL:Mal (0)
09/11/2012 14:06:33 http://getestore.org/t/vc.php?go=2 [L] URL:Mal (0)
09/11/2012 15:28:03 http://adonclick.net/t/vc.php?go=2 [L] URL:Mal (0)
*

*
* Avviato: sabato 10 novembre 2012 11:02:17
*
10/11/2012 11:02:40 http://wallmountedsubprojects.info/t/vc.php?go=2 [L] URL:Mal (0)
10/11/2012 13:33:24 http://adonclick.net/t/vc.php?go=2 [L] URL:Mal (0)
10/11/2012 13:33:46 http://adonclick.net/t/vc.php?go [L] URL:Mal (0)
10/11/2012 13:33:46 http://www.adonclick.net/t/vc.php?go [L] URL:Mal (0)
10/11/2012 13:33:58 http://www.adonclick.net/ [L] URL:Mal (0)
10/11/2012 20:06:39 http://zgtlohzofi.kwik.to/t/vc.php?go=2 [L] URL:Mal (0)
10/11/2012 22:32:48 http://adonclick.net/t/vc.php?go=2 [L] URL:Mal (0)
*

*
* Avviato: domenica 11 novembre 2012 10:34:29
*
11/11/2012 10:40:02 http://brokenearparent.info/t/vc.php?go=2 [L] URL:Mal (0)
11/11/2012 11:37:37 http://brokenearparent.info/t/vc.php?go=2 [L] URL:Mal (0)
11/11/2012 13:28:06 http://brokenearparent.info/t/vc.php?go=2 [L] URL:Mal (0)