Attacchi Hacker alle IP.Board

[najaru]

Purtroppo dobbiamo segnalare che si sono verificati molti Attacchi Hacker alle IP.Board in queste ultime 2 settimane.

Si verificano indipendentemente all'hosting utilizzato.

La maggiorparte dei problemi si verifica con la comparsa di codici "maligni" in alcuni file, la nostra board, nonostante avessimo sempre aggiornato il software anche con le ultime patch di sicurezza rilasciate, è stata anche bucata.

Per ora stiamo cercando di risolvere il problema, non c'è nulla di veramente visibile ma alcuni utenti potrebbero essere avvertiti dal browser di presenza di codice malevolo.

Questo potrebbe anche succedere sulle vostre board, quindi fate i dovuti controlli.

Qui ci sono 2 topic che documentano quanti abbiano lo stesso problema

http://community.inv...5-forum-hacked/

http://community.invisionpower.com/topic/372259-i-got-hacked-but-how

Al più presto vi daremo notizie della nostra situazione e cercheremo di rilasciare una o più guide di come utilizzare le funzioni di sicurezza di IP.Board

Volevo ringraziare gianpiero e Hostingplaza che ci stanno aiutando ad andare più a fondo nel problema

[najaru]

Non ci sono notizie per quanto riguarda questo malware e IPB, a differenza di questo malware e wordpress dove ci sono un pò di guide. Ma il modo di infettare è diverso l'unica cosa che dice il team di IPB è aggiornare alla security patch, quello che non hanno detto è che se anche aggiorni ma non pulisci tutti e dico tutti gli index.html e php non ci fai nulla, quindi chi ha preso questo virus consiglio di aprire cartella per cartella(TUTTE LE CARTELLE) e cancellare il malware che di solito è proprio nelle prime 3 righe del file racchiuso tra <? e ?> per ora pare l'unico modo di sistemare questo malware.

non possiamo neanche metterci a controllare a mano tutte le cartelle. la cosa è molto semplice. Spiano tutto, e ricarico il software pulito. Se non c'è stata una intrusione nel database allora si risolve.

Ma devo prima separare la cartella invisionita dal resto dell'FTP

[MauroMaggioni]

Ho dato una guardata veloce e da me sembra tutto OK.

ho guardato qualche index.php e sembra tutto OK.

Ho notato però una cosa strana nei log. c'è un indirizzo IP che viene da un server dedicato di aruba che nelle ultime due settimane mi ha fatto un sacco di trasfeeriemento...

mahhh

[gianpiero]

se hai qualche programma di statistiche installato, awstats ecc... puoi vedere gli agents

possono essere grabbers che pescano dalla tua cartella uploads

[MauroMaggioni]

Esatto, lo vedo da li. vedo solo un ip statico che arriva da un server dedicato (di un noto gestore italiano) che fa un sacco di trasferimento.

[SardiniaNET Staff]

Presa visione di questa discussione domando ai più esperti quali sono, in sequenza, le operazioni da svolgere a livello di verifica e successivamente di prevenzione.

Grazie.

Cristina

[gianpiero]

si legge se trasferisce via http ?

se continua puoi inserire in htaccess Deny from xxx.xxx.xxx.xxx

la sintassi esatta dovresti cercarla, ma sarebbe interessante sapere perchè

Io di solito queste cose le segnalo al mio hosting provider se il fenomeno non cessa

una curiosità: si qualifica come istella ?

[MauroMaggioni]

no non è identificato con quel nome. questa sera da casa ti dico bene come è, ora sono al lavoro e non ricordo la password di awstat.

[CUmirco]

.. cut .. è proprio nelle prime 3 righe del file racchiuso tra <? e ?> per ora pare l'unico modo di sistemare questo malware.

Qualsiasi codice php inizia con <?

Forse una soluzione potrebbe essere scaricare in locale le cartelle, i files, del sito (escluso le cartelle vostri documenti e upload).

Facendo un ricerca veloce per index.php si dovrà controllare circa 16 files.

Se poi si cerca il codice preciso, aprendo i files con un normale file di testo, dovrebbe essere un lavoro di non più di 10 minuti.

[gianpiero]

in linea di massima comunque è importante, prima di inibire l'accesso a certi IP, verificare con certezza il proprio access_log dal pannello di controllo del sito

Se sono crawlers autenticati maglio lasciarli fare, va a vantaggio della presenza sul web. Io mi sono deciso a bloccare alcuni IP di Bejing perchè erano troppi i tentativi di registrazione a raffica e poi perchè sicuramente, per il mio sito, il traffico generato dalla Cina non mi interessava.

Conviene pertanto valutare attentamente "caso per caso"

[najaru]

Qualsiasi codice php inizia con <?

Forse una soluzione potrebbe essere scaricare in locale le cartelle, i files, del sito (escluso le cartelle vostri documenti e upload).

Facendo un ricerca veloce per index.php si dovrà controllare circa 16 files.

Se poi si cerca il codice preciso, aprendo i files con un normale file di testo, dovrebbe essere un lavoro di non più di 10 minuti.

in ciascuna cartella è contenuto un file index.html, e sono tutti stati violati, sono come minimo 100 cartelle

[najaru]

saremo offline per un po, perchè cambiamo IP e spostiamo tutto

[gianpiero]

buon lavoro

[najaru]

cucu

è normale che non vediate le foto perchè non le ho caricate

[MauroMaggioni]

una curiosità: si qualifica come istella ?

host177-13-37-46.serverdedicati.axxxa.it

[gianpiero]

@kentarro

se quello è l'IP siamo in Brasile

tra l'altro axxxa,it è libero alla registrazione

qualcosa non torna

[najaru]

giampiero cosa ci dici siamo ancora malati?

[HostingPlaza]

Qualsiasi codice php inizia con <?

Forse una soluzione potrebbe essere scaricare in locale le cartelle, i files, del sito (escluso le cartelle vostri documenti e upload).

Facendo un ricerca veloce per index.php si dovrà controllare circa 16 files.

Se poi si cerca il codice preciso, aprendo i files con un normale file di testo, dovrebbe essere un lavoro di non più di 10 minuti.

16 files? Beh, noi ne abbiamo controllati molti di più eppure ci è scappato qualcosa purtroppo. Lo so che tutti i file php iniziano con quelle stringhe ma era per dire che sono di solito le prime 3 righe dell'index sia php che html che vengono riacchiuse in quei tag... era per spiegare ai meno addetti ai lavori che vanno cancellate solo le prime tre righe. Comunque una cosa abbiamo capito che la security patch rilasciata da invision se sei già stato infetto non serve a nulla.

[gianpiero]

giampiero cosa ci dici siamo ancora malati?

Pare di no finora non mi segnala niente

sei soddisfatto della bonifica ?

[MauroMaggioni]

no è piena Italia, gli host invertono l'ip che perciò è 46.37.13.177 quelle x non sono l'host ho coperto il nome dell'host per non fare pubblicità

quale è l'host italiano che inizia per a e finisce per a?

[najaru]

Pare di no finora non mi segnala niente

sei soddisfatto della bonifica ?

bhe soddisfatto..... ho cancellato tutto. stiamo girando esclusovamente con i file di base del software......

[gianpiero]

no è piena Italia, gli host invertono l'ip che perciò è 46.37.13.177 quelle x non sono l'host ho coperto il nome dell'host per non fare pubblicità

quale è l'host italiano che inizia per a e finisce per a?

ora ho capito, .... me l'avevi già scritto in effetti

[najaru]

cosa ne dite oggi?

sempre puliti?

[gianpiero]

ciao

oggi sono su un altra postazione non ho avvisi, ti faccio sapere nel pomeriggio.

Ma qui ho un altro antivirus, e questa è bella: ho visitato altri forum comtaminati ed il celeberrimo KASPERSKY INTERNET SECURITY non ha segnalato niente

Ci sentiamo nel pomeriggio, comunque dopo l'intervento massiccio di ricarica files ieri non ho avuto segnalazioni. RM ONLINE invece ieri sera piangeva ancora

[najaru]

si , rm online per ora non l ho toccato, perchè voglio vedere se la procedura usata qui va a buon fine, perchè l intervento su quello è un po piu indaginoso

a me i vari index risultano puliti

ora carico una parte di immagini

[gianpiero]

da 3 postazioni, con difese diverse, tutto ok