Attacchi Hacker alle IP.Board

[najaru]

Purtroppo dobbiamo segnalare che si sono verificati molti Attacchi Hacker alle IP.Board in queste ultime 2 settimane.

Si verificano indipendentemente all'hosting utilizzato.

La maggiorparte dei problemi si verifica con la comparsa di codici "maligni" in alcuni file, la nostra board, nonostante avessimo sempre aggiornato il software anche con le ultime patch di sicurezza rilasciate, è stata anche bucata.

Per ora stiamo cercando di risolvere il problema, non c'è nulla di veramente visibile ma alcuni utenti potrebbero essere avvertiti dal browser di presenza di codice malevolo.

Questo potrebbe anche succedere sulle vostre board, quindi fate i dovuti controlli.

Qui ci sono 2 topic che documentano quanti abbiano lo stesso problema

http://community.inv...5-forum-hacked/

http://community.invisionpower.com/topic/372259-i-got-hacked-but-how

Al più presto vi daremo notizie della nostra situazione e cercheremo di rilasciare una o più guide di come utilizzare le funzioni di sicurezza di IP.Board

Volevo ringraziare gianpiero e Hostingplaza che ci stanno aiutando ad andare più a fondo nel problema

[najaru]

bene.

si mi risulta pulito.

diciamo che devo ancora caricare le directory del downloads, ma ho gia controllato tutti gli index. penso lo farò domani.

poi devo fare robot e sitemap ma quello è veloce

[Haku]

Credo di essere stato l'unico a non essere attaccato...

[najaru]

no, penso di essere io l unico degli italiani arrivati qui ad essere stato attaccato

[gianpiero]

najaru,

era un test di idoneità

[Zac]

Io ho "solo" notato un forte aumento di richiesta iscrizioni SPAM negli ultimi 10 gg, tocchiamo ferro! grazie Najaru.

[najaru]

per le registrazioni spam guarda nelle nostre guide faq

[gianpiero]

Io invece mi sono preso un po' di tempo per visitare i log del mio server ed ho visto che nel giorno 10 i crawlers che ritengo poco raccomandabili hanno fatto visita.

Soprattutto perchè si vede che fanno ricerche specifiche e non sono visite tradizionali. Sarebbe il caso di trovare una lista attendibile per bloccare gli accessi da parte di certi motori.

Forse qualche hosting provider potrebbe consigliare in questo. In rete si trova di tutto e di più, ma non si sa chi ascoltare

[najaru]

magari per questo risponde hostinglaza.

qui sempre nessun messaggio biohazard?

[najaru]

magari per questo risponde hostinglaza.

qui sempre nessun messaggio biohazard?

[gianpiero]

nessun messaggio biohazard?

no, tutto sotto controllo

[najaru]

qualcuno (giampiero) mi butta un occhio qui? http://www.rm-online.it/forums

assie

[gianpiero]

ciao

non accedo perchè è chiuso, comunque fino a ieri già dalla pagina "RM Online e' attualmente offline" c'era l'alert

ORA NON PIU' quindi direi tutto bene

[najaru]

ok grazie.

diciamo che ho finito un ora fa di "ripristinare" il tutto, quindi penso che se il codice si rigenera lo dovrebbe fare in massimo 2-3 ore. se riesci a buttarci un occhio stasera mi fai un piacere

comunque io controllo gli index

[gianpiero]

Ripasso sicuramente in giornata

ma tu mi fai un favore: mi trovi l'immagina avatar che avevo?

era un rapace con la biscia in bocca

Ripasso sicuramente in giornata

ma tu mi fai un favore: mi trovi l'immagina avatar che avevo?

era un rapace con la biscia in bocca

[najaru]

questa?

[gianpiero]

grazie, è il biancone di quest'anno

[najaru]

messo il sito rm online

aspetto (spero buone) news

[gianpiero]

si non c'è segno, hai messo solo il forum per ora

buon lavoro

[najaru]

ok, grazie mille

[najaru]

Dunque, mi chiedono come fare a risolvere questo problema di codici malevoli.

A dire il vero nello specifico non lo so, ma posso spiegarvi come ho risolto sui miei 2 siti IP.Board , considerando che non ho trovato la causa, ma diciamo che sono riuscito ad escludere che si trattasse del database.

Premessa 1: applicare la patch dopo essere stati colpiti non serve a nulla

Premessa 2: il mio metodo consiste nel cancellare tutto e ricaricare inizialmente solo il software vergine della board, quindi si tratta di una manovra relativamente cruenta e che necessita di alcune accortezza, di molte operazioni di preparazione alla stessa.

Premessa 3: tutti le altre cartelle o software installati nello spazio FTP dove risiede IP.Board sono probabilmente stati colpiti, e sono da considerare infetti. Fare questa procedura in modo limitato a IP.Board potrebbe funzionare ma io non ci scommetterei, quindi bisogna considerare che l'operazione va estesa a tutto lo spazio FTP. Quindi se avete altri CMS installati (come ad esempio joomla) vi consiglio di prepararvi psicologicamente a spianare anche quello, magari con l'aiuto del supporto dedicato, e magari seguendo gli stessi concetti che vi illustrerò per ip.board.

----------------------------

Ci tengo a dire che finalmente Invisionita ha dimostrato la sua importanza in questi episodi di difficoltà, non solo per aver diffuso la notizia ma anche per avere ricevuto il contributo di molti utenti che hanno potuto dire la loro su un problema cosi grave e diffuso (probabilmente molti non sanno di essere stati colpiti).

----------------------------

REQUISITI: i requisiti per questa procedura sono di avere in mano gli zip originali di TUTTI i prodotti installati e che si vogliono mantenere installati sul proprio sito. Nello specifico io vi spiego come fare la procedura con gli ultimi prodotti disponibili nella vostra area clienti IPS, e quindi si parte dal concetto che potrebbero essere versioni più recenti rispetto a quelle che avete installate. Il consiglio è quello di scaricarle OGGI, in modo da essere sicuri che nei pacchetti ci sia già la patch inclusa.

-----------------------------

DISCLAIMER: tutto ciò che fare sarà sotto la vostra responsabilità e non mi ritengo responsabile di eventuali perdite o danni. Se avete dei dubbi chiedete, cercheremo di spiegarvi ed eventualmente migliorare questa guida.

-----------------------------

STEP 1: disinstallate ed eliminate tutto quello che pensate sia superfluo e che eventualmente potete temporaneamente sacrificare, nello specifico lingue, skin, e hooks. Attenzione che eleminare un'applicazione significa perdere anche tutte le relative tabellle e dati nel database: operazione non reversibile. Consiglio di disabilitare o disinstallare già tutte le hooks.

STEP 1b: decomprimete in locale tutti i file zip dei prodotti

STEP 1c: nei file della board, cartella admin/install, cancellate il file index.php (in modo da evitare che possa essere rilanciata l'installazione).

STEP 1c-bis: impostate la lingua di default ID1 inglese, e usate il tool perchè tutti l'abbiano settata, ma soprattutto selezionatela voi admin. Stessa cosa per la skin, settate quella di base per IP.Board, e usate il tool per fare in modo che tutti abbiano solo quella.

STEP 1d: importante: eseguite un upgrade alle ultime versioni di tutti i prodotti che avete installati anche se non sono abilitati. Controllate infine che tutto funzioni a norma.

STEP 2: quello che avete deciso di tenere e che non è ufficiale (in particolare TUTTE le hook) disabilitatelo.

STEP 3: fate un doppio backup reale (non zippato) sia dell'FTP che del database, assicuratevi soprattutto di avere salvato le cartelle uploads, public e download

STEP 4: forza e coraggio...... cancellate TUTTO l'FTP, completamente , non deve rimanere nulla, neanche un immagine, un htaccess o una favicon o un file di config. Se avete dei file di configurazione per il server dovrete ripristinarli da zero.

STEP 5: ricreate manualmente (se ce l'avevate), la cartella in cui era contenuto IP.Board. ad esempio "forums"

STEP 6: aprite il config_global.php che avevate scaricato della vostra board, apritelo, controllate che ci siano i dati corretti di connessione al database, controllate che non ci siano codici malevoli, e caricatelo nella cartella in cui era e sarà contenuto il forum IP.Board.

STEP 7: caricate tutte le applicazioni vergini dei pacchetti scaricati e corrispondenti a quelli usati per l'upgrade, a partire ovviamente da IP.Board.

STEP 8: a questo punto il vostro sito dovrebbe rifunzionare normalmente, con le funzioni di base, non vedrete le varie immagini, avatar, e non ci saranno allegati o cose simili. Ma il sito dovrebbe funzionare nella norma. Se non va avete sbagliato qualcosa.

STEP 9: a questo punto consiglio di aspettare una decina di ore, per vedere che il codice non si replichi come prima.

STEP 10: progressivamente, partendo ad esempio dalla cartella upload, controllate TUTTI I FILE INDEX anche in tutte le sottocartelle per verificare che non contengano codici strani. Se sono puliti caricatela (la uploads per esempio) sull'ftp. E aspettate di nuovo una decina di ore. Ripetere stessa cosa con le altre, tipo la profile (contenuta nella public) e con quelle delle skin (contenute nella public/style_images)

----------------------

questo dovrebbe essere un sistema di ripristino abbastanza efficace, mi piacerebbe avere anche un parere di gianpiero e del resto dello staff, se ci sono cose aggiuntive utili.

Dopo di questo ci saranno un po di cose da fare per aumentare la sicurezza......

[gianpiero]

non c'è molto da dire, hai rimontato tutto

in un altra occasione l'hacking del software IPB era avvenuto a livello database: in questa occasione i redirect indesiderati erano stati inseriti in html, inserito all'interno del db, con degli <iframe> ; Trovare un iframe indesiderato è semplice anche senza fare il dump: lo si può fare da PHPMyAdmin con la funzione search

In altri casi è capitata una violazione con sostituzione completa di alcuni .htaccess, che al posto di poche riche diventano di 100 e più righe per nascondere, nelle ultime, dei redirect indesiderati

In caso si volesse far pulizia e basta è raccomandabile essere sicuri che il nostro client FTP permetta la visualizzazione di tutto l'ambiente del nostro spazio web; ad esempio CUTE FTP a suo tempo non mi permetteva di vedere ed editare gli .htaccess, che potevo controllare solo attraverso il file manager del pannello di controllo.

Quando un sito viene violato se è possibile, una volta salvato il salvabile in locale, sarebbe anche opportuno chiedere all'hosting provider di riconfigurare lo spazio web; la cosa è sicuramente più facile quando si ha un sito e non più di uno che condividono lo stesso spazio.

Una cosa è certa: le condivisioni, sharing dell'account con FB TWITTER ed altre diavolerie diminuiscono la sicurezza del nostro forum.

Raccomandazioni già fatte da IPB : rinominare la propria cartella admin e possibilmente proteggerla in cartella non accessibile. La path della cartella la si può descrivere all'interno del nostro conf_global.php

Non mi viene altro ....

[imbaracing]

Ciao ragazzi sono Matteo, admin di Scooternos.net

... sono sotto attacco... ovviamente!

proverò una cura alternativa, consigliata dal mio sistemista e pure dal support IPB che allego di seguito.

Lunedi in pratica ripristineremo l'FTP con un bakup sicuro e pulito dall'infezione (ho una serie di BKP di sicurezza sia sullo stesso server sia su FTP intoccabili esterni), appena ripristinato installeremo l'aggiornamento di sicurezza, ed elimineremo se ci sono i files indicati dall'assistenza (sotto riportati).

Per ultimo avvieremo i tool consigliati dall'assistenza.

Sperando nella provvidenza... poi se non dovesse andare si spiana tutto... purtroppo... che palle!

ciaoo!

Hello,

Unfortunately your site appears to be have been compromised. If you have a recent backup our next support action is to recommend that you revert to that backup and apply the November"]http://community.inv...ewpost]November 6th Security Patch to your board immediately.

If you do not have a recent backup, please look in the following directories for odd files, such as "zx.php" and "4d4098d64e163d2726959455d046fd7c.php".

1. / (root directory)
   
2. /cache/ (and child directories)
   
3. /hooks/
   
4. /uploads/
   

If you find any of the above, or similarly named files, in the above directories, please remove them. To be sure that you have no hacked files left over, we recommend that you run the Security Tools located in the Security Center of your IP.Board AdminCP. You can find this under System > System > Security Center. The tools which you absolutely must run are the following:

1. IP.Board Unauthorized File Checker
   
2. IP.Board Executables Deep Scan
   
3. Make "conf_global.php" Un-writable
   
4. IP.Board PHP/CGI .htaccess Protection
   

Please do let us know if you have any further questions.

Thank you,

Regards,

Rhett Buck

[najaru]

eh eh eh questa non è una soluzione

questo è un semplice ripristino di un vecchio backup

perdi tutti i nuovi contenuti da quella data, per un forum poco attivo va bene, ma per chi ha 2000 nuovi messaggi al giorno oggi siamo mica tanto

[gianpiero]

se ha i files buoni e successivamente a quel backup di files non ha messo hooks, ed inoltre il database odierno non è corrotto/inquinato, allora potrebbe anche funzionare

mancherebbero i files della cartella uploads

qualcuno ha trovato schifezze anche nel db ...

ti serve un backup di files diciamo 24 ottobre per essere sicuri

successivi ... può darsi. Se i sintomi sono recenti vedi quando hai avuto il primo allarme

Modificato 16 Novembre 2012 da gianpiero

[gianpiero]

appena ripristinato installeremo l'aggiornamento di sicurezza, ed elimineremo se ci sono i files indicati dall'assistenza (sotto riportati).

non ha senso, allora non serve ricaricare il backup se è inquinato

tanto vale lavorare sull'attuale

Modificato 16 Novembre 2012 da gianpiero