Attacchi Hacker alle IP.Board

[najaru]

Purtroppo dobbiamo segnalare che si sono verificati molti Attacchi Hacker alle IP.Board in queste ultime 2 settimane.

Si verificano indipendentemente all'hosting utilizzato.

La maggiorparte dei problemi si verifica con la comparsa di codici "maligni" in alcuni file, la nostra board, nonostante avessimo sempre aggiornato il software anche con le ultime patch di sicurezza rilasciate, è stata anche bucata.

Per ora stiamo cercando di risolvere il problema, non c'è nulla di veramente visibile ma alcuni utenti potrebbero essere avvertiti dal browser di presenza di codice malevolo.

Questo potrebbe anche succedere sulle vostre board, quindi fate i dovuti controlli.

Qui ci sono 2 topic che documentano quanti abbiano lo stesso problema

http://community.inv...5-forum-hacked/

http://community.invisionpower.com/topic/372259-i-got-hacked-but-how

Al più presto vi daremo notizie della nostra situazione e cercheremo di rilasciare una o più guide di come utilizzare le funzioni di sicurezza di IP.Board

Volevo ringraziare gianpiero e Hostingplaza che ci stanno aiutando ad andare più a fondo nel problema

[imbaracing]

NO beh mi sono espresso male, volevo dire che controlliamo se eventualmente ci sono.

Non perderemo alcun dato nel fare bkp, in quanto la cartella Upload contiene files facilmente controllabili, quelli infetti rispondono alla descrizione. e il DB non viene interessato dal BKP dato che si tratta della sola installazione FTP.

Primo allarme notato lunedi, abbiamo un bkp di fine ottobre.

Cosa mi dite dei tool della board? Qualcuno li ha avviati?

Io purtroppo devo aspettare il sistemista fino lunedi

[gianpiero]

adesso vedo : hai un jOOMLA in home ? a me l'alert esce solo in home

l'alert dell'antivirus ti compare anche sul forum ? a me no

forse è un caso, ma di solito ad ogni refresh su altre board infette mi compare l'avviso, non sulla tua

[imbaracing]

si home joomla... probabilmente sei capitato mentre ripulivo...

ma torna a ruota.. fino a che non sistemiamo è tutto un pò ballerino il discorso

[imbaracing]

se per favore continuate a tenermi aggiornato visitando il mio sito mi date una mano, almeno vedo se le operazioni che faccio danno risultati...

Grazie mille!

[najaru]

io non ti posso aiutare perche nom ho mai avuto alert

[BomAle]

Io ho àvuto un avviso con avast mentre visitavo invisionita quando vi vedevano le scrittebdi errore

[najaru]

ma ora non piu spero

[imbaracing]

è passata una nottata e una mattina intera... i files .php non si sono ancora infettati...

buon segno, ma speriamo bene non è detta l'ultima

[najaru]

di solito in 4 ore io li avevo di nuovo infetti

[gianpiero]

depression .... h.12.10 dd. 17.11.2012

[gianpiero]

Rapporto dettagliato

17/11/2012 12:08:48 Firefox Anti-Virus Web Negato

17/11/2012 12:08:48 Firefox Anti-Virus Web Negato: http://click.rndtrg.com/feed/frames.php?uid=56&frames=5 (analisi tramite il database delle URL sospette) http://click.rndtrg.com/feed/frames.php?uid=56&frames=5 URL trovata nel database

[luca314]

http://community.invisionpower.com/topic/372850-securing-your-community/

[imbaracing]

...aspetta, di che database parla l'antivirus? del suo DB di definizioni virus o di uno script trovato nel mio database?

comunque confermo che nella home ho piu problemi, nel forum va molto meglio ora.

puoi scansionare solamente la zona forum? scooternos.net/forums

Grazie mille!

Modificato 17 Novembre 2012 da imbaracing

[Lumino]

Soccia regaz, mi fate stare col sacchetto di plastica sotto al sedere!

Mi tocco i gioielli di famiglia!

[imbaracing]

Io dovrei aver risolto definitivamente, vi dico come ho fatto:

Ho fatto un bkp FTP dei soli file di installazione (quindi ho lasciato inalterati tuti gli upload e i database) scegliendo tra un bkp piu recente possibile e pulito (almeno "ad occhio")

Su questo immediatamente va fatta la PATCH di IPB e va verificata la non esistenza dei files di cui parla l'opratatore nella risposta che ho postato nella pagina prima, se trovate qualsiasi cosa va eliminata (fate sempre una copia prima di fare danni).

Io vi dico che va bene pure eliminare manualmente dato che dopo che avevo fatto il BKP ho aspettato tempo e mi hanno reinfettato (quindi come se non avessi fatto nulla). Molto importante eliminare quel file zx.php e quelli esadecimali.

subito fare la patch e ricercare tutti i files index.php di TUTTA l'installazione del vostro sito, quindi anche fuori di IPB, infatti io avevo qualcosa ieri che mi era sfuggito sulla installazione joomla, infatti a qualcuno dava ancora gli allert, ma solo su home.

Contestualmente runnate i tool di ipb tra cui quello piu importante è UNAUTHORIZED FILES CHECKER: vi fa vedere quali files secondo lui sono di troppo nella installazione di IPB... chiaro che per tutto quello che non è ipb sarà piu difficile individuare eventuali intrusi.

Spero di essere stato di aiuto e spero che il mio sito stia bene anche per i prossimi giorni!

PS: sono gia quasi 3 giorni che i files non si rigenerano

ciaooo

[HostingPlaza]

Ho perso un pò la discussione per cause lavorative, ragazzi ricordatevi se siete su shared o vps o dedicati cercate di capire se anche alla base ci sono le misure di sicurezza giuste. Noi abbiamo implementato altre funzioni disabilitate dopo questo spiacevole inconveniente, ma quelle che avevamo sono servite ad arginare l'attacco solo ai file index.html e .php senza compromettere i dati degli utenti e quant'altro. Quindi assicuratevi di avere alcune funzioni disabilitate sui vostri server, di abilitare open_basedir (se avete la mod_suphp di abilitare open_basedir tramite php.ini).

[CUmirco]

Io non sono stato infettato ma è successo quest'altro.

Attenzione a chi usa server Linux

http://punto-informatico.it/3654939/PI/News/rootkit-64-bit-che-infetta-kernel-linux.aspx

Che ha portato poi ad una vecchia conoscenza sulle porte SSH

http://punto-informatico.it/2387656/PI/News/ssh-violato-linux-sotto-scacco.aspx

Io vi consiglierei di farvi un backup del vostro SQL oltre a quanto già detto.

Colpisce e danneggia il vostro database.

Ve lo dico per esperienza diretta.

Per tranquilizzare i più, chi fa housing deve stare particolarmente attento.

Sono i bersagli preferiti.

[luca314]

una curiosità: si qualifica come istella ?

Anch'io ho trovato istella....poi sei riuscito a bloccarlo?....con l'ip in .htaccess non mi funziona...

[gianpiero]

lascialo è il nuovo motore di ricerca italiano, gruppo tiscali

è un peccato bloccarlo, sempre a mio avviso si intende

Modificato 28 Novembre 2012 da gianpiero

[luca314]

lascialo è il nuovo motore di ricerca italiano, gruppo tiscali

è un peccato bloccarlo, sempre a mio avviso si intende

Si, avevo intuito fosse legato a Tiscali, ma sembra che consuma notevoli risorse....il che mi secca non poco...

[gianpiero]

penso sia una indicizzazione forzata in questo periodo, poi calerà speriamo

Anch'io lo tengo sotto controllo

[luca314]

penso sia una indicizzazione forzata in questo periodo, poi calerà speriamo

Anch'io lo tengo sotto controllo

La situazione rimane la medesima e devo dire eccessiva....non so se capita anche ad altri, ma questa indicizzazione mi causa un consumo di risorse assurdo....tra l'altro pur provando ad intervenire via robots.txt ed anche htaccess nulla cambia. Qualcuno ha suggerimenti su come intervenire in merito?

[gianpiero]

in questo periodo non ho particolari richieste da parte di Tiscali o Istella

come hai fatto via robots.txt ?

se in qualche modo si identifica non solo come IP ma anche come "entità" ( istella, tiscali, etc... )

puoi provare :

User-agent: istella
Disallow: /

già fatto ? non saprei come aiutarti

[luca314]

in questo periodo non ho particolari richieste da parte di Tiscali o Istella

come hai fatto via robots.txt ?

se in qualche modo si identifica non solo come IP ma anche come "entità" ( istella, tiscali, etc... )

puoi provare :

User-agent: istella
Disallow: /

già fatto ? non saprei come aiutarti

Già fatto via robots.txt, validato come sintassi, ma nulla da fare. Ho anche provato in htaccess per bannare l'ip, ma anche in quel caso nessun risultato.

[najaru]

gianpi riesci per cirtesia a confermarmi che qui http://www.cafoscarini.it/page/home c e il solito problema?