Attacchi Hacker alle IP.Board

[najaru]

Purtroppo dobbiamo segnalare che si sono verificati molti Attacchi Hacker alle IP.Board in queste ultime 2 settimane.

Si verificano indipendentemente all'hosting utilizzato.

La maggiorparte dei problemi si verifica con la comparsa di codici "maligni" in alcuni file, la nostra board, nonostante avessimo sempre aggiornato il software anche con le ultime patch di sicurezza rilasciate, è stata anche bucata.

Per ora stiamo cercando di risolvere il problema, non c'è nulla di veramente visibile ma alcuni utenti potrebbero essere avvertiti dal browser di presenza di codice malevolo.

Questo potrebbe anche succedere sulle vostre board, quindi fate i dovuti controlli.

Qui ci sono 2 topic che documentano quanti abbiano lo stesso problema

http://community.inv...5-forum-hacked/

http://community.invisionpower.com/topic/372259-i-got-hacked-but-how

Al più presto vi daremo notizie della nostra situazione e cercheremo di rilasciare una o più guide di come utilizzare le funzioni di sicurezza di IP.Board

Volevo ringraziare gianpiero e Hostingplaza che ci stanno aiutando ad andare più a fondo nel problema

[gianpiero]

non ho avuto alert, ho fatto pochi clik perchè :

 

Hai raggiunto il numero massimo di pagine (4 al giorno)  visualizzabili come visitatore.

 

di solito il problema appariva subito.

 

EDIT : alert questo indirizzo

 

''http://www.cafoscarini.it/page/home/_/news/annunci/unieconomia-e-the-social-network-r12''

 

reporto avast per redirect ( specifica TRJ, dovrebbe essere Trojan )

 

* Rapporto della scansione della Protezione in tempo reale di avast!* Questo file è generato automaticamente** Avviato: sabato 5 gennaio 2013 07:39:33*05/01/2013 08:06:57	''http://www.cafoscarini.it/index.php?ipbv=ed5ad56d7536a2b890b9086655f4f18a&g=js [L] HTML:RedirDL-inf [Trj] (0)''

 

[najaru]

sei molto gentile grazie

[gianpiero]

credo un un redirect non sia per forza di cose sempre colpa di IPB

Un redir può avere anche altre origini, se l'ambiente del sito è stato compromesso

[Ped]

Gianpiero, sono uno degli admin di Cafoscarini.it, grazie a te e Najaru per il controllo.

Mi sono riletto tutta la discussione, mi sembra di aver capito che i passi da effettuare per risolvere questi problemi sono quelli postati da Najaru nel post #71
Confermate?
Io purtroppo non me ne intendo di queste cose, lo gestisco solamente.

 

STEP 1: disinstallate ed eliminate tutto quello che pensate sia superfluo e che eventualmente potete temporaneamente sacrificare, nello specifico lingue, skin, e hooks. Attenzione che eleminare un'applicazione significa perdere anche tutte le relative tabellle e dati nel database: operazione non reversibile. Consiglio di disabilitare o disinstallare già tutte le hooks.
STEP 1b: decomprimete in locale tutti i file zip dei prodotti
STEP 1c: nei file della board, cartella admin/install, cancellate il file index.php (in modo da evitare che possa essere rilanciata l'installazione).
STEP 1c-bis: impostate la lingua di default ID1 inglese, e usate il tool perchè tutti l'abbiano settata, ma soprattutto selezionatela voi admin. Stessa cosa per la skin, settate quella di base per IP.Board, e usate il tool per fare in modo che tutti abbiano solo quella.
STEP 1d: importante: eseguite un upgrade alle ultime versioni di tutti i prodotti che avete installati anche se non sono abilitati. Controllate infine che tutto funzioni a norma.
STEP 2: quello che avete deciso di tenere e che non è ufficiale (in particolare TUTTE le hook) disabilitatelo.
STEP 3: fate un doppio backup reale (non zippato) sia dell'FTP che del database, assicuratevi soprattutto di avere salvato le cartelle uploads, public e download
STEP 4: forza e coraggio...... cancellate TUTTO l'FTP, completamente , non deve rimanere nulla, neanche un immagine, un htaccess o una favicon o un file di config. Se avete dei file di configurazione per il server dovrete ripristinarli da zero.
STEP 5: ricreate manualmente (se ce l'avevate), la cartella in cui era contenuto IP.Board. ad esempio "forums"
STEP 6: aprite il config_global.php che avevate scaricato della vostra board, apritelo, controllate che ci siano i dati corretti di connessione al database, controllate che non ci siano codici malevoli, e caricatelo nella cartella in cui era e sarà contenuto il forum IP.Board.
STEP 7: caricate tutte le applicazioni vergini dei pacchetti scaricati e corrispondenti a quelli usati per l'upgrade, a partire ovviamente da IP.Board.
STEP 8: a questo punto il vostro sito dovrebbe rifunzionare normalmente, con le funzioni di base, non vedrete le varie immagini, avatar, e non ci saranno allegati o cose simili. Ma il sito dovrebbe funzionare nella norma. Se non va avete sbagliato qualcosa.
STEP 9: a questo punto consiglio di aspettare una decina di ore, per vedere che il codice non si replichi come prima.
STEP 10: progressivamente, partendo ad esempio dalla cartella upload, controllate TUTTI I FILE INDEX anche in tutte le sottocartelle per verificare che non contengano codici strani. Se sono puliti caricatela (la uploads per esempio) sull'ftp. E aspettate di nuovo una decina di ore. Ripetere stessa cosa con le altre, tipo la profile (contenuta nella public) e con quelle delle skin (contenute nella public/style_images)
----------------------

Modificato 5 Gennaio 2013 da Ped

[gianpiero]

prima di rifare tutto vedi se sulla vostra board è stata applicata la patch del 27 dicembre

 

 

IP.Board 3.1.x, 3.2.x, 3.3.x & 3.4.x Critical Security Update

http://community.invisionpower.com/topic/375885-ipboard-31x-32x-33x-34x-critical-security-update/

 

e quella precedente

 

IP.Board 3.3.x, 3.2.x, and 3.1.x Critical Security Update (6 November 2012)

http://community.invisionpower.com/topic/372245-ipboard-33x-32x-and-31x-critical-security-update-6-november-2012/

 

se la risposta è affermativa dimmi quando

 

 

non proseguo, attendo reply

 

 

ciao

Modificato 5 Gennaio 2013 da gianpiero

[najaru]

entrambe fatti io poche ore dopo gli annunci

[gianpiero]

il redirect è tipico della patch del 27 dicembre

Ho cercato un thread recentissimo , ma non lo trovo più,  ove (credo Matt, ma può essere un altro dello staff) si consiglia, dopo aver applicato la patch, di fare recache delle skins

In effetti adesso su Cafoscarini.it non mi esce più l'avviso con nessun browser e prima mi usciva solo se provenivo da una ricerca Google con Chrome. La cosa è piuttosto particolare

 

Cercare quindi con cura il famoso file con estensione pHp ( H in maiuscolo ) - suggerisco una ricerca con filezilla nella cartella cache con *.pHp (asterisco.pHp), oppure si scarica tutta la cartella cache via ftp e si ricerca sul PC in locale. Se c'è il file ovviamente eliminarlo e fare recache di tutto quel che si può sul sito, le skin sicuramente

 

Altri accorgimenti non ce ne sono.

 

Se me lo ricordate ripasso di tanto in tanto a fare un giro. Io non smonterei tutto per adesso

 

 

[Ped]

Ma che tipo di danni può causare questo virus?

Perdita di dati? Lettura delle mail degli utenti?... 
 

Perchè a noi abbiamo rilevato solo problemi d'accesso al sito tramite ricerca su Google.

[Agnello]

Quest'oggi mi sono accorto di malfunzionamenti sulla mia board e, controllando i file index.php conf_global.php initdata.php dav.php li ho trovati modificati e contenenti codice malevolo. Li ho salvati quindi se volete vederli chiedete.

Tutte le modifiche erano risalenti alle 9 di questa mattina, causa forse mancata patch del 27 dicembre.

Ho cosi ripristinato il backup ftp di stanotte, con i file puliti, e applicato l'ultima patch di sicurezza. Vediamo se basterà a evitare una nuova infezione. Tanta speranza.

Modificato 7 Gennaio 2013 da Agnello

[gianpiero]

Quest'oggi mi sono accorto di malfunzionamenti sulla mia board e, controllando i file index.php conf_global.php initdata.php dav.php li ho trovati modificati e contenenti codice malevolo. Li ho salvati quindi se voleve vederli chiedete......

Non sarebbe male vederli, li zippi e li metti in allegato senza dati sensibili ovviamente ( account del db ecc... ecc...  !

Una domanda: quando hai trovato i file modificati hai fatto caso se le date degli stessi erano cambiate ?

[Agnello]

Li ho trovati appunto perche avevano data di utlima modifica cambiata. l' index.php ad esempio prima aveva come data giugno 2012, l'ultimo aggiornamento fatto. Oggi l'ho trovato con data ultima modifica 7-1-2013 ore 9:44. Tutti i file contenenti codice avevano stessa data e oriario di ultima modifica.

Ecco lo zip. Non sono pratico, se ho lasciato qualche dato sensibile mi avverti? Grazie

Malati.zip

Modificato 7 Gennaio 2013 da Agnello

[gianpiero]

grazie per le info !

[SardiniaNET Staff]

entrambe fatti io poche ore dopo gli annunci

 

Idem!

[Agnello]

Stamattina di nuovo infetto. I file sono stati di nuovo modificati con l'aggiunta di codice alle 9:26:14 Provo a caricare il backup del 2 gennaio. 

 

Vorrei scaricare l'ultima IPB 3.3 (con le patch applicate, come avete consigliato qualche post fa) ma ho la licenza scaduta, come posso fare?

Modificato 8 Gennaio 2013 da Agnello

[gianpiero]

Vorrei scaricare l'ultima IPB 3.3 ..... ma ho la licenza scaduta, come posso fare?

 

 

secondo me, se sei di nuovo infetto, qualcosa è andato storto nel precedente ripristino

[Agnello]

Ciao gianpiero, non so, ieri ho ripristinato tutta lo spazio ftp, tranne il database. Ora ho rifatto lo stesso ma con un backup del 2 gennaio. Mantenendo sempre lo stesso database. Le opzioni sono due secondo me: o l'infezione è dovuta a qualcosa che è entrato prima del backup della notte scorsa, e quindi nonostante il ripristino l'infezione si è ripresentata, oppure è dovuta a qualcosa presente nel database che non ho toccato.

Idee?

[gianpiero]

mandami il link del forum

Considera che se tu o un utente avete il browser con i file temporanei immagazzinati,allora potrebbe uscirvi un alert dell'antivirus

[Agnello]

Mandato

[Agnello]

Ancora infetto nonostante abbia portato tutto alla situazione del 2 gennaio. Di nuovo i files modificati questa mattina alle 9:26.

Giampiero, controlleresti se risulta qualche infezione tramite avast?

Uno dei problemi evidenti che riscontro si verifica durante l'invio di un messaggio. Allego screen.

 

Secondo voi cosa può far scattare l'infezione alle 9 di mattina (9:44, 9:26.14'', 9:26.30'')? 

Modificato 9 Gennaio 2013 da Agnello

[gianpiero]

forum  chiuso , e sulla pagina di OFF LINE non c'è niente che allerti

 

[Agnello]

te l'ho riaperto, sorry

Grazie

Modificato 9 Gennaio 2013 da Agnello

[gianpiero]

ho consultato una 20 di pagine ed alcuni refresh  e non compare niente

 

alcuni anni fa una violazione di IPB riusciva ad attivare un CRON JOB e l'esecusione esecuzione di un PHP.

 

Vedi nel

    System  > 
    System Scheduler

 

se ti pare tutto ok

Modificato 9 Gennaio 2013 da gianpiero

[Agnello]

A me non pare di vedere nulla di strano, ti allego gli screen.

 

 

[gianpiero]

si vede poco

fai un zip con immagini di buona qualità

[Agnello]

In realtà quell'immagine è grande...comunque te l'ho messa nello zip.

 

sched.zip

Modificato 9 Gennaio 2013 da Agnello