Vai al contenuto
  • 0

Attacchi Hacker alle IP.Board


najaru

Domanda

Purtroppo dobbiamo segnalare che si sono verificati molti Attacchi Hacker alle IP.Board in queste ultime 2 settimane.

Si verificano indipendentemente all'hosting utilizzato.

La maggiorparte dei problemi si verifica con la comparsa di codici "maligni" in alcuni file, la nostra board, nonostante avessimo sempre aggiornato il software anche con le ultime patch di sicurezza rilasciate, è stata anche bucata.

Per ora stiamo cercando di risolvere il problema, non c'è nulla di veramente visibile ma alcuni utenti potrebbero essere avvertiti dal browser di presenza di codice malevolo.

Questo potrebbe anche succedere sulle vostre board, quindi fate i dovuti controlli.

Qui ci sono 2 topic che documentano quanti abbiano lo stesso problema

http://community.inv...5-forum-hacked/

http://community.invisionpower.com/topic/372259-i-got-hacked-but-how

Al più presto vi daremo notizie della nostra situazione e cercheremo di rilasciare una o più guide di come utilizzare le funzioni di sicurezza di IP.Board

Volevo ringraziare gianpiero e Hostingplaza che ci stanno aiutando ad andare più a fondo nel problema

  • Like 2
Link al commento
Condividi su altri siti

Messaggi raccomandati

  • 0

Non ci sono notizie per quanto riguarda questo malware e IPB, a differenza di questo malware e wordpress dove ci sono un pò di guide. Ma il modo di infettare è diverso l'unica cosa che dice il team di IPB è aggiornare alla security patch, quello che non hanno detto è che se anche aggiorni ma non pulisci tutti e dico tutti gli index.html e php non ci fai nulla, quindi chi ha preso questo virus consiglio di aprire cartella per cartella(TUTTE LE CARTELLE) e cancellare il malware che di solito è proprio nelle prime 3 righe del file racchiuso tra <? e ?> per ora pare l'unico modo di sistemare questo malware.

non possiamo neanche metterci a controllare a mano tutte le cartelle. la cosa è molto semplice. Spiano tutto, e ricarico il software pulito. Se non c'è stata una intrusione nel database allora si risolve.

Ma devo prima separare la cartella invisionita dal resto dell'FTP

Link al commento
Condividi su altri siti

  • 0

Ho dato una guardata veloce e da me sembra tutto OK.

ho guardato qualche index.php e sembra tutto OK.

Ho notato però una cosa strana nei log. c'è un indirizzo IP che viene da un server dedicato di aruba che nelle ultime due settimane mi ha fatto un sacco di trasfeeriemento...

mahhh

Link al commento
Condividi su altri siti

  • 0

se hai qualche programma di statistiche installato, awstats ecc... puoi vedere gli agents

possono essere grabbers che pescano dalla tua cartella uploads

Link al commento
Condividi su altri siti

  • 0

Esatto, lo vedo da li. vedo solo un ip statico che arriva da un server dedicato (di un noto gestore italiano) che fa un sacco di trasferimento.

Link al commento
Condividi su altri siti

  • 0

Presa visione di questa discussione domando ai più esperti quali sono, in sequenza, le operazioni da svolgere a livello di verifica e successivamente di prevenzione.

Grazie.

Cristina

Link al commento
Condividi su altri siti

  • 0

si legge se trasferisce via http ?

se continua puoi inserire in htaccess Deny from xxx.xxx.xxx.xxx

la sintassi esatta dovresti cercarla, ma sarebbe interessante sapere perchè

Io di solito queste cose le segnalo al mio hosting provider se il fenomeno non cessa

una curiosità: si qualifica come istella ?

Link al commento
Condividi su altri siti

  • 0

no non è identificato con quel nome. questa sera da casa ti dico bene come è, ora sono al lavoro e non ricordo la password di awstat.

Link al commento
Condividi su altri siti

  • 0

.. cut .. è proprio nelle prime 3 righe del file racchiuso tra <? e ?> per ora pare l'unico modo di sistemare questo malware.

Qualsiasi codice php inizia con <?

Forse una soluzione potrebbe essere scaricare in locale le cartelle, i files, del sito (escluso le cartelle vostri documenti e upload).

Facendo un ricerca veloce per index.php si dovrà controllare circa 16 files.

Se poi si cerca il codice preciso, aprendo i files con un normale file di testo, dovrebbe essere un lavoro di non più di 10 minuti.

Link al commento
Condividi su altri siti

  • 0

in linea di massima comunque è importante, prima di inibire l'accesso a certi IP, verificare con certezza il proprio access_log dal pannello di controllo del sito

Se sono crawlers autenticati maglio lasciarli fare, va a vantaggio della presenza sul web. Io mi sono deciso a bloccare alcuni IP di Bejing perchè erano troppi i tentativi di registrazione a raffica e poi perchè sicuramente, per il mio sito, il traffico generato dalla Cina non mi interessava.

Conviene pertanto valutare attentamente "caso per caso"

Link al commento
Condividi su altri siti

  • 0

Qualsiasi codice php inizia con <?

Forse una soluzione potrebbe essere scaricare in locale le cartelle, i files, del sito (escluso le cartelle vostri documenti e upload).

Facendo un ricerca veloce per index.php si dovrà controllare circa 16 files.

Se poi si cerca il codice preciso, aprendo i files con un normale file di testo, dovrebbe essere un lavoro di non più di 10 minuti.

in ciascuna cartella è contenuto un file index.html, e sono tutti stati violati, sono come minimo 100 cartelle

Link al commento
Condividi su altri siti

  • 0

Qualsiasi codice php inizia con <?

Forse una soluzione potrebbe essere scaricare in locale le cartelle, i files, del sito (escluso le cartelle vostri documenti e upload).

Facendo un ricerca veloce per index.php si dovrà controllare circa 16 files.

Se poi si cerca il codice preciso, aprendo i files con un normale file di testo, dovrebbe essere un lavoro di non più di 10 minuti.

16 files? Beh, noi ne abbiamo controllati molti di più eppure ci è scappato qualcosa purtroppo. Lo so che tutti i file php iniziano con quelle stringhe ma era per dire che sono di solito le prime 3 righe dell'index sia php che html che vengono riacchiuse in quei tag... era per spiegare ai meno addetti ai lavori che vanno cancellate solo le prime tre righe. Comunque una cosa abbiamo capito che la security patch rilasciata da invision se sei già stato infetto non serve a nulla.

Link al commento
Condividi su altri siti

  • 0

no è piena Italia, gli host invertono l'ip che perciò è 46.37.13.177 quelle x non sono l'host ho coperto il nome dell'host per non fare pubblicità

quale è l'host italiano che inizia per a e finisce per a?

Link al commento
Condividi su altri siti

  • 0

Pare di no finora non mi segnala niente

sei soddisfatto della bonifica ?

bhe soddisfatto..... ho cancellato tutto. stiamo girando esclusovamente con i file di base del software......

Link al commento
Condividi su altri siti

  • 0

no è piena Italia, gli host invertono l'ip che perciò è 46.37.13.177 quelle x non sono l'host ho coperto il nome dell'host per non fare pubblicità

quale è l'host italiano che inizia per a e finisce per a?

ora ho capito, .... me l'avevi già scritto in effetti

Link al commento
Condividi su altri siti

  • 0

ciao

oggi sono su un altra postazione non ho avvisi, ti faccio sapere nel pomeriggio.

Ma qui ho un altro antivirus, e questa è bella: ho visitato altri forum comtaminati ed il celeberrimo KASPERSKY INTERNET SECURITY non ha segnalato niente :D

Ci sentiamo nel pomeriggio, comunque dopo l'intervento massiccio di ricarica files ieri non ho avuto segnalazioni. RM ONLINE invece ieri sera piangeva ancora

  • Like 1
Link al commento
Condividi su altri siti

  • 0

si , rm online per ora non l ho toccato, perchè voglio vedere se la procedura usata qui va a buon fine, perchè l intervento su quello è un po piu indaginoso

a me i vari index risultano puliti

ora carico una parte di immagini

Link al commento
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un membro per lasciare un commento

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!

Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.

Accedi Ora
  • Chi sta navigando   0 utenti

    • Nessun utente registrato visualizza questa pagina.
×
×
  • Crea Nuovo...

Informazioni importanti

Abbiamo inserito dei cookies nel tuo dispositivo per aiutarti a migliorare la tua esperienza su questo sito. Puoi modificare le impostazioni dei cookie, altrimenti puoi accettarli cliccando su continua. to insert a cookie message.