Vai al contenuto
  • 0

Attacchi Hacker alle IP.Board


najaru

Domanda

Purtroppo dobbiamo segnalare che si sono verificati molti Attacchi Hacker alle IP.Board in queste ultime 2 settimane.

Si verificano indipendentemente all'hosting utilizzato.

La maggiorparte dei problemi si verifica con la comparsa di codici "maligni" in alcuni file, la nostra board, nonostante avessimo sempre aggiornato il software anche con le ultime patch di sicurezza rilasciate, è stata anche bucata.

Per ora stiamo cercando di risolvere il problema, non c'è nulla di veramente visibile ma alcuni utenti potrebbero essere avvertiti dal browser di presenza di codice malevolo.

Questo potrebbe anche succedere sulle vostre board, quindi fate i dovuti controlli.

Qui ci sono 2 topic che documentano quanti abbiano lo stesso problema

http://community.inv...5-forum-hacked/

http://community.invisionpower.com/topic/372259-i-got-hacked-but-how

Al più presto vi daremo notizie della nostra situazione e cercheremo di rilasciare una o più guide di come utilizzare le funzioni di sicurezza di IP.Board

Volevo ringraziare gianpiero e Hostingplaza che ci stanno aiutando ad andare più a fondo nel problema

  • Like 2
Link al commento
Condividi su altri siti

Messaggi raccomandati

  • 0

NO beh mi sono espresso male, volevo dire che controlliamo se eventualmente ci sono.

Non perderemo alcun dato nel fare bkp, in quanto la cartella Upload contiene files facilmente controllabili, quelli infetti rispondono alla descrizione. e il DB non viene interessato dal BKP dato che si tratta della sola installazione FTP.

Primo allarme notato lunedi, abbiamo un bkp di fine ottobre.

Cosa mi dite dei tool della board? Qualcuno li ha avviati?

Io purtroppo devo aspettare il sistemista fino lunedi

Link al commento
Condividi su altri siti

  • 0

adesso vedo : hai un jOOMLA in home ? a me l'alert esce solo in home

l'alert dell'antivirus ti compare anche sul forum ? a me no

forse è un caso, ma di solito ad ogni refresh su altre board infette mi compare l'avviso, non sulla tua

Link al commento
Condividi su altri siti

  • 0

si home joomla... probabilmente sei capitato mentre ripulivo...

ma torna a ruota.. fino a che non sistemiamo è tutto un pò ballerino il discorso

Link al commento
Condividi su altri siti

  • 0

se per favore continuate a tenermi aggiornato visitando il mio sito mi date una mano, almeno vedo se le operazioni che faccio danno risultati...

Grazie mille!

Link al commento
Condividi su altri siti

  • 0

è passata una nottata e una mattina intera... i files .php non si sono ancora infettati...

buon segno, ma speriamo bene non è detta l'ultima

Link al commento
Condividi su altri siti

  • 0

Rapporto dettagliato

17/11/2012 12:08:48 Firefox Anti-Virus Web Negato

17/11/2012 12:08:48 Firefox Anti-Virus Web Negato: http://click.rndtrg.com/feed/frames.php?uid=56&frames=5 (analisi tramite il database delle URL sospette) http://click.rndtrg.com/feed/frames.php?uid=56&frames=5 URL trovata nel database

Link al commento
Condividi su altri siti

  • 0

...aspetta, di che database parla l'antivirus? del suo DB di definizioni virus o di uno script trovato nel mio database?

comunque confermo che nella home ho piu problemi, nel forum va molto meglio ora.

puoi scansionare solamente la zona forum? scooternos.net/forums

Grazie mille!

Modificato da imbaracing
Link al commento
Condividi su altri siti

  • 0

Io dovrei aver risolto definitivamente, vi dico come ho fatto:

Ho fatto un bkp FTP dei soli file di installazione (quindi ho lasciato inalterati tuti gli upload e i database) scegliendo tra un bkp piu recente possibile e pulito (almeno "ad occhio")

Su questo immediatamente va fatta la PATCH di IPB e va verificata la non esistenza dei files di cui parla l'opratatore nella risposta che ho postato nella pagina prima, se trovate qualsiasi cosa va eliminata (fate sempre una copia prima di fare danni).

Io vi dico che va bene pure eliminare manualmente dato che dopo che avevo fatto il BKP ho aspettato tempo e mi hanno reinfettato (quindi come se non avessi fatto nulla). Molto importante eliminare quel file zx.php e quelli esadecimali.

subito fare la patch e ricercare tutti i files index.php di TUTTA l'installazione del vostro sito, quindi anche fuori di IPB, infatti io avevo qualcosa ieri che mi era sfuggito sulla installazione joomla, infatti a qualcuno dava ancora gli allert, ma solo su home.

Contestualmente runnate i tool di ipb tra cui quello piu importante è UNAUTHORIZED FILES CHECKER: vi fa vedere quali files secondo lui sono di troppo nella installazione di IPB... chiaro che per tutto quello che non è ipb sarà piu difficile individuare eventuali intrusi.

Spero di essere stato di aiuto e spero che il mio sito stia bene anche per i prossimi giorni!

PS: sono gia quasi 3 giorni che i files non si rigenerano

ciaooo

Link al commento
Condividi su altri siti

  • 0

Ho perso un pò la discussione per cause lavorative, ragazzi ricordatevi se siete su shared o vps o dedicati cercate di capire se anche alla base ci sono le misure di sicurezza giuste. Noi abbiamo implementato altre funzioni disabilitate dopo questo spiacevole inconveniente, ma quelle che avevamo sono servite ad arginare l'attacco solo ai file index.html e .php senza compromettere i dati degli utenti e quant'altro. Quindi assicuratevi di avere alcune funzioni disabilitate sui vostri server, di abilitare open_basedir (se avete la mod_suphp di abilitare open_basedir tramite php.ini).

  • Like 1
Link al commento
Condividi su altri siti

  • 0

Io non sono stato infettato ma è successo quest'altro.

Attenzione a chi usa server Linux

http://punto-informatico.it/3654939/PI/News/rootkit-64-bit-che-infetta-kernel-linux.aspx

Che ha portato poi ad una vecchia conoscenza sulle porte SSH

http://punto-informatico.it/2387656/PI/News/ssh-violato-linux-sotto-scacco.aspx

Io vi consiglierei di farvi un backup del vostro SQL oltre a quanto già detto.

Colpisce e danneggia il vostro database.

Ve lo dico per esperienza diretta.

Per tranquilizzare i più, chi fa housing deve stare particolarmente attento.

Sono i bersagli preferiti.

Link al commento
Condividi su altri siti

  • 0

una curiosità: si qualifica come istella ?

Anch'io ho trovato istella....poi sei riuscito a bloccarlo?....con l'ip in .htaccess non mi funziona...

Link al commento
Condividi su altri siti

  • 0

lascialo è il nuovo motore di ricerca italiano, gruppo tiscali

è un peccato bloccarlo, sempre a mio avviso si intende

Modificato da gianpiero
Link al commento
Condividi su altri siti

  • 0

lascialo è il nuovo motore di ricerca italiano, gruppo tiscali

è un peccato bloccarlo, sempre a mio avviso si intende

Si, avevo intuito fosse legato a Tiscali, ma sembra che consuma notevoli risorse....il che mi secca non poco... :(

Link al commento
Condividi su altri siti

  • 0

penso sia una indicizzazione forzata in questo periodo, poi calerà speriamo

Anch'io lo tengo sotto controllo

La situazione rimane la medesima e devo dire eccessiva....non so se capita anche ad altri, ma questa indicizzazione mi causa un consumo di risorse assurdo....tra l'altro pur provando ad intervenire via robots.txt ed anche htaccess nulla cambia. Qualcuno ha suggerimenti su come intervenire in merito?

Link al commento
Condividi su altri siti

  • 0

in questo periodo non ho particolari richieste da parte di Tiscali o Istella

come hai fatto via robots.txt ?

se in qualche modo si identifica non solo come IP ma anche come "entità" ( istella, tiscali, etc... )

puoi provare :

User-agent: istella
Disallow: /

già fatto ? non saprei come aiutarti

  • Like 1
Link al commento
Condividi su altri siti

  • 0

in questo periodo non ho particolari richieste da parte di Tiscali o Istella

come hai fatto via robots.txt ?

se in qualche modo si identifica non solo come IP ma anche come "entità" ( istella, tiscali, etc... )

puoi provare :

User-agent: istella
Disallow: /

già fatto ? non saprei come aiutarti

Già fatto via robots.txt, validato come sintassi, ma nulla da fare. Ho anche provato in htaccess per bannare l'ip, ma anche in quel caso nessun risultato. :mellow:

Link al commento
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un membro per lasciare un commento

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!

Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.

Accedi Ora
  • Chi sta navigando   0 utenti

    • Nessun utente registrato visualizza questa pagina.
×
×
  • Crea Nuovo...

Informazioni importanti

Abbiamo inserito dei cookies nel tuo dispositivo per aiutarti a migliorare la tua esperienza su questo sito. Puoi modificare le impostazioni dei cookie, altrimenti puoi accettarli cliccando su continua. to insert a cookie message.