tentativo di hacking appena scampato (spero)

[darkwolf]

Salve ragazzi!
Un attimo fa si è registrato un utente nel mio forum,
Incuriosito dalla mail ho visto di capire un pò chi fosse ed ecco che in un attimo questo è diventato amministratore
Scioccato ho eliminato subito il suo account e l'ho rimesso come utente standard quindi ho bannato tutto quanto.
ecco i dati appena raccolti:

partner5408xxxx at vansoftcorp.com

87.13.210.xxx

L'utente risulta ancora connesso (come visitatore) quindi ho messo sito e forum in manutenzione).
Potete aiutarmi a capire cosa stà succedendo?

SMF e MKPortal + wordpress tutto aggiornato.
-
PS sono appena entrato nel pannello per titarmi giu un backup del database ed ho trovato un avviso:

Codice:

hai occupato oltre l'85% del tuo spazio, se hai un database mysql attivo ricorda che affinchè le applicazioni che lo usano funzionino come si deve è necessario mantenere sempre un po' di spazio libero, ricorda che le risorse di cui disponi sono incrementabili cliccando sul link risorse e upgrades

c'ero entrato ieri sera e lo spazio era ok!
Avrà smanettato sul database?

[SolitaryExplorer]

E quindi?
No, cioè... Dico... La puoi anche spiegare?

P.S. Togli l'indirizzo email il prima possibile e già che di sei anche il suo indirizzo IP, già che ancora è connesso a internet.
Hai sbagliato sezione e addirittura luogo.

E, cosa più importante, "shocckato" si scrive con una "h" tra la "c" e la "k"! (Vedi dizionario)

[darkwolf]

Citazione:

Originalmente inviato da SolitaryExplorer

E quindi?
No, cioè... Dico... La puoi anche spiegare?

P.S. Togli l'indirizzo email il prima possibile e già che di sei anche il suo indirizzo IP, già che ancora è connesso a internet.
Hai sbagliato sezione e addirittura luogo.

E, cosa più importante, "shocckato" si scrive con una "h" tra la "c" e la "k"! (Vedi dizionario)

va be ma capiscimi, sono un pò in agitazione, non m'era mai successo e questo s'è fatto amministratore su smf
Consigli su come comportarmi?

[SolitaryExplorer]

Che versione hai di smf?
Hai installato moduli o plugin aggiuntivi?

"Avrà smanettato sul database?"
E non sei capace da phpMyAdmin di vedere se ci sono modifiche rilevanti?

[darkwolf]

Citazione:

Originalmente inviato da SolitaryExplorer

Che versione hai di smf?
Hai installato moduli o plugin aggiuntivi?

1.1.4
si ho parecchi moduli.
Mo li listo.
-
Edit:

Codice:

Googlebot & Spiders Mod
Enchanced post template
SmileyLimit 	1.0
Signature Dropdown Choices 	1.0
Zodiac Starsigns 	1.0
Read Topic Permission Mod 	1.0.4
SMF Ajax Registration Feedback 	1.0.0
BBC-Google for SMF 1.1.2 (ver. 2.5.2) 	2.5.2
Enhanced Calendar 	1.1
Simple ImageShack 	2.0.3
SMF Shoutbox 	1.16 
Language Drop 	1.3
Sticky First Post (extends sticky topic) 	1.3.2
Visual Verification Options 	0.3
SMF Gallery Lite 	1.8.1.1
Avatar on Member List 	1.0
SMF Arcade 	2.0.12
SMF 1.0.12 / 1.1.4 / 2.0 b1.1 Update 	1.0
Integrated Chat 	2.7
Are You Human? Anti-Bot Registration Check 	1.0
Reason For Editing Mod 	1.14

[SolitaryExplorer]

Non c'è bisogno di fare l'elenco.
Saprai tu se li hai scaricati da fonti sicure o meno.
Controlla sui siti da cui hai preso i moduli se ci sono notizie utili circa sicurezza e aggiornamenti.

Avevi una password semplice?
Modificala comunque per precauzione.

[darkwolf]

Citazione:

Originalmente inviato da SolitaryExplorer

Non c'è bisogno di fare l'elenco.
Saprai tu se li hai scaricati da fonti sicure o meno.
Controlla sui siti da cui hai preso i moduli se ci sono notizie utili circa sicurezza e aggiornamenti.

Avevi una password semplice?
Modificala comunque per precauzione.

password parecchio complessa! e i moduli sono stati scaricati tutti da smitaly o smf ufficiale!
Mo provo a capire se ci sono precedenti.
per adesso lascio in manutenzione.

[Bluroy]

Citazione:

Originalmente inviato da darkwolf

Salve ragazzi!
Un attimo fa si è registrato un utente nel mio forum,
Incuriosito dalla mail ho visto di capire un pò chi fosse ed ecco che in un attimo questo è diventato amministratore
Shocckato ho eliminato subito il suo account e l'ho rimesso come utente standard quindi ho bannato tutto quanto.
ecco i dati appena raccolti:



L'utente risulta ancora connesso (come visitatore) quindi ho messo sito e forum in manutenzione).
Potete aiutarmi a capire cosa stà succedendo?

SMF e MKPortal + wordpress tutto aggiornato.
-
PS sono appena entrato nel pannello per titarmi giu un backup del database ed ho trovato un avviso:

Codice:

hai occupato oltre l'85% del tuo spazio, se hai un database mysql attivo ricorda che affinchè le applicazioni che lo usano funzionino come si deve è necessario mantenere sempre un po' di spazio libero, ricorda che le risorse di cui disponi sono incrementabili cliccando sul link risorse e upgrades

c'ero entrato ieri sera e lo spazio era ok!
Avrà smanettato sul database?

ho letto il tuo post e trovo strano che sia riuscito solo registrandosi a diventare admin,sicuramente ha usato un'altro sistema e quell'email presumo sia falsa,comunque tienici aggiornati.

ciao

[darkwolf]

Citazione:

Originalmente inviato da Bluroy

ho letto il tuo post e trovo strano che sia riuscito solo registrandosi a diventare admin,sicuramente ha usato un'altro sistema e quell'email presumo sia falsa,comunque tienici aggiornati.
ciao

da phpstats ricevo queste info:

Codice:

Linux	Mozilla 1.8.1.12	1280x1024 24 bit	87.13.210.xxx
 Paese: 
	Italia
Ora
	
Pagine visitate [12]
 18:46:18 	/forum/index.php?action=register
 18:47:55 	/forum/index.php?action=register2
 18:48:32 	/forum/index.php?action=activate;u=213;code=(codice ecc...)
 18:49:10 	/forum
 18:50:13 	/forum/index.php?action=profile
 18:51:09 	/forum/index.php?action=profile
 18:51:21 	/forum/index.php?action=admin
 18:51:35 	/forum/index.php?action=admin
 18:51:50 	/forum/index.php?action=viewErrorLog;desc
 19:06:00 	/forum/index.php?action=profile
 19:07:05 	/
 19:07:20 	/forum/

ed è necessaria l'attivazione via mail prima di poter essere attivato l'account.
Intanto gli ho mandato mail e pm per chiedere una conversazione ma non ricevo risposte ne notifiche di invio fallito quindi la mail in qualche modo esiste.

[Bluroy]

ho notato che hai dei moduli per le immagini, hai una sezione del sito dove gli utenti possono uploadare immagini per caso?

[darkwolf]

Citazione:

Originalmente inviato da Bluroy

ho notato che hai dei moduli per le immagini, hai una sezione del sito dove gli utenti possono uploadare immagini per caso?

si la gallery!
Perchè?
Il problema è che essendo diventato admin ha pure svuotato il log errori e quindi non so cos'ha fatto di preciso.

[Bluroy]

controlla tutte le immagini all'interno della gallery se sono tutte visibili ma non dalla gallery stessa ma nella cartella.

[darkwolf]

Citazione:

Originalmente inviato da Bluroy

controlla tutte le immagini all'interno della gallery se sono tutte visibili ma non dalla gallery stessa ma nella cartella.

ok mi sto scaricando tutti i file della gallery ;)
Anche se la data dell'ultimo file inviato risale a due settimane fa!
Edit!
mi sono fatto il backup del database ed eccp cosa vedo cercando il suo username:

Codice:

(213, 'qwerty', 1205689669, 0, 0, 'italian', 1205690811, 'qwerty', 1, 1, '', '', 'pelodi****?', 'e8b0faa145c45tagliatainquantosarebbelapassword', 'partner54084980 at vansoftcorp dot com', '', 0, '0001-01-01', '', '', '', '', '', '', '', 1, 1, '', '', 0, '', 1, 0, 0, '', 1, 1, 0, 2, '87.13.210.xxx', '87.13.210.xxx', '', '', 0, 11, '', 843, '', '', 4, 394, '0284', NULL, 0, 0, 0);

Mi sa che ha usato una SQL injection

[Bluroy]

sto andando per esclusione , con le immagini e facile immettere script maligni camuffandoli come immagini.

[darkwolf]

Citazione:

Originalmente inviato da Bluroy

sto andando per esclusione , con le immagini e facile immettere script maligni camuffandoli come immagini.

vedi sopra, ho editato :)

[Bluroy]

ho visto,prova a documentarti sulle SQL injection ,basta anche usare una c99 se hai un sistema vulnerabile

[darkwolf]

Citazione:

Originalmente inviato da Bluroy

ho visto,prova a documentarti sulle SQL injection ,basta anche usare una c99 se hai un sistema vulnerabile

mi sa che fino a quando non capisco lo tengo in manutenzione.
Intanto sto backuppando l'intero sito, già backuppato il database.
le immagini sono tutte ok (appena confermate una ad una).
nella query li sopra si nota di strano:
"messageLabels=pelodi****?" (gli altri ce l'hanno vuoto, me compreso) e "is_activated=11" (gli altri ce l'hanno @1, solo questo @11)

[Bluroy]

cerca qui quello che t'interessa e vedi se trovi qualche indicazione tecniche sql injetction oppure tecniche hacker