 |
|
||||||
 |
|
|
LinkBack | Strumenti discussione | Modalità visualizzazione |
16-03-2008, 19.09.09
|
||||
|
||||
tentativo di hacking appena scampato (spero)
Salve ragazzi!
Un attimo fa si è registrato un utente nel mio forum, Incuriosito dalla mail ho visto di capire un pò chi fosse ed ecco che in un attimo questo è diventato amministratore  Scioccato ho eliminato subito il suo account e l'ho rimesso come utente standard quindi ho bannato tutto quanto. ecco i dati appena raccolti: partner5408xxxx at vansoftcorp.com 87.13.210.xxx L'utente risulta ancora connesso (come visitatore) quindi ho messo sito e forum in manutenzione). Potete aiutarmi a capire cosa stà succedendo? SMF e MKPortal + wordpress tutto aggiornato.  - PS sono appena entrato nel pannello per titarmi giu un backup del database ed ho trovato un avviso: Codice:
hai occupato oltre l'85% del tuo spazio, se hai un database mysql attivo ricorda che affinchè le applicazioni che lo usano funzionino come si deve è necessario mantenere sempre un po' di spazio libero, ricorda che le risorse di cui disponi sono incrementabili cliccando sul link risorse e upgrades Avrà smanettato sul database? 
__________________
Citazione:
Ultima modifica di darkwolf : 17-03-2008 alle ore 00.43.29 
|
|
16-03-2008, 19.13.04
|
|||
|
|||
|
E quindi?
No, cioè... Dico... La puoi anche spiegare?  P.S. Togli l'indirizzo email il prima possibile e già che di sei anche il suo indirizzo IP, già che ancora è connesso a internet. Hai sbagliato sezione e addirittura luogo. E, cosa più importante, "shocckato" si scrive con una "h" tra la "c" e la "k"! (Vedi dizionario)
__________________
[ Altervista.org Classic | Altervista.org Classic Reloaded | Altervista.org Nifty Corner ]   Le nuove userbar ti aspettano! | Non offro assistenza in privato, c'è già il forum. Ultima modifica di SolitaryExplorer : 16-03-2008 alle ore 19.16.00
|
|
16-03-2008, 19.17.16
|
||||
|
||||
|
Citazione:
Consigli su come comportarmi?
__________________
Citazione:
|
|
16-03-2008, 19.19.31
|
|||
|
|||
|
Che versione hai di smf?
Hai installato moduli o plugin aggiuntivi? "Avrà smanettato sul database?" E non sei capace da phpMyAdmin di vedere se ci sono modifiche rilevanti?
__________________
[ Altervista.org Classic | Altervista.org Classic Reloaded | Altervista.org Nifty Corner ] Le nuove userbar ti aspettano! | Non offro assistenza in privato, c'è già il forum. Ultima modifica di SolitaryExplorer : 16-03-2008 alle ore 19.20.52
|
|
16-03-2008, 19.21.19
|
||||
|
||||
|
Citazione:
si ho parecchi moduli. Mo li listo. - Edit: Codice:
Googlebot & Spiders Mod Enchanced post template SmileyLimit 1.0 Signature Dropdown Choices 1.0 Zodiac Starsigns 1.0 Read Topic Permission Mod 1.0.4 SMF Ajax Registration Feedback 1.0.0 BBC-Google for SMF 1.1.2 (ver. 2.5.2) 2.5.2 Enhanced Calendar 1.1 Simple ImageShack 2.0.3 SMF Shoutbox 1.16 Language Drop 1.3 Sticky First Post (extends sticky topic) 1.3.2 Visual Verification Options 0.3 SMF Gallery Lite 1.8.1.1 Avatar on Member List 1.0 SMF Arcade 2.0.12 SMF 1.0.12 / 1.1.4 / 2.0 b1.1 Update 1.0 Integrated Chat 2.7 Are You Human? Anti-Bot Registration Check 1.0 Reason For Editing Mod 1.14
__________________
Citazione:
Ultima modifica di darkwolf : 16-03-2008 alle ore 19.23.39
|
|
16-03-2008, 19.24.45
|
|||
|
|||
|
Non c'è bisogno di fare l'elenco.
Saprai tu se li hai scaricati da fonti sicure o meno. Controlla sui siti da cui hai preso i moduli se ci sono notizie utili circa sicurezza e aggiornamenti. Avevi una password semplice? Modificala comunque per precauzione.
__________________
[ Altervista.org Classic | Altervista.org Classic Reloaded | Altervista.org Nifty Corner ] Le nuove userbar ti aspettano! | Non offro assistenza in privato, c'è già il forum.
|
|
16-03-2008, 19.27.03
|
||||
|
||||
|
Citazione:
Mo provo a capire se ci sono precedenti. per adesso lascio in manutenzione. 
__________________
Citazione:
|
|
16-03-2008, 19.32.50
|
||||
|
||||
|
Citazione:
ciao
|
|
16-03-2008, 19.40.11
|
||||
|
||||
|
Citazione:
Codice:
Linux Mozilla 1.8.1.12 1280x1024 24 bit 87.13.210.xxx Paese: Italia Ora Pagine visitate [12] 18:46:18 /forum/index.php?action=register 18:47:55 /forum/index.php?action=register2 18:48:32 /forum/index.php?action=activate;u=213;code=(codice ecc...) 18:49:10 /forum 18:50:13 /forum/index.php?action=profile 18:51:09 /forum/index.php?action=profile 18:51:21 /forum/index.php?action=admin 18:51:35 /forum/index.php?action=admin 18:51:50 /forum/index.php?action=viewErrorLog;desc 19:06:00 /forum/index.php?action=profile 19:07:05 / 19:07:20 /forum/  Intanto gli ho mandato mail e pm per chiedere una conversazione ma non ricevo risposte ne notifiche di invio fallito quindi la mail in qualche modo esiste.
__________________
Citazione:
|
|
16-03-2008, 19.46.07
|
||||
|
||||
|
Citazione:
Perchè? Il problema è che essendo diventato admin ha pure svuotato il log errori e quindi non so cos'ha fatto di preciso.
__________________
Citazione:
Ultima modifica di darkwolf : 16-03-2008 alle ore 19.47.57
|
|
16-03-2008, 19.52.55
|
||||
|
||||
|
Citazione:
Anche se la data dell'ultimo file inviato risale a due settimane fa! Edit! mi sono fatto il backup del database ed eccp cosa vedo cercando il suo username: Codice:
(213, 'qwerty', 1205689669, 0, 0, 'italian', 1205690811, 'qwerty', 1, 1, '', '', 'pelodi****?', 'e8b0faa145c45tagliatainquantosarebbelapassword', 'partner54084980 at vansoftcorp dot com', '', 0, '0001-01-01', '', '', '', '', '', '', '', 1, 1, '', '', 0, '', 1, 0, 0, '', 1, 1, 0, 2, '87.13.210.xxx', '87.13.210.xxx', '', '', 0, 11, '', 843, '', '', 4, 394, '0284', NULL, 0, 0, 0);
__________________
Citazione:
Ultima modifica di darkwolf : 16-03-2008 alle ore 20.16.24
|
|
16-03-2008, 20.00.59
|
||||
|
||||
|
Citazione:
__________________
Citazione:
|
|
16-03-2008, 20.23.18
|
||||
|
||||
|
Citazione:
Intanto sto backuppando l'intero sito, già backuppato il database. le immagini sono tutte ok (appena confermate una ad una). nella query li sopra si nota di strano: "messageLabels=pelodi****?" (gli altri ce l'hanno vuoto, me compreso) e "is_activated=11" (gli altri ce l'hanno @1, solo questo @11) 
__________________
Citazione:
|
|
16-03-2008, 20.40.05
|
||||
|
||||
|
cerca qui quello che t'interessa e vedi se trovi qualche indicazione tecniche sql injetction oppure tecniche hacker
|
|
16-03-2008, 20.41.01
|
||||
|
||||
|
Citazione:
PS se conoscete una query per bloccare i nuovi amministratori ve ne sarei grato, almeno rimetto up il sito - Forse ho capito qual'è il problema, che ne dite? Codice:
link censurato per non agevolarne la divulgazione
__________________
Citazione:
Ultima modifica di darkwolf : 17-03-2008 alle ore 18.20.31
|
|
16-03-2008, 21.58.32
|
||||
|
||||
come difendersi dalle sql injection
allora qui ti scrivo una lista dove potrai trovare metodi di difesa contro le sql injection e spigazioni al riguardo :
ciao e buona lettura
|
|
16-03-2008, 22.01.40
|
||||
|
||||
|
Citazione:
Ho scritto anche su smitaly, vediamo se in gruppo si riesce a scoprire il "bug"
__________________
Citazione:
|
|
16-03-2008, 23.10.09
|
|||
|
|||
|
Ehi, ma anche a me si registrano continuamente utenti di questo tipo su mkportal e puntualmente li cancello e, caso strano, nel momento in cui ha iniziato a non funzionarmi, mi è apparso quell'avviso dello spazio occupato!!! Non è che quindi non mi funziona perché mi hanno hackerato il sito (vedere altro thread)? Ma se così fosse, non dovrebbe esserci un messaggio che mi dice che me l'hanno hackerato? Ma perché mai, poi, un sito con pochi iscritti come il mio? A chi dava fastidio?
|
|
16-03-2008, 23.12.20
|
||||
|
||||
|
Citazione:
E ne parli così tranquillamente come fosse una cosa normale? Edit! In collaborazione con DarkNico abbiamo scoperto che hanno sfruttato la shoutbox per rubarmi i cookie e quindi ottenendo il sid ha sfruttato un altro bug recente che lo ha trasformato in admin ;)
__________________
Citazione:
Ultima modifica di darkwolf : 16-03-2008 alle ore 23.30.59
|
|
17-03-2008, 18.12.37
|
||||
|
||||
|
Citazione:
Citazione:
Poi guardando il tuo sito in questo momento e' down,non vorrei che qualcuno abbia smanettato dentro il tuo cms. ciao
|
|
17-03-2008, 22.55.12
|
||||
|
||||
|
come dire...tutto è bene cià che finisce bene... ;)
il caro furbetto ha sfruttato due bug: XSS dello shoutbox di SMF (ora non piu disponibile proprio per quello) e un recente CSRF (Cross-site request forgery) tramite lo shout si è preso il sid dell'admin potendo quindi avere il permesso di impostarsi tutto quello che voleva XD è stata pubbblikata una patch per lo shoutbox qua http://www.simplemachines.org/commun...121#msg1462121
__________________
 Simplemachines.org Italian ModItalian SMF Mods - Le Traduzioni per le Vostre Mods SMItalia.net - Supporto Italiano e Traduzione Non Ufficiale per SMF Webinweb.net - Supporto Webmaster
|
|
18-03-2008, 02.39.22
|
||||
|
||||
|
L'unica "paura" rimane il fatto se s'è tirato giù il database dal pannello di controllo di smf.
Se l'ha fatto li ci sono le mail, e le password md5 degli utenti (Admin compreso). Leggendo in giro sembra che sia praticamente impossibile ottenere la password chiara da una stringa md5 quindi teoricamente non c'è problema ma... Perchè allora leggendo su vari siti bug e simili vedo che ci sono procedure per ottenere la password in md5 dell'amministratore? Cioè se questo ha la mia password in md5 cosa può ottenere? Edit! Trovato! Le password md5 di solito le inseriscono in alcuni motori che hanno database di password e da li la ricavano! Se li non c'è usano dei software bruteforce che in base al tipo di password dopo un pò di tempo "potrebbero" darti una password valida. Questo ovviamente "può" aver senso per password poco sicure quindi sinceramente credo che per la mia ci vorranno un paio di milioni di anni 
__________________
Citazione:
Ultima modifica di darkwolf : 18-03-2008 alle ore 02.57.29
|
|
18-03-2008, 17.41.03
|
||||
|
||||
|
Adesso dopo tutti sti post diventano tutti hacker smanettoni
 AVVISO Tutto cio' che e' scritto in questo topic non e' scritto a scopo di far diventare le persone degli hacker ma per potersi proteggere da eventuali intrusioni ed anche per conoscere i metodi di difesa. Chiunque puo' testare,provare, ma nessun danno deve arrecare. Molti hacker lavorano per compagnie che forniscono sistemi di sicurezza ad aziende. LAMER NO GOOD !! Ultima modifica di Bluroy : 18-03-2008 alle ore 17.48.47
|
|
19-03-2008, 00.08.38
|
||||
|
||||
|
darwolf ti correggo
smf cripta le password in SHA-1, quindi stai tranquillo ;) cmq con una password difficile, anche con un bruteforce deve avere molta pazienza XD
__________________
Simplemachines.org Italian ModItalian SMF Mods - Le Traduzioni per le Vostre Mods SMItalia.net - Supporto Italiano e Traduzione Non Ufficiale per SMF Webinweb.net - Supporto Webmaster
|
|
19-03-2008, 00.34.04
|
||||
|
||||
|
Citazione:
Citazione:
__________________
Citazione:
|
|
19-03-2008, 00.42.08
|
|||
|
|||
|
Solitamente non diventavano amministratori, ma non so cosa sia successo stavolta. Sì, lo so che il mio sito è out. Non si tratta di lavoro, era solo una community di ex compagni di scuola...però ci tenevo! :(
Come faccio a ripristinarlo (senza perdere i contenuti del blog)? Per favore parlate in termini semplici perché non sono esperta.
|
|
| Strumenti discussione | |
| Modalità visualizzazione | |
|
|
|
|
Modalità lineare
