[ipb] Attacchi e Aggiornamento MySQL

Ciao a tutti..Ho un problema di una certa rilevanza e spero questo sia il posto giusto per risolverlo!

Tra ieri sera e stamattina il mio forum è stato attaccato 2 volte con le stesse identiche modalità.

Ieri sera ero al PC e mi è arrivata una mail dal forum, qualcuno aveva cercato di fare un cambio password al mio nick (Admin di ROOT) e non riuscivo più ad entrare..

Allora ho rifatto la richiesta, ho inserito la password corretta e tutto è tornato normale.

Stamattina però molte funzioni del forum non funzionavano più. Il forum lo trovate QUI.

L'errore, è di questo tipo (questo lo da aprendo un topic):

Codice:

Warning: topics() [function.topics]: Unable to access ./sources/lib/post_parser.php in /membri/phargon/forum/sources/Topics.php on line 74

Warning: topics(./sources/lib/post_parser.php) [function.topics]: failed to open stream: No such file or directory in /membri/phargon/forum/sources/Topics.php on line 74

Poi stamattina, nel tentativo di capire perchè il forum non andava più, accedo all'ftp e trovo una cartella di nome "hacked", il contenuto lo trovate qui.

E proprio mentre controllavo cambia anche la homepage (sembre Hacked By un'altro nome , stavolta con una musichetta, adeso ho rimosso l'html dal sito per mettere un annuncio in home) e ancora una volta qualcuno ha cambiato la mia password solo che ora non la posso più ripristinare per l'errore che avete visto.

Ora le richieste sono diverse e spero che qualcuno di voi possa aiutarmi in qualche modo.

• In nottata altervista è passata da MySQL4 a 4.1.. ho letto in un topic qui da voi che ci sono problemi di compatibilita con invision 1.3.1, ma vedo che l'errore che si dovrebbe ottenere è diverso dal mio. Può essere che comunque l'errore sia dovuto all'aggiornamento e non ai due attacchi? come posso scorpirlo?
• C'è un modo per capire se chi ha compiuto questa azione è semplicemente un burlone che non conosco o qualcuno che ce l'ha con il mio forum? Per caso sapete se per fare questo tipo di attacchi bisogna essere connessi al forum? perchè così potrei capire molte cose.
• E' possibile ripristinare tutto? Non credo sia un errore del db perchè backuppato e provato in locale funziona alla perfezione (a parte la mia password cambiata). Solo che la versione che ho in locale non è nuovissima e manca di parecchie mod. vorrei capire , se possibile, la natura dell'errore. E magari se possibile ripristinare solo i files corrotti.

Mi scuso se ho spiegato le cose un po' "alla buona" ma sono decisamente poco pratico.. spero comunque di avervi trasmesso i fatti e che qualcuno possa aiutarmi

Grazie in anticipo!

[makpaolo]

http://forum.altervista.org/showthread.php?t=29208
più che compatibilità con mysql sono proprio dei Bug di IPB ... o aggiorni la board (ma devi pagare la licenza) o cambi forum.

grazie makpaolo, in effetti avevo letto quei topic ma il problema mi sembrava diverso.

Comunque anche io escludo il problema dell'aggiornamento effettuato da altervista, adesso mi sono accorto che in effetti mancano i file che cerca quindi li hanno cancellati mentre controllavo perchè stamattina c'erano!!!

[makpaolo]

pharagon, molti dei bug di ipb (prime segnalazioni) riguardsavano solo l'ìnserimento di codice chew creava redirect verso altri siti ... sicuramente qualcuno è riuscito a entrare a facilmente anche ad avere la password dell'account.
Cambia subito la password di Altervista (dell'account) come primissima priorità ... poi metti offline la board.
Sinceramente ti consiglio di cambiarla se non vuoi spendere ci sono tante board free molto valide ....

grazie dei consigli,

intanto provvedo alla priorità massima che è quella di cambiare la password dell'account di altervista poi con calma penserò al resto...

Sarebbe bello capire se per fare quel tipo di attacchi bisogna essere connessi al forum perchè io ho visto gli utenti che erano connessi al momento e sarebbe un bell'indizio.

[makpaolo]

non sempre, dipende dal bug ... molte volte anche senza essere connessi si possono mandare dati al mysql

[Gianluca]

Puoi contare anche sul backup del database che AlterVista mette a disposizione, come però in molti altri post simili devi assolutamente o aggiornare il forum o cambiare versione

Puoi contare anche sul backup del database che AlterVista mette a disposizione, come però in molti altri post simili devi assolutamente o aggiornare il forum o cambiare versione

grazie, il db sembra apposto.

Hanno cancellato dei file che ora ho ripristinato (versioni di backup che non so quante volte avrò modificato), ma almeno ora riesco a tornare admin e mettere offline la board.

EDIT
per tornare admin sono dovuto andare a editare il mio account via phpmyadmin perchè avevano cambiato la mail con questa : getroot_vn[NOSPAM]@yahoo.com e non riuscivo a cambiare la password.

Inoltre al posto dei file cancellati nella cartella sources/lib/ c'era un file php (user.php 150 kb circa) che non posso ne aprire ne modificare via ftp. Quel fole non c'era nel mio backup.

EDIT 2:
C'è stato un terzo attacco oggi pomeriggio, senza il cambio della password però.
Non mi faceva rimuovere il file, ho provato ad avviarlo da browser ed era una sorta di ftp da cui si poteva cancellare, editare files a piacimento su tutto il sito e senza richieste di password. c0era anche una opzione per rimuoverlo l'ho cancellato. Poi ho fatto un giro per le cartelle che conosco meglio del forum ed ho rimosso dei file "strani" che non avevo mai visto..
purtroppo non sono sicuro che non ci sia altro.
Ho inoltre applicato delle patch di sicurezza di invision per vedere se è proprio accanito contro il mio sito o se lascerà perdere.. vedremo



FunCool: Ho aggiunto il tag NOSPAM per evitare lo spam verso quell'indirizzo e-mail.