[phpBB2]Aiuto credo mi abbiamo attaccato degli hacker

Da un po' di tempo postavano sul mio sito degli spammer che avevano inondato la lista utenti del mio forum di loro user, io allora ho fatto pulizia cancellandoli tutti e mettendo dalle impostazioni che solo l'amministrator è autorizzato ad autorizzare nuovi user.
Oggi però un tizio via msn mi ha detto che gli arrivano continue email dal mio indirizzo inviate tramite il mio sito e mi minacciava di fare una comunicazione a voi di av per bannarmi, visto che io non ne posso nulla mi potete spiegare come liberarmi di queste fastidiose intrusioni?

Sposto in livello 4 e aggiungo un tag nel titolo.
Più attenzione in futuro.

[domenicoragusa]

contatta quello che ti ha segnalato questo abuso e chiedigli di spedirti il file eml. Aprilo con in notepad e da lì cerca:

Codice:

X-WEBSITE: *.altervista.org
X-URL: /pagina.php

sapendo l'url della pagina da dove viene spedita la mail provvedi con la cancellazione.
se X-WEBSITE non corrisponde al tuo account ti ha detto una balla.
ciao ciao

Received: (from apache@localhost) by ns4.altervista.org (8.12.11.20060308/8.12.11/Submit) id k5HJ09iN024685; Sat, 17 Jun 2006 21:00:09 +0200 X-WEBSITE: astrofili.altervista.org X-URL: /phpBB2/profile.php

EDIT:
ho trovato anche dei file da me non messi nello spazio web come faccio a tappare queste falle? e ad eliminare la pagina come dicevi tu?

Usa il tasto EDITA per fare post consecutivi.

[domenicoragusa]

non so come fare, non immaginavo che tu usassi phpbb. Aspetta qualcuno che ne sa qualcosa (io => 0)
ciao ciao

P.S. io avevo immaginato che avessero fatto l'upload di uno script...

non so ma aiutatemi

Comunque fino a qua si capisce che il mittente è ns4.altervista.org... non si è già a buon punto dunque sull'individuazione?

non so come interpretare quei dati ns4 non è un domio di av? cosa devo fare?

[Gianluca]

Quell'elemento indica che è proprio il tuo forum a mandare in giro quelle emails.

La prima cosa che dovresti fare è aggiornare il forum alla versione più recente.

sara' una coincidenza,ma da quando ho tolto il forum phpbb free la mia email respira aria nuova,mi arrivavano decine e decine di spamming di tutti i "colori"

ora mi è arrivata anche la segnalazione di abuse sembra che ad altri arrivino i messaggi che dovrebbero arrivare solo a me che sarebbero quelli di abilitazione degli utenti, come posso fare?

Salve, sono Niccolò (Shutdown) ed ho quindici anni...
Rilascio queste brevi righe stando alla Creative Commons Public License 2.0 ...
Non violate i diritti di questa Licenza, grazie...molto gentili...

Innanzi tutto il titolo del TOPIC è sbagliato... Non sono stati sicuramente degli
Hackers ad attaccarti... Probabilmente SPAMMER o LAMERS... Comunque se ti
ritrovi il DB pieno zeppo di utenti inattivi potrebbe trattarsi di BOT. Ovvero
processi interfacciati con la rete che eseguono azioni in automatico. Questo
software potrebbe contenere delle istruzioni per registrare utenti inesistenti.
Per neutralizzare i BOT è stato ideato un sistema chiamato CAPTCHA, cioè
quel simpatico sistema di verifica che richiede di inserire il codice generato
da immagini casuali. Vi rimando a studiare queste righe di Wikipedia:
http://it.wikipedia.org/wiki/Captcha ................

Ed ora veniamo a noi:

I CMS più utilizzati sono PhpBB e PhpNuke... Proprio per questa ragione molti
programmatori ed esperti si mettono alla ricerca disperata di falle e vulnerabilità
da sfruttare per eseguire operazioni arbitrarie sul nostro bel sito.

Le tecniche più diffuse in PhpBB sono le SQL Injection. Ovvero l'esecuzione di
Query SQL totalmente a piacere dell'aggressore. Quindi tramite queste Query
arbitrarie al nostro DB (DataBase) ci possiamo trovare di fronte a svariate possibilità. Ovviamente la SQL Injection è una sola tecnica, ne esistono molte
altre per fare i furbi. Ecco cosa può accadere alle nostre pagine:

1) Il nostro aggressore ottiene l' HASH (la stringa criptata) della nostra password.
Solitamente viene usato l'algoritmo MD5 per criptare il testo. Esistono molti modi
per ottenere la PASSWORD IN CHIARO partendo dall' HASH. Decriptata la
password ha l'accesso di amministratore nel sito. Quindi può accedere alla
lista degli utenti, al Database, alle E-MAIL degli utenti ... altro ...

2) Il nostro aggressore ha la possibilità di scavalcare il sistema di autenticazione
ed ha privilegi ROOT. Eh si, proprio in una versione di PhpBB c'è un errato
controllo dell'autenticazione. Infatti basta settare un determinato valore di un
semplice Cookie per avere accesso di amministratore nell'intero sistema.
Ovviamente non mi dilungo con la spiegazione tecnica perchè qualche
"stupidello" potrebbe usare il mio POST per commettere atti illegali, quali
violazione di sistemi, etc.

3) Il nostro aggressore sfrutta un'errore di programmazione del nostro CMS.
Effettua operazioni varie che potrebbero compromettere l'operatività del sito web.

Per ovviare a questi inconvenienti ci sono alcuni piccoli accorgimenti da tenere in
considerazione... Per esempio, io sconsiglio caldamente l'utilizzo di PhpBB e
PhpNuke se non siete degli esperti e non sapete effettuare le dovute Patch.
Io consiglio di programmare manualmente il vostro portale. Se non siete in grado
e volete proprio usare un CMS allora affidatevi a Mambo, per quanto riguarda la
gestione del portale. Per quanto riguardo il Forum invece io consiglio l'utilizzo di
SMF (Simple Machine Forum) e vB (vBulletin). Dovete sempre tenere aggiornato
il vostro CMS perchè escono in continuazione dei metodi per violare il vostro
web space. Altro accorgimento è quello di usare password poco banali.
Molti NetUser scelgono una password che abbia a che fare con la propria vita
privata. Per esempio la password potrebbe essere una DATA DI NASCITA oppure
il NOME DELLA PROPRIA RAGAZZA... Tramite un pò di Social Engineering
(Ingegneria Sociale) è possibile scoprire le password di questa tipologia.
Quindi io consiglio di usare password Alfanumeriche di almeno 8 caratteri che
siano puramente casuali e che non abbiano nulla a che fare con la nostra vita
privata. Per esempio questa potrebbe essere una password:

{*c@liforni@*}

ovviamente non usate proprio questa password... date sfogo alla vostra fantasia
e non siate prevedibili, altrimenti degli stronzetti (come me ^_^) potrebbero fregarvi in pochi secondi (va beh, forse in qualche minuto ^_^)...

Quindi buona fortuna e approfondite l'argomento...
Potete Googlare cercando le seguenti KeyWords:
EXPLOIT, CMS EXPLOIT, EXPLOIT [nome del tuo CMS] .........................

Ovviamente vi chiedo caldamente di non usare le informazioni
che troverete per commettere atti illegali... Occhio gente perchè se non
sapete bene quello che fate potete ritrovarvi con la PULA dietro la porta
di casa!! ^_^

Quindi non fate stronzate, e se proprio volete provare quello che studiate
fatelo in locale su un portale allestito provvisoriamente. Occhio a non
mettervi nei guai. Soprattutto non fate mai danni in un sistema violato, altrimenti
sarete etichettati dalla società come LAMER...


Ciao e alla prossima.

Salve, sono sempre NICCOLO ma con un altro nickname.

Ah dimenticavo una cosa...

Le email potrebbero essere arrivate per via di uno script in PHP, magari,
che settando dei particolari valori negli Headers del messaggio permettono
di alterare i campi FROM... Quindi è possibile scegliere un mittente fasullo.

Provate ad usare il Mailer usato nel mio vecchio sito...
Provate a mandarvi una e-mail... Mettete dati a casaccio...
Vi servirà per capire meglio...
http://www.shutweb.altervista.org/fakemail.php

Ciao e alla prossima, nuovamente... ^_^