phpBB2 attaccato!!!

[Ufobm]

Ciao a tutti!
Non vorrei sembrare maleducato, ma vi prego a chiunque sappia come aiutarmi di rispondermi con la massima urgenza!
Sono stato attaccato da un hacker! Mi è stato detto che la versione di phpbb 2.0.8 era buggata così ho aggiornato alla 2.0.22 (ok non ho aggiornato quindi chiedo venia) e ho ricaricato tutti i file... ovviamente ho aggiornato modificando manualmente i file, ma utilizzando quelli di un back-up antecedente il fatto (stupido si ma fino ad un certo punto...)... ecco, come mai non è risolto il problema? Il "virus" resta... come risolvo? Con un buon antivirus potreste dare un'occhiata al forum del mio sito tieniaperto (la versione .it) per vedere il problema... è stato inserito un protocollo di trasferimento HyperText proprio sotto la scritta "Opzioni:"...

Cmq con un WHOIS ho rintracciato il "delinquente" della rete... secondo voi cosa devo fare? E' un russo... conosco tutti i suoi dati e gli ho anche mandato una mail ma non mi ha risposto... telefonargli per parlargli in russo e spendere un capitale non mi sembra il caso... andare a casa sua (ho anche l'indirizzo) ancora meno... massimo con una mazza chiodata ma perderei un sacco di tempo per un imbecille...

Aiutatemi vi prego!
Grazie mille per l'attenzione e scusate per il disturbo...

Matteo "ufo"

EDIT:
Scusate... risolto tutto da solo... vorrei sapere solo una cosa, possibile passando da bug di phpBB2 modificare il db?

[dreadnaut]

uhm virus? protocollo sotto la scritta Opzioni? a dire il vero non vedo nulla li...

ma il forum di tieniaperto.it è su AlterVista?

[Ufobm]

No il forum e come tutto il resto su un altro dominio... potevo comunque postare per aiuto giusto?
In ogni caso come leggerai dall'edit ho risolto da solo! Si trattava di un iframe... mi è stato inserito del codice tra le variabili nel db...
Non disdegnerei però di saperne di più sulla dinamica dei fatti!

[dreadnaut]

più che altro chiedevo per sapere se era il phpbb di AlterVista che era vulnerabile. Riguardo al problema in particolare - di phpbb non ne so' nulla, mi spiace

[funcool]

Tramite dei bug è possibile modificare il contenuto del database.

più che altro chiedevo per sapere se era il phpbb di AlterVista che era vulnerabile.

No, lui utilizzava una versione molto più vecchia di quella offerta da AlterVista.

[Ufobm]

Allora funcool potresti essere così gentile da darmi un'idea su come potrebbe aver fatto?

EDIT:
Ora che guardo, di fianco alle statistiche è stata tagliata l'icona... durante l'aggiornamento ho cambiato solo parti di codice ma vabbé... in qualche modo avrò fatto... che file devo controllare per sistemare?

[funcool]

Potrebbe aver sfruttato qualche SQL injection.

Scusa ma se ti ha inserito un iframe ne Db vuol dire che gia aveva accesso :/ L'iframe l'avrà messo per metterci magari na XSS da sfruttare una volta successiva che tu avresti aggiornato, e quindi eseguire un 2* attacco ( se sbaglio qlk mi corregga xD ). Cmq se aveva accesso al DB e la versione era la 2.0.8 credo abbia usato una RFI ...

Beh se hai tutti i suoi dati potresti anche denunciarlo...

[Ufobm]

Scusa ma se ti ha inserito un iframe ne Db vuol dire che gia aveva accesso :/ L'iframe l'avrà messo per metterci magari na XSS da sfruttare una volta successiva che tu avresti aggiornato, e quindi eseguire un 2* attacco ( se sbaglio qlk mi corregga xD ). Cmq se aveva accesso al DB e la versione era la 2.0.8 credo abbia usato una RFI ...

Io penso sia passato dal server poi bho...
Potresti spiegarmi meglio comunque?

In ogni caso ho chiesto e hanno detto che se lo denuncio alla polizia postale. Probabilmente gli staccherebbero la connessione a vita, ma a me non ne verrebbe niente cmq...

[Ufobm]

Ragazzi! E' successo di nuovo... in un modo diverso questa volta!
Mi hanno cancellato!!! O meglio sostituito! Al posto dei miei dati (sono admin) hanno messo un'altro nick, un altra pass e un altra firma...
Spiegatemi vi prego com'è possibile! Ho aperto anche una discussione per problemi al pannello admin... ora spiegatemi voi se possono essere collegati...
Non capisco come facciano! Anche avessi un *****n come possono conoscere la pass??? E poi avrò mandato un milione di controlli antivirus antispy ecc... Possono entrare nel db direttamente???


PS: non edito perché è come se iniziassi una nuova discussione e vale come un UP...

EDIT:
Per la cronaca sto già provando in locale phpBB3... ma sarà lunga... è piuttosto difficile! Sopratutto spostarsi dal pacchetto base! Ho passato ore per cambiare 2 colori... tutto su css tocca lavorare! Poi vorrei/dovrei installare delle mod... non ci voglio manco pensare...

[seneca]

come possono conoscere la pass??? E poi avrò mandato un milione di controlli antivirus antispy ecc... Possono entrare nel db direttamente?

Hai altri script con form sul sito che "dialogano" direttamente col db? Potrebbero essere entrati da li. Sei stato capace a ricambiare i dati di accesso?

Per la cronaca sto già provando in locale phpBB3... ma sarà lunga... è piuttosto difficile! Sopratutto spostarsi dal pacchetto base! Ho passato ore per cambiare 2 colori... tutto su css tocca lavorare! Poi vorrei/dovrei installare delle mod... non ci voglio manco pensare

Perchè non cambi proprio forum a questo punto? Io sto "testando" mybb in questi giorni e non è malaccio...

[Ufobm]

Grazie seneca per la risposta!
Dunque... si ho altri script... ma leggono solo la tabella phpbb_users... non ci si scrive mai nulla...

Il myBB se non sbaglio (ed è facile che sbagli ) dovrebbe essere molto versatile, ma con poche funzioni... a questo punto preferisco lasciare la 2... e passare alla 3 è la soluzione migliore penso! Vbulletin (questo) non è male...

Cmq ora che mi ci hai fatto pensare dovrò forse cambiare tutti gli script... che depressione... anche se username e user_password ci sono ancora come campi... ma c'è un username_clean e il livello (mod ed admin) non capisco più come si ricava... uff...

EDIT:
Scusa, mi ero dimenticato di scriverti che si, siccome il db ha altra password ho risistemato da lì! QUindi tutto apposto! Cmq se è colpa dei miei script, come si spiega il primo problema (in cui avevano sempre modificato un campo del db, ma non richiamato dai miei script)?

[seneca]

Il myBB se non sbaglio (ed è facile che sbagli ) dovrebbe essere molto versatile, ma con poche funzioni... a questo punto preferisco lasciare la 2... e passare alla 3 è la soluzione migliore penso! Vbulletin (questo) non è male...

Provalo, a me non sembra cosi sfornito. Vbulletin è a pagamento e non è paragonabile con phpBB e myBB, ma tra i due free c'è concorrenza E poi prendi il lato positivo che raramente si sente di forum myBB attaccati, a differenza di quelli phpBB

Scusa, mi ero dimenticato di scriverti che si, siccome il db ha altra password ho risistemato da lì! QUindi tutto apposto! Cmq se è colpa dei miei script, come si spiega il primo problema (in cui avevano sempre modificato un campo del db, ma non richiamato dai miei script)?

Non lo so, magari hai li sotto mano uno script qualsiasi e non te ne accorgi...

[Ufobm]

Non lo so, magari hai li sotto mano uno script qualsiasi e non te ne accorgi...

Prova a spiegarti meglio ... Non ho capito cosa intendi... di script ne ho ma tutti di lettura pass e username (sulle tabelle phpBB)...

[funcool]

Magari qualcuno tramite quegli script è riuscito a leggere la tua password.

[seneca]

Prova a spiegarti meglio

Intendevo qualche script basato su php/mysql, magari testato e poi lasciato inconsapevolmente online, che permette injections.

[Ufobm]

Mah... io non sono un esperto... però sicuramente non ci sono script lasciati a metà perché faccio sempre tutto in locale prima... ora mi è andato a fancool il pc... sono da quello di mia sorella... cmq gli script li potete controllare dal sito, tutti sono disponibili!

[funcool]

E' disponibile il codice di questi script? Dove?

[Ufobm]

E' disponibile il codice di questi script? Dove?

No mi sono spiegato male! Il codice non è disponibile di certo! Però gli script sono tutti utilizzabili dagli utenti registrati! E capirne il funzionamento è semplice!