Come risalire ai n. IP degli utenti collegati nel vs server!

Egregi responsabili di altervista,

quest'anno ho inserito nel vostro server un mio forum e per ben due volte mi è stato distrutto da anonimi senza scrupoli. L'ultimo attacco me lo hanno effettuato ieri sera e questo che potete vedere cliccando sul link è il risultato di mesi e mesi di lavoro: utenti, messaggi, template, amministrazione...cancellati!
http://www.missrossella.altervista.o...bise/index.php
Vi chiedo se per voi è possibile risalire ai numeri ip degli utenti collegati nel vostro server a questo indirizzo http://www.missrossella.altervista.o...bise/index.php dalle ore 22.40 del 6/4/03 alle 2.00 del 7/4/03. Con la massima sicurezza so di essere l'unico utente fino alle 22.40...mentre nel momento della manomissione del forum eravamo collegati in 6 ed il forum subiva delle variazioni di minuto in minuto!!!
Spero di ricevere al più presto da voi una risposta positiva in quanto c'è il reale pericolo che il vostro server non sia protetto da gente stupida che non ha nulla di meglio da fare che non di distruggere il lavoro altrui...ed a me in pochi mesi è già capitato due volte nel vs. server!

Cordiali saluti.

Enrico

Egregi responsabili di altervista,

quest'anno ho inserito nel vostro server un mio forum e per ben due volte mi è stato distrutto da anonimi senza scrupoli. L'ultimo attacco me lo hanno effettuato ieri sera e questo che potete vedere cliccando sul link è il risultato di mesi e mesi di lavoro: utenti, messaggi, template, amministrazione...cancellati!
http://www.missrossella.altervista.o...bise/index.php
Vi chiedo se per voi è possibile risalire ai numeri ip degli utenti collegati nel vostro server a questo indirizzo http://www.missrossella.altervista.o...bise/index.php dalle ore 22.40 del 6/4/03 alle 2.00 del 7/4/03. Con la massima sicurezza so di essere l'unico utente fino alle 22.40...mentre nel momento della manomissione del forum eravamo collegati in 6 ed il forum subiva delle variazioni di minuto in minuto!!!
Spero di ricevere al più presto da voi una risposta positiva in quanto c'è il reale pericolo che il vostro server non sia protetto da gente stupida che non ha nulla di meglio da fare che non di distruggere il lavoro altrui...ed a me in pochi mesi è già capitato due volte nel vs. server!

Cordiali saluti.

Enrico

Ho provato ad entrare in questo momento ed il forum si vede, cmq prova a contattare lo staff, come già spiegato io sono solo un moderatore, e non faccio parte dello staff, quindi per contattarli basta che invii una mail a :
gianluca@altervista.org
feedback@altervista.org

Il forum si vede ma è completamente ingestibile ed inutilizzabile! E' stato manomesso ed io non posso entare nell'amministrazione per rimetterlo apposto...è tutto da buttare!

Un utente che sa come distruggere il tuo forum, sa anche come difendersi da mezzi come quelli che vuoi mettere in atto tu, comunque se vuoi registrare in un file di log .... ecco come fare:

[code:1:648726e467]
$file_refer = 'domino';
$refer_open = fopen("$file_refer", "a");

$referer = getenv("HTTP_REFERER"); //referer
if($referer == "") $referer = 'Diretto o Refreshed';
$ip = getenv("REMOTE_ADDR"); //IP
$host = gethostbyaddr($ip); //Host dell' IP
$comp = getenv("HTTP_USER_AGENT"); //Altro.


//data della visita
$date = date("d F Y");
$time = date("h:i:s a");

fputs($refer_open, "$date<$time<$ip<$host<$browser&l t;$OS<$referer\n");
fclose($refer_open);

[/code:1:648726e467]

Metti questo in un file, chiamalo in qualche modo .php e inseriscilo nel file che controlla il log nel tuo forum, con la funzione include('nome_file.php');
Dentro al file di testo chiamato domino,, potrai trovare il log dei tuoi visitatori.

azz. grazie per l'aiuto ma purtroppo per me spiegato così è troppo complicato :-(

Bene, questo argomento mi interessa ma purtroppo anche per me è difficile capire questa cosa: me lo potreste spiegare anche con eventuali screenshot? se volete mandarmi una e-mail con tutto a roratonet@libero.it oppure mi potete trovare in chat di messenger, ICQ ecc.!!!

[Gianluca]

Ciao Enrico, l'aspetto della sicurezza è qualcosa che si prende in considerazione con una certa attenzione alcune volte anche rischiando di imporre determinate limitazioni all'utilizzo del servizio stesso.

Con questo non voglio asslutamente dire che un problema di siurezza sia da escludere a priori, in quanto in questo campo nessuno può mai affermare una cosa simile, posso però dire che nella maggior parte dei casi il problema risiede in uno script php che magari non è stato patchato (vedi caso phpnuke), questa ipotesi può essere avvalorata proprio dal fatto che il tuo account non è stato apparentemente compromesso, e l'oggetto del'attacco è stato proprio lo script php.

Per fare in modo che il problema non si ripeta è necessario da parte tua provvedere a questo, d'altra parte provvederemo anche noi a portare a termine tutte le verifiche necessarie per vedere se qualcosa non funziona a dovere.

1)nn puoi tracciare in alcun modo l'attacco:si saranno proxaty o saranno passati da shell bucate!
e fare un'inchiesta internazionale arrivando poi a nulla nn mi sembra il caso!
2)per risolvere la cosa scarica l'ultima versione del tuo forum sperando che sia bug fix oppure scarica phpbb2.0.4!:)
saluti

il problema non è su altervista ma sul tuo sito...

per la precisione il problema potrebbe essere un bug di Yabb (difficile...) una mala installazione di Yabb (più possibile...) il fatto che hai installato Yabb senza puoi rimuovere dei file che magari potevano essere utile a un'attaccante per (resettarti - reinstallarti - cancellarti) il tuo forum (quasi sicuro)...

Un'altra possibiltà è che il prob risieda a monte...Magari questo ignoto è più vicono di quanto pensi....Magari conosce semplicemente la pass della tua mail e non fa altro che richiedere una nuova pass admin dal tuo sito leggerla dalla tua posta entrare nel pannello admin e cambiare tutto...

Quindi cambia ogni tot di tempo la pass della tua posta elettronica...

Poi parte che loggare tutti gli utenti dei siti ospitati da altervista, da parte della stessa altervista sarebbe un pochino come farsi "pipi" sulle scarpe (na specie di auto Denial Of Service)

Non è più conveniente che magari ti dai na letta del linguaggio PHP (come mè toccato anche a me fare...) e controllare sempre in ogni sua parte uno script per confezzionato come ad esempio uno Yabb...

Inoltre la prossima volta perchè non limiti l'acesso all'admin area con una ulteriore pass (limitando l'accesso a quella zona direttamente dal pannello di altervista...)

Ciauz

E' possibile quindi che il tutto sia dipeso dallo script php...ma chiunque può fare ciò che ha fatto oppure solo chi conosce molto bene lo yabb?

se nn hai cancellato il file di istallazione tipo install.php basta andarci via explorer per resettarti tutto:)
diobono trvato l'errore:
vai qua:
http://www.missrossella.altervista.o...se/install.php
e scopri come resettarti il forum!:)))
cancella il file install !!!!!!!

Cancella il file install

Ho provato anche io ad aprire la pag con l'indirizzo del mex percedente... avrei potuto anche io resettariti il forum :? :? :?

Non conosco lo yabb, ma comunque di solito dopo aver installato un forum su server, bisogna sempre cancellare tutta la cartella install.
Ad ogni modo, leggere i files readme e similari, fa sempre bene, anche se sono in serbo croato ;)

la pagina è ancora presente...

[twisterdark]

Ma dai...fai come me!
Cancella il file install.php prima di installare il forum. Risparmi tempo, e ,se ti viene davvero voglia di installare il forum, rimani fregato dal principio 8)
Lol apparte scherzi cancellate sempre i file di installazione appena conclusa la stessa!!

il fatto che hai installato Yabb senza puoi rimuovere dei file che magari potevano essere utile a un'attaccante per (resettarti - reinstallarti - cancellarti) il tuo forum (quasi sicuro)...

Ora io lo avevo detto cosi in maniera "velata" per fargli capire dov'era il prob....

mhaaa

diobono trvato l'errore:
vai qua:
http://www.missrossella.altervista.o...se/install.php
e scopri come resettarti il forum!))

insomma ecco cosi si inpara a usare programmi gia belli che confezionati senza manco aver letto prima il readme o una minima documentazione....

mhaa... Dai speriamo solo che non capiti piu in futuro....

Altro che attacco Hacker...Qui siamo all'estremo contrario :D :D :D

cmq la prox volta io consiglio di mostrare questi errori con link annessi via PM...Non si sa mai ;)

Ahh cambia anche la password del tuo occount in quanto è quella che lo "spreggiudicato hacker" (muHAUhauHAUhauhA) ha usato per reinpostarti il DB (perchè credo sia quello che ha cancellato...

[Dodi]

Altro che attacco Hacker...Qui siamo all'estremo contrario

.....

Cancella il file install

Ho provato anche io ad aprire la pag con l'indirizzo del mex percedente... avrei potuto anche io resettariti il forum :? :? :?

Il file è ancora presente ed è assato un giorno :? :? :? :?

Complimenti oceano sabia è ancora online il file...


Io rimango allibito...

a questo punto, sebbe io non si aun mago del php, posso darti un consiglio... lascia perdere i forum e le pagine web.. rischi solo di incasinarti la vita....

Cancella il file install

Ho provato anche io ad aprire la pag con l'indirizzo del mex percedente... avrei potuto anche io resettariti il forum :? :? :?

Il file è ancora presente ed è passato un giorno :? :? :? :?

Il file è ancora presente e sono passati 3 giorni :? :? :? :? :? :? :? :? :? :? :? :? :? :? :? :? :? :? :? :?

[Dodi]

ormai siamo al tripudio! è una festa direi!

Ti sei rassegnato???

il file e' ancora li'
mi sa che qualcuno e' morto dalla vergogna......
ma ripigliati che meta' di quelli che hanno risposto ti hanno ben consigliato solo per il fatto che il tuo errore lo avevano fatto loro in passato ( me compreso)
ciao ciao
Nicolino

[Gianluca]

Non c'è nulla da vergognarsi, è una semplice dimenticanza che può capitare a tutti, anche ai più esperti