Sito hackerato

Salve, stamattina ho trovato una bella sorpresa nel mio sito, si presentava cosi:

Ora mi chiedo come avranno fatto?
Devo dire che siamo solo 2 amministratori, io ed un altro che mi fido ciecamente, nessun altro conosce le password, allora è possibile ci sia stata un infiltrazione nel database mysql? avete qualche consiglio da darmi? se vi può essere d'aiuto, le sezioni sono state create e non modificate.
grazie

[naviland]

ci sono davvero tanti modi per farlo l'importante è che tu ora cambi tutte le password e inviti anche i tuoi utenti a fare lo stesso.
Ho avuto anche io un problema simile dovuto a un form non adeguatamente protetto ogni giorno oltre 50 messaggi di spam ho disseminato captcha in ogni form.

Si il captcha l' ho messo anche io, però qui secondo me agiscono direttamente dal database mysql, c'è un modo per cambiare database?

[LastWings]

Intanto aggiorna anche la versione del forum, leggo che hai SMF 2.0.4.

Mentre c'è la 2.0.5 con relativo changelog...

! Fixed a problem with upgrade.php that wasn't able to continue after db errors (thanks akc42 for the fix)
! Fixed code injection in manage language pages (thanks HauntIT for the report)
! Fixed XSS in the news page, emails field (thanks HauntIT for the report)
! XSS in personal messages page (thanks HauntIT for the report)

[naviland]

Non credo abbiano attaccato il database, hanno ottenuto l'accesso amministrativo SMF e da li hanno aggiunto i messaggi e i forum di spam.

Per ottenere la password potrebbero aver usato un metodo brute force oppure un keylogger nel tuo pc o in uno dal quale ti sei connesso.
Io metterei mano a tutti i log a cui ho accesso per cercare di capire da dove proveniva l'attacco e quale falla hanno sfruttato, se non lo fai ricapiterà. Tu cambi la password e loro la ritrovano di nuovo come hanno fatto la prima volta.

Non credo abbiano attaccato il database, hanno ottenuto l'accesso amministrativo SMF e da li hanno aggiunto i messaggi e i forum di spam.

Per ottenere la password potrebbero aver usato un metodo brute force oppure un keylogger nel tuo pc o in uno dal quale ti sei connesso.
Io metterei mano a tutti i log a cui ho accesso per cercare di capire da dove proveniva l'attacco e quale falla hanno sfruttato, se non lo fai ricapiterà. Tu cambi la password e loro la ritrovano di nuovo come hanno fatto la prima volta.

Infatti, mi ritrovo gente estranea come moderatore senza che io le abbia messe, quindi è plausibile quello che dici, ma come fanno a scoprire le password che metto? come funziona sto keylogger? come leggo i log e come faccio a capire quela falla stanno sfruttando?
Infine se aggiorno alla 2.0.5 perdo qualche dato del forum? e come lo aggiorno?
Grazie!

[naviland]

Gli attacchi che possono mettere in alto sono molti (e per ovvie ragioni non li elenco).

Un brute force è molto semplice serve solo un pò di tempo, ma lo può fare chiunque, sapendo il nome utente provi tutte le possibili password fino a che non trovi quella giusta, in questo caso una captcha ti mette al riparo.

Un keylogger è un programma nel tuo pc (o in uno dal quale ti sei connesso) che registra i dati che inserisci nei form quindi anche la tua password, è molto più complesso come attacco ma una scansione con un antivirus non guasta mai.

Per i log http://wiki.simplemachines.org/smf/Logs analizzandoli (fai in fretta i nuovi accessi in amministrazione cancellano quelli vecchi) puoi vedere quale account è stato attaccato, da quale ip, quando e quante volte prima di ottenere l'accesso.

Aggiornare è importantissimo sia per applicazioni desktop che per i CMS, ti mette un pò più al riparo da questi attacchi. Salvo errori, non perdi dati quando aggiorni. Ti consiglio quindi di fare un backup del database e dei file.