defacciato nuovamente

è da luglio che tribolo con degli arabi/israeliani che mi defacciano in continuazione

la prima volta sono entrati probabilmente tramite il portale xoops che non era stato aggiornato

adesso il portale è aggiornato ma da quello che ho capito sono entrati direttamente lato server, probabilmente con la password di amministratore che adesso ho cambiato

hanno inserito prima una gif animata contenete del codice eseguibile (se serve ho una copia dell'immagine e sono riuscito a estrarre il codice che conteneva), poi hanno rinominato la index.php dentro \module\news inserendo un index.html che visualizzava la gif animata

ma è altervista che è bucata o è xoops ?
come fanno ad entrare dal server ?
dove/come prendono le pass ?

hanno anche sostituito degli avatar direttamente nel database mysql lasciando inalterati quelli accessibili dal server....

mi piacerebbe farli smettere, se vi mando il codice che punta a un provider israeliano, pensate che sia possibile risalire al *****ne ????

[Gianluca]

Puoi mandare i dati che hai raccolto all'abuse, il punto è che la procedura che hai descritto è abbastanza comune e diffusa, generalmente non è neanche necessario che si disponga della password, si tratta, da quello che sembra di un exploit, che può conferire accesso al database del portale come anche ai suoi files.

Quello che ti conviene fare, a breve, è analizzare l'iter dell'attacco ed eventualmente individuare se e quale modulo può essere stato il bersaglio per disabilitarlo.

per tua esperienza c'è qualche struttura di portale gratuito meno tartassata di xoops ?

o sono tutte uguali ?

chiedo scusa ma ho fatto involontariamente una cavolata e solo dopo mi sono reso conto....

ho modificato gli attributi di file e cartelle dentro alla directory xoops_ita dove risiete il portale e giustamente adesso non funziona più niente

con il capo cosparso di cenere chiedo : è possibile ripristinare gli attributi nello stato in cui normalmente dovrebbero trovarsi ?

ditemi di si per favore :(

grazie mille

[Dodi]

scusa che hai modificato in pratica? e perchè non riesci a fare il procedimento inverso?

ho modificato gli attributi di file e cartelle (CHMOD) sul server

c'è anche scritto da qualche parte di non farlo ma me ne sono dimenticato e adesso se tento di ripristinarli mi dice che non ho le autorizzazioni necessarie per farlo

...giustamente

[Gianluca]

Via FTP puoi farlo, le cartelle e i files hanno comunque i permessi di scrittura, prima devi ridare i privilegi alle cartelle e poi ai files contenuti in esse.

ci riprovo ma sembrava che non funzionasse....
------------------
non era un UP ma solo un aggiornamento
-----------------

allora ho terminato adesso di agiornare i permessi di tutti i file e cartelle
non ho avuto altri errori ma continua a ricevere un messaggio strano che ti posto qua sotto

Non puoi accedere alla pagina o directory desiderata, ecco le possibili ragioni:

# La directory non contiene un file indice, comunemente (index.html).
# Non sei connesso con un numero IP valido (IP: 151.37.xxx.xxx, se stai usando un proxy puoi provare a disabilitarlo e riconnetterti.
# Il traffico verso quest'area del sito è bloccato, oppure non hai l'autorizzazione per accedere alla risorsa che hai richiesto

l'indirizzo a cui punta la home è il seguente:

http://baccanoinside.altervista.org/xoops_ita/index.php

------------------------------

ho ricontrollato e sembrerebbe che si fosse corrotto il mainfile.php che adesso punta a d un indirizzo che non trova dentro a membri2

ho controllato anche che

define('XOOPS_CHECK_PATH', 0);

e è corretto

non è per caso che ci sono contemporaneamente dei problemi con il server ?

-------------------------

questo è quello che ottengo adesso :

Fatal error: main(): Failed opening required '/membri2/baccanoinside/xoops_ita/include/common.php' (include_path='.:') in /membri2/baccanoinside/xoops_ita/mainfile.php on line 95

[Dodi]

ti avverto che al prossimo up ti chiudo il topic! usa il tasto EDITA non postare messaggi consecutivi!

[Gianluca]

Questa catena di errori è chiaramente dato dal settaggio scorretto dei permessi delle cartelle, i permessi che hai impostato per le cartelle sono errati, reimposta tutte le cartelle a 077 fino a quando non cessano di presentarsi errori.

Questo è il motivo principale perchè si sconsiglia vivamente di cambiare i permessi di default.

grazie mille

provo ancora e ti faccio sapere

scusa per il rompimento, sono proprio stato un ******** e lo sapevo anche che non dovevo modificare i permessi (mi sono lasciato trasportare da una "guida per la sicurezza pubblicata da xoops)
-----------------------
sto metendo tutti i file a 666 e le cartelle a 777

spero che così vada
------------------------
niente da fare...adesso non va niente e non da errori, boh
------------------------

teoricamente adesso rifunziona, solo che mi ha segato via le tabelle del db riferite alle news e questo manda in stallo la home

comunque adesso ho capito e se vuoi puoi chiudere il thread


grazie