tentativo di hacking appena scampato (spero)

[darkwolf]

Salve ragazzi!
Un attimo fa si è registrato un utente nel mio forum,
Incuriosito dalla mail ho visto di capire un pò chi fosse ed ecco che in un attimo questo è diventato amministratore
Scioccato ho eliminato subito il suo account e l'ho rimesso come utente standard quindi ho bannato tutto quanto.
ecco i dati appena raccolti:

partner5408xxxx at vansoftcorp.com

87.13.210.xxx

L'utente risulta ancora connesso (come visitatore) quindi ho messo sito e forum in manutenzione).
Potete aiutarmi a capire cosa stà succedendo?

SMF e MKPortal + wordpress tutto aggiornato.
-
PS sono appena entrato nel pannello per titarmi giu un backup del database ed ho trovato un avviso:

Codice:

hai occupato oltre l'85% del tuo spazio, se hai un database mysql attivo ricorda che affinchè le applicazioni che lo usano funzionino come si deve è necessario mantenere sempre un po' di spazio libero, ricorda che le risorse di cui disponi sono incrementabili cliccando sul link risorse e upgrades

c'ero entrato ieri sera e lo spazio era ok!
Avrà smanettato sul database?

[SolitaryExplorer]

E quindi?
No, cioè... Dico... La puoi anche spiegare?

P.S. Togli l'indirizzo email il prima possibile e già che di sei anche il suo indirizzo IP, già che ancora è connesso a internet.
Hai sbagliato sezione e addirittura luogo.

E, cosa più importante, "shocckato" si scrive con una "h" tra la "c" e la "k"! (Vedi dizionario)

[darkwolf]

E quindi?
No, cioè... Dico... La puoi anche spiegare?

P.S. Togli l'indirizzo email il prima possibile e già che di sei anche il suo indirizzo IP, già che ancora è connesso a internet.
Hai sbagliato sezione e addirittura luogo.

E, cosa più importante, "shocckato" si scrive con una "h" tra la "c" e la "k"! (Vedi dizionario)

va be ma capiscimi, sono un pò in agitazione, non m'era mai successo e questo s'è fatto amministratore su smf
Consigli su come comportarmi?

[SolitaryExplorer]

Che versione hai di smf?
Hai installato moduli o plugin aggiuntivi?

"Avrà smanettato sul database?"
E non sei capace da phpMyAdmin di vedere se ci sono modifiche rilevanti?

[darkwolf]

Che versione hai di smf?
Hai installato moduli o plugin aggiuntivi?

1.1.4
si ho parecchi moduli.
Mo li listo.
-
Edit:

Codice:

Googlebot & Spiders Mod
Enchanced post template
SmileyLimit 	1.0
Signature Dropdown Choices 	1.0
Zodiac Starsigns 	1.0
Read Topic Permission Mod 	1.0.4
SMF Ajax Registration Feedback 	1.0.0
BBC-Google for SMF 1.1.2 (ver. 2.5.2) 	2.5.2
Enhanced Calendar 	1.1
Simple ImageShack 	2.0.3
SMF Shoutbox 	1.16 
Language Drop 	1.3
Sticky First Post (extends sticky topic) 	1.3.2
Visual Verification Options 	0.3
SMF Gallery Lite 	1.8.1.1
Avatar on Member List 	1.0
SMF Arcade 	2.0.12
SMF 1.0.12 / 1.1.4 / 2.0 b1.1 Update 	1.0
Integrated Chat 	2.7
Are You Human? Anti-Bot Registration Check 	1.0
Reason For Editing Mod 	1.14

[SolitaryExplorer]

Non c'è bisogno di fare l'elenco.
Saprai tu se li hai scaricati da fonti sicure o meno.
Controlla sui siti da cui hai preso i moduli se ci sono notizie utili circa sicurezza e aggiornamenti.

Avevi una password semplice?
Modificala comunque per precauzione.

[darkwolf]

Non c'è bisogno di fare l'elenco.
Saprai tu se li hai scaricati da fonti sicure o meno.
Controlla sui siti da cui hai preso i moduli se ci sono notizie utili circa sicurezza e aggiornamenti.

Avevi una password semplice?
Modificala comunque per precauzione.

password parecchio complessa! e i moduli sono stati scaricati tutti da smitaly o smf ufficiale!
Mo provo a capire se ci sono precedenti.
per adesso lascio in manutenzione.

Salve ragazzi!
Un attimo fa si è registrato un utente nel mio forum,
Incuriosito dalla mail ho visto di capire un pò chi fosse ed ecco che in un attimo questo è diventato amministratore
Shocckato ho eliminato subito il suo account e l'ho rimesso come utente standard quindi ho bannato tutto quanto.
ecco i dati appena raccolti:



L'utente risulta ancora connesso (come visitatore) quindi ho messo sito e forum in manutenzione).
Potete aiutarmi a capire cosa stà succedendo?

SMF e MKPortal + wordpress tutto aggiornato.
-
PS sono appena entrato nel pannello per titarmi giu un backup del database ed ho trovato un avviso:

Codice:

hai occupato oltre l'85% del tuo spazio, se hai un database mysql attivo ricorda che affinchè le applicazioni che lo usano funzionino come si deve è necessario mantenere sempre un po' di spazio libero, ricorda che le risorse di cui disponi sono incrementabili cliccando sul link risorse e upgrades

c'ero entrato ieri sera e lo spazio era ok!
Avrà smanettato sul database?

ho letto il tuo post e trovo strano che sia riuscito solo registrandosi a diventare admin,sicuramente ha usato un'altro sistema e quell'email presumo sia falsa,comunque tienici aggiornati.

ciao

[darkwolf]

ho letto il tuo post e trovo strano che sia riuscito solo registrandosi a diventare admin,sicuramente ha usato un'altro sistema e quell'email presumo sia falsa,comunque tienici aggiornati.
ciao

da phpstats ricevo queste info:

Codice:

Linux	Mozilla 1.8.1.12	1280x1024 24 bit	87.13.210.xxx
 Paese: 
	Italia
Ora
	
Pagine visitate [12]
 18:46:18 	/forum/index.php?action=register
 18:47:55 	/forum/index.php?action=register2
 18:48:32 	/forum/index.php?action=activate;u=213;code=(codice ecc...)
 18:49:10 	/forum
 18:50:13 	/forum/index.php?action=profile
 18:51:09 	/forum/index.php?action=profile
 18:51:21 	/forum/index.php?action=admin
 18:51:35 	/forum/index.php?action=admin
 18:51:50 	/forum/index.php?action=viewErrorLog;desc
 19:06:00 	/forum/index.php?action=profile
 19:07:05 	/
 19:07:20 	/forum/

ed è necessaria l'attivazione via mail prima di poter essere attivato l'account.
Intanto gli ho mandato mail e pm per chiedere una conversazione ma non ricevo risposte ne notifiche di invio fallito quindi la mail in qualche modo esiste.

ho notato che hai dei moduli per le immagini, hai una sezione del sito dove gli utenti possono uploadare immagini per caso?

[darkwolf]

ho notato che hai dei moduli per le immagini, hai una sezione del sito dove gli utenti possono uploadare immagini per caso?

si la gallery!
Perchè?
Il problema è che essendo diventato admin ha pure svuotato il log errori e quindi non so cos'ha fatto di preciso.

controlla tutte le immagini all'interno della gallery se sono tutte visibili ma non dalla gallery stessa ma nella cartella.

[darkwolf]

controlla tutte le immagini all'interno della gallery se sono tutte visibili ma non dalla gallery stessa ma nella cartella.

ok mi sto scaricando tutti i file della gallery ;)
Anche se la data dell'ultimo file inviato risale a due settimane fa!
Edit!
mi sono fatto il backup del database ed eccp cosa vedo cercando il suo username:

Codice:

(213, 'qwerty', 1205689669, 0, 0, 'italian', 1205690811, 'qwerty', 1, 1, '', '', 'pelodi****?', 'e8b0faa145c45tagliatainquantosarebbelapassword', 'partner54084980 at vansoftcorp dot com', '', 0, '0001-01-01', '', '', '', '', '', '', '', 1, 1, '', '', 0, '', 1, 0, 0, '', 1, 1, 0, 2, '87.13.210.xxx', '87.13.210.xxx', '', '', 0, 11, '', 843, '', '', 4, 394, '0284', NULL, 0, 0, 0);

Mi sa che ha usato una SQL injection

sto andando per esclusione , con le immagini e facile immettere script maligni camuffandoli come immagini.

[darkwolf]

sto andando per esclusione , con le immagini e facile immettere script maligni camuffandoli come immagini.

vedi sopra, ho editato :)

ho visto,prova a documentarti sulle SQL injection ,basta anche usare una c99 se hai un sistema vulnerabile

[darkwolf]

ho visto,prova a documentarti sulle SQL injection ,basta anche usare una c99 se hai un sistema vulnerabile

mi sa che fino a quando non capisco lo tengo in manutenzione.
Intanto sto backuppando l'intero sito, già backuppato il database.
le immagini sono tutte ok (appena confermate una ad una).
nella query li sopra si nota di strano:
"messageLabels=pelodi****?" (gli altri ce l'hanno vuoto, me compreso) e "is_activated=11" (gli altri ce l'hanno @1, solo questo @11)

cerca qui quello che t'interessa e vedi se trovi qualche indicazione tecniche sql injetction oppure tecniche hacker

[darkwolf]

cerca qui quello che t'interessa e vedi se trovi qualche indicazione tecniche sql injetction oppure tecniche hacker

ok grazie
PS se conoscete una query per bloccare i nuovi amministratori ve ne sarei grato, almeno rimetto up il sito
-
Forse ho capito qual'è il problema, che ne dite?

Codice:

link censurato per non agevolarne la divulgazione

Potrei bloccare la stringa con htaccess?

allora qui ti scrivo una lista dove potrai trovare metodi di difesa contro le sql injection e spigazioni al riguardo :

• sistema di difesa sql injection e spiegazioni 1
• sistema di difesa sql injection e spiegazioni 2
• sistema di difesa sql injection e spiegazioni 3
• sistema di difesa sql injection e spiegazioni 4
• Manuale gratuito sql injection

ciao e buona lettura

[darkwolf]

allora qui ti scrivo una lista dove potrai trovare metodi di difesa contro le sql injection e spigazioni al riguardo :

• sistema di difesa sql injection e spiegazioni 1
• sistema di difesa sql injection e spiegazioni 2
• sistema di difesa sql injection e spiegazioni 3
• sistema di difesa sql injection e spiegazioni 4
• Manuale gratuito sql injection

ciao e buona lettura

grazie mille!
Ho scritto anche su smitaly, vediamo se in gruppo si riesce a scoprire il "bug"

Ehi, ma anche a me si registrano continuamente utenti di questo tipo su mkportal e puntualmente li cancello e, caso strano, nel momento in cui ha iniziato a non funzionarmi, mi è apparso quell'avviso dello spazio occupato!!! Non è che quindi non mi funziona perché mi hanno hackerato il sito (vedere altro thread)? Ma se così fosse, non dovrebbe esserci un messaggio che mi dice che me l'hanno hackerato? Ma perché mai, poi, un sito con pochi iscritti come il mio? A chi dava fastidio?

[darkwolf]

Ehi, ma anche a me si registrano continuamente utenti di questo tipo su mkportal e puntualmente li cancello e, caso strano, nel momento in cui ha iniziato a non funzionarmi, mi è apparso quell'avviso dello spazio occupato!!! Non è che quindi non mi funziona perché mi hanno hackerato il sito (vedere altro thread)? Ma se così fosse, non dovrebbe esserci un messaggio che mi dice che me l'hanno hackerato? Ma perché mai, poi, un sito con pochi iscritti come il mio? A chi dava fastidio?

ma sono utenti che diventano amministratori?
E ne parli così tranquillamente come fosse una cosa normale?
Edit!
In collaborazione con DarkNico abbiamo scoperto che hanno sfruttato la shoutbox per rubarmi i cookie e quindi ottenendo il sid ha sfruttato un altro bug recente che lo ha trasformato in admin ;)

In collaborazione con DarkNico abbiamo scoperto che hanno sfruttato la shoutbox per rubarmi i cookie e quindi ottenendo il sid ha sfruttato un altro bug recente che lo ha trasformato in admin ;)

Bene , almeno torni online senza problemi,magari rendi il bug pubblico per altri utenti che usano il tuo stesso cms.

Ehi, ma anche a me si registrano continuamente utenti di questo tipo su mkportal e puntualmente li cancello e, caso strano, nel momento in cui ha iniziato a non funzionarmi, mi è apparso quell'avviso dello spazio occupato!!! Non è che quindi non mi funziona perché mi hanno hackerato il sito (vedere altro thread)? Ma se così fosse, non dovrebbe esserci un messaggio che mi dice che me l'hanno hackerato? Ma perché mai, poi, un sito con pochi iscritti come il mio? A chi dava fastidio?

non devi mai essere indifferente su certi argomenti sia che hai pochi o molti utenti,non so tu quanta importanza dai al tuo lavoro, ma se io fossi in te prenderei provvedimenti al riguardo.
Poi guardando il tuo sito in questo momento e' down,non vorrei che qualcuno abbia smanettato dentro il tuo cms.


ciao

[Darknico]

come dire...tutto è bene cià che finisce bene... ;)
il caro furbetto ha sfruttato due bug: XSS dello shoutbox di SMF (ora non piu disponibile proprio per quello) e un recente CSRF (Cross-site request forgery)

tramite lo shout si è preso il sid dell'admin potendo quindi avere il permesso di impostarsi tutto quello che voleva XD

è stata pubbblikata una patch per lo shoutbox qua
http://www.simplemachines.org/commun...121#msg1462121

[darkwolf]

L'unica "paura" rimane il fatto se s'è tirato giù il database dal pannello di controllo di smf.
Se l'ha fatto li ci sono le mail, e le password md5 degli utenti (Admin compreso).
Leggendo in giro sembra che sia praticamente impossibile ottenere la password chiara da una stringa md5 quindi teoricamente non c'è problema ma...
Perchè allora leggendo su vari siti bug e simili vedo che ci sono procedure per ottenere la password in md5 dell'amministratore?
Cioè se questo ha la mia password in md5 cosa può ottenere?
Edit!
Trovato! Le password md5 di solito le inseriscono in alcuni motori che hanno database di password e da li la ricavano!
Se li non c'è usano dei software bruteforce che in base al tipo di password dopo un pò di tempo "potrebbero" darti una password valida.
Questo ovviamente "può" aver senso per password poco sicure quindi sinceramente credo che per la mia ci vorranno un paio di milioni di anni

Adesso dopo tutti sti post diventano tutti hacker smanettoni

AVVISO

Tutto cio' che e' scritto in questo topic non e' scritto a scopo di far diventare le persone degli hacker ma per potersi proteggere da eventuali intrusioni ed anche per conoscere i metodi di difesa.
Chiunque puo' testare,provare, ma nessun danno deve arrecare.
Molti hacker lavorano per compagnie che forniscono sistemi di sicurezza ad aziende.

LAMER NO GOOD !!

[Darknico]

darwolf ti correggo
smf cripta le password in SHA-1, quindi stai tranquillo ;)

cmq con una password difficile, anche con un bruteforce deve avere molta pazienza XD

[darkwolf]

Adesso dopo tutti sti post diventano tutti hacker smanettoni

Spero di no

darwolf ti correggo
smf cripta le password in SHA-1, quindi stai tranquillo ;)
cmq con una password difficile, anche con un bruteforce deve avere molta pazienza XD

ah ok allora tanto meglio

Solitamente non diventavano amministratori, ma non so cosa sia successo stavolta. Sì, lo so che il mio sito è out. Non si tratta di lavoro, era solo una community di ex compagni di scuola...però ci tenevo! :(
Come faccio a ripristinarlo (senza perdere i contenuti del blog)?
Per favore parlate in termini semplici perché non sono esperta.