come si analizza il log dopo attacco da hacker?

[ivanom.]

ciao è il mio prinmo post. sono stato hackerato un paio di giorni fa, ho scoperto che avevano infettato l'index.php. vorrei sapere come analizzare il log per poter scoprire come sono entrati, mi potete aiutare? il log è qui: http://www.filedropper.com/psicologa...it-accesslog_1
grazie a presto
uso wp era la 3.8, poi l'ho aggiornata a 3.9.1 ieri
se ho dimenticato qualche info ditemi pure

[Chill-Out]

Quote:

Originariamente inviato da ivanom.

ciao è il mio prinmo post. sono stato hackerato un paio di giorni fa, ho scoperto che avevano infettato l'index.php. vorrei sapere come analizzare il log per poter scoprire come sono entrati, mi potete aiutare? il log è qui: http://www.filedropper.com/psicologa...it-accesslog_1
grazie a presto
uso wp era la 3.8, poi l'ho aggiornata a 3.9.1 ieri
se ho dimenticato qualche info ditemi pure

Ciao, allega il log in formato .txt

Vedi inoltre https://sucuri.net/wordpress-security-monitoring

[ivanom.]

ciao Chill-out grazie. Devo allegare il file qui? o sempre su file dropper? ho dato un'occhiata al plugin, appena ho tempo mi registro e lo scarico, ma analizza i file e tutto il resto anche dopo un attacco individuando i file corrotti? grazie

[Chill-Out]

Quote:

Originariamente inviato da ivanom.

ciao Chill-out grazie. Devo allegare il file qui? o sempre su file dropper? ho dato un'occhiata al plugin, appena ho tempo mi registro e lo scarico, ma analizza i file e tutto il resto anche dopo un attacco individuando i file corrotti? grazie

Si, sempre su File Dropper, per la seconda domanda:

Quote:

How does it work?

Web Application Firewall. Block attacks before they reach your site.
Integrity Monitoring. Receive notifications if any of your files are modified.
Audit Logs. Keep track of everything that happens inside WordPress, including new users, posts, login failures and successful logins.
Activity Reporting
1-click Hardening. Easy-to-use hardening options for your site.

[ivanom.]

ok ecco il link http://www.filedropper.com/psicologa...it-accesslog_2 preciso che l'attacco è avvenuto tra il 10 e l'11 maggio mattina (me ne sono accorto verso le 13.00-
per la seconda da quanto ne so io di inglese significa che monitora prima che avvenga un attacco giusto?
grazie

[diana33]

Quote:

Originariamente inviato da ivanom.

ok ecco il link http://www.filedropper.com/psicologa...it-accesslog_2 preciso che l'attacco è avvenuto tra il 10 e l'11 maggio mattina (me ne sono accorto verso le 13.00-
per la seconda da quanto ne so io di inglese significa che monitora prima che avvenga un attacco giusto?
grazie

Beh -cosa ti domandi a fare su come sono entrati se il tuo file robots.txt e pieno zeppo di url che non dovrebbero essere ? -mi sembra la casabianca di washington

Codice:

User-agent: *
Disallow: /wp-
Disallow: /cgi-bin/
Allow: /wp-content/uploads/
Disallow: /wp-content/
Disallow: /trackback/
Disallow: /feed/
Disallow: /comments/

Disallow: /forum/*sort=*
Disallow: /forum/index.php?action=activate*
Disallow: /forum/index.php?action=admin*
Disallow: /forum/index.php?action=calendar*
Disallow: /forum/index.php?action=emailuser*
Disallow: /forum/index.php?action=findmember*
Disallow: /forum/index.php?action=help*
Disallow: /forum/index.php?action=helpadmin*
Disallow: /forum/index.php?action=login*
Disallow: /forum/index.php?action=mlist*
Disallow: /forum/index.php?action=modifykarma*
Disallow: /forum/index.php?action=pm*
Disallow: /forum/index.php?action=post*
Disallow: /forum/index.php?action=printpage*
Disallow: /forum/index.php?action=profile*
Disallow: /forum/index.php?action=recent*
Disallow: /forum/index.php?action=register*
Disallow: /forum/index.php?action=reminder*
Disallow: /forum/index.php?action=search*
Disallow: /forum/index.php?action=unread*
Disallow: /forum/index.php?action=unreadreplies*
Disallow: /forum/index.php?action=verificationcode*
Disallow: /forum/index.php?action=who*
Disallow: /forum/index.php?action=stats*
Disallow: /forum/index.php?theme*
Disallow: /forum/index.php?*wap*
Disallow: /forum/index.php?*wap2*
Disallow: /forum/index.php?*imode*
Disallow: /index.php?*rss*
Disallow: /forum/Themes/
Disallow: /forum/Sources

Sitemap: http://psicologaonlinesalerno.it/sitemap_index.xml

Da qui analizzando il url : /forum/index.php?action=admin* con firebug sono risalita ad una password hash che non dovrebbe essere : 28ee07ca0430d2af329f43ee05fcbfc2
Il mio findmyhash dal kali ha falito tutte le ricerche per il md5 e onestamente ,non sto a impostare altre ricerche ,pero sicuramente con cain &abel ,john the ripper or una rainbowtable si puo risalire alla tua password. Basta avere un cpanel e il giocco e fatto. Quindi disabilita tutti i robot.txt basta una /e un astersico ,e cancella tutti i url che sono qui. Sicuramnete il wordpress e pieno zeppo di bug - e qui che si allenano i futuri hacker , e se provo il tuo link con acunetix ne trovero ancora.Esegui un scan -stress test per il web site .Pero ti posso dire un altra cosa :
dal tuo log si puo risalire solo a chi a visitato il tuo site ,e ci sono due acessi un po insoliti - uno da olanda e uno da america(tutti sono italia -telecom ,linksys e vari paesida Varese a centro Liguria) :

Codice:

37.58.100.166 - Geo Information
IP Address 	37.58.100.166
Host 	37.58.100.166-static.reverse.softlayer.com
Location 	NL NL, Netherlands
City 	-, - -
Organization 	SoftLayer Dutch Holdings BV
ISP 	SoftLayer Dutch Holdings BV
AS Number 	AS36351 SoftLayer Technologies Inc.
Latitude 	52°50'00" North
Longitude 	5°75'00" East
Distance 	1702.85 km (1058.10 miles)

Codice:

192.187.110.139 - Geo Information
IP Address 	192.187.110.139
Host 	192.187.110.139
Location 	US US, United States
City 	-, - -
Organization 	DataShack, LC
ISP 	DataShack, LC
AS Number 	AS33387 DataShack, LC
Latitude 	38°00'00" North
Longitude 	97°00'00" West
Distance 	9208.78 km (5722.07 miles)

Quest'ultimo ha persino un account nel tuo site con il nome thomas e con il nickname zmztwwzq16.
Per il resto per poter analizare di piu il log non serve , hai delle phpsessionID che portano solo alle tue pagine . Se era qualcosa di piu il phpsession doveva avere due uguali e il codice in fondo -copiavi il secondo codice dopo il primo = e ti loggavi con tamperdata.
Un altra cosa - il tuo server e gestito da aria ,che con tutto il rispetto per loro ,non li considero granche :
188.135.143.246 - Geo Information
IP Address 188.135.143.246
Host 188.135.143.246
Location IT IT, Italy
City Acri, 03 -
Organization ARIA SPA - WiMAX RAN Customers PoP TI
ISP Aria S.p.A.
AS Number AS48291 ARIA S.P.A.
Latitude 39°48'33" North
Longitude 16°38'33" East
Distance 681.02 km (423.17 miles)
Consiglio finale -prenditi un tuo dominio ,in quanto noto che la pagina e molto seria e di impatto sociale , con una frequenza di 60 % dei visitatori settimananalmente , non ti imbatterai piu in questi problemi.Su net ce ne sono dei template per web site scaricabili per fare la tua pagina come vuoi.

[ivanom.]

grazie Diana

Quote:

Originariamente inviato da diana33

Da qui analizzando il url : /forum/index.php?action=admin* con firebug sono risalita ad una password hash che non dovrebbe essere : 28ee07ca0430d2af329f43ee05fcbfc2
Il mio findmyhash dal kali ha falito tutte le ricerche per il md5 e onestamente ,non sto a impostare altre ricerche ,pero sicuramente con cain &abel ,john the ripper or una rainbowtable si puo risalire alla tua password. Basta avere un cpanel e il giocco e fatto. Quindi disabilita tutti i robot.txt basta una /e un astersico ,e cancella tutti i url che sono qui.

1-il robots txt l'ho fatto per il seo, per evitare di far indicizzare contenuti duplicati, l'ho copiato in giro nel web perchè non sono competente...ma secondo te come dovrebbe diventare quindi per evitare pericoli?

Quote:

Quest'ultimo ha persino un account nel tuo site con il nome thomas e con il nickname zmztwwzq16.

2- l'avevo notato ma l'ho rimosso qualche giorno fa', non m i risulta più presente. a te si?

Quote:

Per il resto per poter analizare di piu il log non serve , hai delle phpsessionID perche solo alle tue pagine . Se era qualcosa di piu il phpsession doveva avere due uguali e il codice in fondo -copiavi il secondo codice dopo il primo = e ti loggavi con tamperdata.

3-per me è arabo non ho capito niente di quello che dovrei fare, scusa la mia ignoranza

[diana33]

Quote:

Originariamente inviato da ivanom.

grazie Diana

1-il robots txt l'ho fatto per il seo, per evitare di far indicizzare contenuti duplicati, l'ho copiato in giro nel web perchè non sono competente...ma secondo te come dovrebbe diventare quindi per evitare pericoli?


2- l'avevo notato ma l'ho rimosso qualche giorno fa', non m i risulta più presente. a te si?


3-per me è arabo non ho capito niente di quello che dovrei fare, scusa la mia ignoranza

Sarebbe troppo da spiegare per il robot txt. Cosi ti dico che queste voci possono rimanere :

Codice:

User-agent: *
Disallow: /wp-
Disallow: /cgi-bin/
Allow: /wp-content/uploads/
Disallow: /wp-content/
Disallow: /trackback/
Disallow: /feed/
Disallow: /comments/

Sitemap: http://psicologaonlinesalerno.it/sitemap_index.xml

Le altre invecce sarano da spostare in una cartella della directory htaccess -
Qui trovi un esempio somario di come e un robots.txt per un website wordpress.
E da qui puoi implementare con un plugin destinato al wordpress :
http://www.enterpriseseoinc.com/free.downloads/ -dovresti scaricare i due file ,e se hai bisogno di tradurrle mi puoi contattare in un messaggio privato.Perche gia ne parliamo troppo di una cosa che non dovrebbe essere in questo forum.
Per la seconda domanda -ho solo letto il tuo file di log ,e non ho acesso al tuo panello di controlo per vedere se esiste ancora.Pero una cosa da fare sarebbe da inserire un script nel tuo sito che non permette acesso con ip proxy e con ip proveniente dalla rete tor.
Per la terza parlavo di session id - sempre perche dal log di acesso non risulta nulla di anomalo - se fosse stato qualcosa alora il phpidsession sarebbe stata diversa .Non e importante.Bello e che trovo anche le tue ricerche in giro :
http://lmgtfy.com/?q=index+of+%3Apsi...no.it&l=1#seen

Un robot spider ha registrato una copia cache nella data 10/06 alle ore 12.31 -dovresti vedere il log per quest'ora e ti ha cancellato solo questo http://psicologaonlinesalerno.it/forum/chat/temp/x.txt secondo questo link :
http://www.zone-h.org/mirror/id/20932254

[ivanom.]

diana sei gentilissima davvero....purtroppo io non sono un esperto anzi....tutt'altro quindi scusami se ti chiedo delucidazioni,

Quote:

Originariamente inviato da diana33

Le altre invecce sarano da spostare in una cartella della directory htaccess

1-io non ho una direcory htaccess ma un htdocs>htaccess.php dovrei inserirle li quelle voci, e come?

Quote:

Pero una cosa da fare sarebbe da inserire un script nel tuo sito che non permette acesso con ip proxy e con ip proveniente dalla rete tor.

2-uno script da inserire dove di preciso e hai uno script già pronto?

Quote:

Bello e che trovo anche le tue ricerche in giro :
http://lmgtfy.com/?q=index+of+%3Apsi...no.it&l=1#seen

stavo monitorando con analytoics e ho visto

[ivanom.]

diana sei gentilissima davvero....purtroppo io non sono un esperto anzi....tutt'altro quindi scusami se ti chiedo delucidazioni,

Quote:

Originariamente inviato da diana33

Le altre invecce sarano da spostare in una cartella della directory htaccess

1-io non ho una direcory htaccess ma un htdocs>htaccess.php dovrei inserirle li quelle voci, e come?

Quote:

Pero una cosa da fare sarebbe da inserire un script nel tuo sito che non permette acesso con ip proxy e con ip proveniente dalla rete tor.

2-uno script da inserire dove di preciso e hai uno script già pronto?

Quote:

Bello e che trovo anche le tue ricerche in giro :
http://lmgtfy.com/?q=index+of+%3Apsi...no.it&l=1#seen

3-stavo monitorando con analytoics e ho visto a cosa portava il link...

Quote:

Un robot spider ha registrato una copia cache nella data 10/06 alle ore 12.31 -dovresti vedere il log per quest'ora e ti ha cancellato solo questo http://psicologaonlinesalerno.it/forum/chat/temp/x.txt secondo questo link :
http://www.zone-h.org/mirror/id/20932254

4-il file x.yxt non lo trovo, l'ha cancellato l'hacker secondote? Il log riporta questo:
[10/May/2014:12:12:27 +0200] "GET /forum/.xml/?type=rss;PHPSESSID=e58c8057e6ab16565465ef48ffefe527 HTTP/1.1" 200 1567
37.58.100.156 - - [10/May/2014:12:12:31 +0200] "GET /forum/.xml/?type=rss;PHPSESSID=ee936e1ff4f610ee53752a1fde7d3c64 HTTP/1.1" 200 1567
178.154.243.91 - - [10/May/2014:12:12:40 +0200] "GET /forum/.xml/?
ma non so cosa significa..

[diana33]

Quote:

Originariamente inviato da ivanom.

diana sei gentilissima davvero....purtroppo io non sono un esperto anzi....tutt'altro quindi scusami se ti chiedo delucidazioni,
1-io non ho una direcory htaccess ma un htdocs>htaccess.php dovrei inserirle li quelle voci, e come?

2-uno script da inserire dove di preciso e hai uno script già pronto?

3-stavo monitorando con analytoics e ho visto a cosa portava il link...

4-il file x.yxt non lo trovo, l'ha cancellato l'hacker secondote? Il log riporta questo:
[10/May/2014:12:12:27 +0200] "GET /forum/.xml/?type=rss;PHPSESSID=e58c8057e6ab16565465ef48ffefe527 HTTP/1.1" 200 1567
37.58.100.156 - - [10/May/2014:12:12:31 +0200] "GET /forum/.xml/?type=rss;PHPSESSID=ee936e1ff4f610ee53752a1fde7d3c64 HTTP/1.1" 200 1567
178.154.243.91 - - [10/May/2014:12:12:40 +0200] "GET /forum/.xml/?
ma non so cosa significa..

1.No ,basta che sia una directory e puoi creare dentro una cartella.Comunque sia non sono da lasciare nel file robots.txt ,in quanto il source code e visibile.
2.http://blog.vettore.org/?p=483
4.http://www.html.it/pag/16695/le-variabili-get-e-post/

Vorei porgerti alla tua atenzione due cose:
Siamo passati in una era digitale , qualche anno fa era solo arpanet -un internet rudimentale ,ad una completa espansione del internet -grazie ai studi militari (con tutto quello che si capisce-website dinamici , servizi cloud ,server piu stabili e forti ecc ecc )- e grazie a molti volontari che hanno fatto dei source code una qualsiasi persona puo costruire un sito - la partenza puo essere basilare e non richiedere conoscenze informatiche ,pero e importante approfondire -perche proprio le persone senza conoscenza sono preda facile dei hacker di due soldi ,e giusto per il tempo spreccato a costuire un site come il tuo ti consiglio di imparare le le basi technice di un sito.Non e importante essere un programattore , scrivere codici in php o che, pero al minimo sapere leggere un file html -e a cosa serve ,un file css -e a cosa serve,e volendo ,anche qualche conoscenza basilare del javascript e php.Corsi online gratuiti si trovano abbastanza su internet - una buona partenza puo essere youtube , e comunque limitandoti solo al italiano , puoi consultare anche questo qua -da dove molti partono :
http://www.html.it/
2. Un hacker -nel tuo caso solo un sfigato , quando ha acesso a dati personali e database di un sito , cerca di avere informazioni riguardanti -password ,email , dati sensibili che un admin come te ,li puo spargere in giro per i file - ed e possibile che ci sia molto di piu di solo una cancelazione di un file aparentemente senza importanza come quello del chat.I truchetti del social engineering oltre al gather information (aquisire informazioni ) implica anche un lato psicologico - e cioe- distogliere l'atenzione da punti vitali modificando punti senza importanza. Il robot del server che monitorava il tuo sitemap ,ha notato che un file estato cancelato ,pero non ha notato che il hacker ha potuto modificare il tuo file piu importante - index.htm . Un altro consiglio , e di fare analizzare questo file dai gestori di wordpress ,e esattamente di cercare file nascosti e di dirotamazione verso un server del hacker . Non e importante mantenere acesso per lui adesso se ha fatto questo,pero puo ricevere dati personali attraverso questo file nascosto. Si chiama rfi or lfi -remote file intrusion or local file intrusion.Se dovessi risultare positivo a questi dirotamenti sarebbe utile di avertire anche i tuoi visitatori chiedendoli cortesemente di cambiare le password ai email e in seguito al account del tuo forum.Da rintracciare chi estato , purtroppo non si puo ,la rete tor e come una ragnatela fatta di nodi e relay che cambiano l'ip ogni volta che lo attraversa - puo essere benissimo il tuo vicino di casa ,come puo essere un cinese sfigato che non ha un cavolo da fare.Ma se trovi il file malevole , rimane sempre la traccia del ip originale - in quanto estato scritto su un suo computer personale,e i proxy e tor non funzionano nel locale.

[ivanom.]

diana ti ringrazio di cuore dei tuoi consigli, il punto 1 l'ho fatto togliendo definitavamente le righe che hai detto ma il punto 2 non saprei dove mettere quel codice php, visto che ho già un htaccess anch'io, e il punto 4 non ho capito a cosa vuol arrivare....per il resto cercherò di imparare un minimo di base se avrò tempo....

Quote:

Un altro consiglio , e di fare analizzare questo file dai gestori di wordpress ,e esattamente di cercare file nascosti e di dirotamazione verso un server del hacker

.
ma ti riferisci al log? da far analizzare al team di wordpress italy? o al mio hosting?

Quote:

Non e importante mantenere acesso per lui adesso se ha fatto questo,pero puo ricevere dati personali attraverso questo file nascosto. Si chiama rfi or lfi -remote file intrusion or local file intrusion Se dovessi risultare positivo a questi dirotamenti

come faccio a saperlo se sono positivo?
Considerando che è stato una attacco defacing (almeno così credo di aver capito, poichè la homepage era sfigurata) ci possono essere davvero questi rischi ?

[diana33]

Quote:

Originariamente inviato da ivanom.

diana ti ringrazio di cuore dei tuoi consigli, il punto 1 l'ho fatto togliendo definitavamente le righe che hai detto ma il punto 2 non saprei dove mettere quel codice php, visto che ho già un htaccess anch'io, e il punto 4 non ho capito a cosa vuol arrivare....per il resto cercherò di imparare un minimo di base se avrò tempo....
.
ma ti riferisci al log? da far analizzare al team di wordpress italy? o al mio hosting?
come faccio a saperlo se sono positivo?
Considerando che è stato una attacco defacing (almeno così credo di aver capito, poichè la homepage era sfigurata) ci possono essere davvero questi rischi ?

Per capire bene che cos'e il htacess leggi qui Ci sono tre pagine di qui la seconda la troverai interessante. Inoltre sempre per il punto 1 ce una spiegazione nel link -basta guardare i commenti.

Non mi riferisco al log - non serve a granche ,bensi ai tutti file index che li hai nel albero di gestione del site. Le funzioni get e post .cerchero di spiegarti veloce - alora un utente va su un sito e.comerce . diciamo a caso subito.it. Ecco sfogliando una categoria che lo interessa vede tutta la categoria.Cosi la pagina interpretta i script di visualizzazione con il metodo POST. Un database con dei file di categoria ecc ecc .Cosa succede se trova interesse per un certo annuncio? -va e lo apre.Cosi , al proprietario del anuncio estata data una certa parte del database . con una stringa . Ed ecco che passi dalla visualizzazione di un interro catalogo ,solo a un prodotto. Quel prodotto per poter essere visualizzato ha un codice che viene richiamato - ma con il metodo GET - in generale tutto cio sarebbe sistemato come in una bibliotecca.Tu vedi la bibliotecca come un insiemme di libri (POST) ma per cercare un libro di interesse sai che si trova alla voce B e sul scaffale 2A per esempio (B e 2 A e la posizione del libro nella bibliotecca quindi Get ) .spero che mi faccio capire.

Per il defacing si ,esistono ancora rischi - se la persona in causa -il nostro hacker ha avuto acesso al htacess e alla index.php puo modificare tutto cio che desidera ,magari impostando anche dei file di log per se stesso.Io avrei fatto lo stesso.

[ivanom.]

attualmente ho

Codice HTML:

# protect wp-config.php
<files wp-config.php>
Order deny,allow
Deny from all
</files>

quindi da quanto ho capito l'accesso è negato a tutti? dovrebbe rimaNERE COsì giusto?

Quote:

Per il defacing si ,esistono ancora rischi - se la persona in causa -il nostro hacker ha avuto acesso al htacess e alla index.php puo modificare tutto cio che desidera ,magari impostando anche dei file di log per se stesso.Io avrei fatto lo stesso.

anche se io ho rimesso i file puliti di un backup precedente e cambiato passw sia a db che all'admin?

[diana33]

Quote:

Originariamente inviato da ivanom.

attualmente ho

Codice HTML:

# protect wp-config.php
<files wp-config.php>
Order deny,allow
Deny from all
</files>

quindi da quanto ho capito l'accesso è negato a tutti? dovrebbe rimaNERE COsì giusto?

anche se io ho rimesso i file puliti di un backup precedente e cambiato passw sia a db che all'admin?

Quella e una voce che ti protegge il file wp-config.php - hai negato acesso a tutti.
Non hai parlato nulla di un backup e ,io non te lo mai detto , pero non hai piu nulla da temere se hai caricato i file che li avevi in precedenza.

[emanuele45]

Quote:

Originariamente inviato da diana33

Beh -cosa ti domandi a fare su come sono entrati se il tuo file robots.txt e pieno zeppo di url che non dovrebbero essere ? -mi sembra la casabianca di washington

Forse, sapere come sono entrati, permette di chiudere la porta se ancora fosse aperta.

Per quanto riguarda le url in robots, non è che non averle ti protegga in alcun modo da eventuali hacking: quando sai lo script montato (e lo vedi dal sito stesso, non ci vuole molto a distinguere SMF da phpBB o altri), sai la struttura delle url e come accedere alla sezioni se mai ti dovesse interessare.
Certo, concordo che molte delle url in questione sono inutili nel robots.txt perché comunque non sono presentate agli spider, ma questa è un'altra storia.

Quote:

Originariamente inviato da diana33

Da qui analizzando il url : /forum/index.php?action=admin* con firebug sono risalita ad una password hash che non dovrebbe essere : 28ee07ca0430d2af329f43ee05fcbfc2

Mi sembra più un session id, ma non sto a sindacare.

Quote:

Originariamente inviato da diana33

Il mio findmyhash dal kali ha falito tutte le ricerche per il md5

Considerando che né WP, né SMF usano md5 "puro", mi avrebbe meravigliato il contrario.

Quote:

Originariamente inviato da diana33

Sarebbe troppo da spiegare per il robot txt. Cosi ti dico che queste voci possono rimanere :
[...]

Le altre invecce sarano da spostare in una cartella della directory htaccess -

Magari ho capito male, ma spostando le righe di "deny" alle azioni di SMF in htaccess andrebbe ad impedire a sé stesso di accedere a certe sezioni di SMF, non mi sembra una bella cosa.

[diana33]

Quote:

Originariamente inviato da emanuele45

Forse, sapere come sono entrati, permette di chiudere la porta se ancora fosse aperta.

Per quanto riguarda le url in robots, non è che non averle ti protegga in alcun modo da eventuali hacking: quando sai lo script montato (e lo vedi dal sito stesso, non ci vuole molto a distinguere SMF da phpBB o altri), sai la struttura delle url e come accedere alla sezioni se mai ti dovesse interessare.
Certo, concordo che molte delle url in questione sono inutili nel robots.txt perché comunque non sono presentate agli spider, ma questa è un'altra storia.


Mi sembra più un session id, ma non sto a sindacare.


Considerando che né WP, né SMF usano md5 "puro", mi avrebbe meravigliato il contrario.


Magari ho capito male, ma spostando le righe di "deny" alle azioni di SMF in htaccess andrebbe ad impedire a sé stesso di accedere a certe sezioni di SMF, non mi sembra una bella cosa.

Se lo dici tu ....per intanto ha abbastanza informazioni da costruirsi un sito piu sicuro ,bloccando acesso ai ip proxy.Sapere come sono entrati? - la persona in causa ci ha messo giorni , lo potrei rifare anche io , provando tutti i flag che li ha -partendo da google dorks ,a full path disclosure ,a sql ecc ecc - e mi pare chiaro che ho anche detto che con acunetix puo vedere tutte le debolezze e exploit che si possono usare contro di lui.
Findmyhash - e un tool in kali che non permette solo la decriptazione di md5 ,e anche se non e puro ,posso provare con tutti i hash disponibili -e fidati che ci sono abbastanza - ancora come dici tu (nel source code c'era una riga con la password ma non ti devo spiegare nulla a te visto che non ti sei preso neanche la sbriga di analizzare -ne sai molte piu di me )- .Per ultimo commento , ho datto dei link che servono per inserire delle variabili al htacess e che aiuta a bloccare i proxy -se un ip chiede di accedere all suo sito , - la directory htacess analizza il blacklist.php per un confronto.Inoltre il blacklist si aggiorna quasi sempre -quindi se ne sai un metodo migliore ,senza caricare troppo il server e senza avere problemi di compatibilita impostando un honeypot o un nginx - sei pregato di parlare ....

E un ultima cosa - il wp e campo di allenamento per i hacker ,in quanto i script contengono moltissimi erori.Ogni webadmin si puo lammentare dicendo -mi hanno spaccato il sito -cos'anno con me ? -pero la cosa bella e che non sono neanche mirati questi siti - lo fanno casualmente e possono partire semplicemente modificando il url con un google dorks - spero che fine qui mi capisci bene . Ed e questa la differenza di un hacker alle prime armi -direi piutosto un lamer e uno che comunque lo fa per vendetta ,per soldi o per altro motivo piu profondo.Ci vogliono anni perche un webadmin costruisce una pagina sicura a tutti i exploit possibili e questo implica - conoscenze informatiche buone , inglese ottima , e interesse di aggiornamento .Opure chiede a una societa che si occupa di questo di costruire un sito decente.

[ivanom.]

grazie a entrambi, anche se è difficile capire....

[ivanom.]

Ciao diana, scusa se ritorno, vorrei scusarmi se non ho mai scritto di aver ripristinato i file precedenti l'attacco, ma lo davo per scontato
riguardo questo:

Quote:

Originariamente inviato da diana33

...
2.http://blog.vettore.org/?p=483.

per un futuro, vorrei sapere, quale indirizzo ip mettere, dovrei inserire questi?

Quote:

192.187.110.139 - Geo Information
IP Address 192.187.110.139
Host 192.187.110.139
Location US US, United States
City -, - -
Organization DataShack, LC
ISP DataShack, LC
AS Number AS33387 DataShack, LC
Latitude 38°00'00" North
Longitude 97°00'00" West
Distance 9208.78 km (5722.07 miles)

e l'altro; ma se hanno degli ip dinamici e non statici, non è che è inutile? grazie per la chiarificazione

[diana33]

Quote:

Originariamente inviato da ivanom.

Ciao diana, scusa se ritorno, vorrei scusarmi se non ho mai scritto di aver ripristinato i file precedenti l'attacco, ma lo davo per scontato
riguardo questo: per un futuro, vorrei sapere, quale indirizzo ip mettere, dovrei inserire questi? e l'altro; ma se hanno degli ip dinamici e non statici, non è che è inutile? grazie per la chiarificazione

Il script incollato al link che te lo datto , ha un richiamo del database di tor . Ogni giorno ,oppure settimana questo si aggiorna.Tu non dovresti mettere nessun ip , perche prima che una persona abbia acesso , il file cerca nel link database di tor. - ecco qui :
"wget -O tor.html http://torstatus.blutmagie.de/ wget -invocca di andare a - tor.html -che e il link e poi l'indirizzo http://torstatus.blutmagie.de/ e proprio il database.Quindi ,risolvi molti problemi ,anche se con un certo ritardo (dovuto alla comparazione dei Ip ) di risposta.