[PhpBB] Aiuto per la sicurezza - Attacchi

stylennstilo · 15-09-2011, 19:35

Ciao, utilizzo phpbb da circa 5 anni semplicemente come forum personale, fondamentalmente per il fantacalcio, quindi non pubblicizzato nè nulla.

Dopo 2 mesi che non lo utilizzavo (pausa estiva campiopnato) ho notato che dai 18 utenti registrati il contatore era passato a oltre 6000. Con tantissimi compleanni..
La registrazione del nuovo utente era senza approvazione dell'amministratore (cioè io) nè con email.
Aggiorno il forum dalla versione 3.0.3 alla 3.0.9.

Ho cancellato tutti gli oltre 6000 utenti, lasciando i famosi 18, ho impostato la conferma dell'amministratore e stop. A quel punto mi contatta Aruba dicendomi che il file ucp.php contiene uno script di phishing, e mi esorta a rimuoverlo immediatamente.

Rimuovo la pagina incriminata che serve, a quanto pare, al logout utente e la sostituisco con il file di backup che avevo.

Imposto i permessi del forum per gli ospiti in modo che non vedano nessun topic/post etc.
Da quel momento ho sempre connessi 2/3 ospiti con ip tedeschi o americani, che si iscrivono o che navigano nel pannello utente. Sono costretto ad eliminarli dalla lista "attesa di approvazione".

Cosa rischio? C'è un bug nel forum? Perchè questo spam in un forum privato?
Chiedo qualche info in più per capire meglio la situazione.

Grazie.

dierre · 15-09-2011, 20:00

Ma perché di solito son dei crawler che semplicemente riconosco la versione bacata di un bulletin board e l'attaccano. Certo che se sono riusciti a sostituirti un file la cosa è molto grave.

stylennstilo · 15-09-2011, 20:15

Tra l'altro ho scoperto che stanno mandando email a raffica dall'indirizzo dell'amministratore a tutte le 18 mail dei miei 18 contatti. Ho cambiato tutti gli indirizzi email dei contatti.

Se vado a vedere "chi c'è in linea" trovo i solo "ospiti connessi" e fanno le seguenti operazioni:

Indice
Sta utilizzando il pannello di controllo utente
Sta visualizzando il profilo di un iscritto

Come fa a fare quest'ultima operazione se non è registrato? Entra come amministratore?

dierre · 15-09-2011, 20:29

ti consiglio di chiedere qui: http://www.phpbbitalia.net/

cmq io proverei ad eliminare tutti i file ed a rimettere un'istallazione pulita, poi basta che editi il file di configurazione con i dati esatti del db. Però così, te lo dico ad orecchio senza aver usato phpBB.

stylennstilo · 15-09-2011, 21:16

Quote:

Originariamente inviato da dierre

ti consiglio di chiedere qui: http://www.phpbbitalia.net/

cmq io proverei ad eliminare tutti i file ed a rimettere un'istallazione pulita, poi basta che editi il file di configurazione con i dati esatti del db. Però così, te lo dico ad orecchio senza aver usato phpBB.

MA se banno gli ip "ospiti" che vedo connessi al forum? E' inutile utilizzano delle shell?

dierre · 15-09-2011, 23:21

Quote:

Originariamente inviato da stylennstilo

MA se banno gli ip "ospiti" che vedo connessi al forum? E' inutile utilizzano delle shell?

Beh, se hai messo l'autorizzazione admin ed entrano lo stesso, non vedo alternative.

stylennstilo · 16-09-2011, 15:39

Pare si sia risolto non ci sono più "ospiti connessi". Questo da quando ho bloccato le iscrizioni, le abiliterò nuovamente quando dovrò aggiungere qualche utente.. Grazie cmq.

15-09-2011, 19:35	#1
stylennstilo Member Iscritto dal: Jan 2007 Messaggi: 184	[PhpBB] Aiuto per la sicurezza - Attacchi Ciao, utilizzo phpbb da circa 5 anni semplicemente come forum personale, fondamentalmente per il fantacalcio, quindi non pubblicizzato nè nulla. Dopo 2 mesi che non lo utilizzavo (pausa estiva campiopnato) ho notato che dai 18 utenti registrati il contatore era passato a oltre 6000. Con tantissimi compleanni.. La registrazione del nuovo utente era senza approvazione dell'amministratore (cioè io) nè con email. Aggiorno il forum dalla versione 3.0.3 alla 3.0.9. Ho cancellato tutti gli oltre 6000 utenti, lasciando i famosi 18, ho impostato la conferma dell'amministratore e stop. A quel punto mi contatta Aruba dicendomi che il file ucp.php contiene uno script di phishing, e mi esorta a rimuoverlo immediatamente. Rimuovo la pagina incriminata che serve, a quanto pare, al logout utente e la sostituisco con il file di backup che avevo. Imposto i permessi del forum per gli ospiti in modo che non vedano nessun topic/post etc. Da quel momento ho sempre connessi 2/3 ospiti con ip tedeschi o americani, che si iscrivono o che navigano nel pannello utente. Sono costretto ad eliminarli dalla lista "attesa di approvazione". Cosa rischio? C'è un bug nel forum? Perchè questo spam in un forum privato? Chiedo qualche info in più per capire meglio la situazione. Grazie. __________________ Psico!

15-09-2011, 20:00	#2
dierre Senior Member Iscritto dal: Sep 2004 Città: Interamnia Urbs Messaggi: 2126	Ma perché di solito son dei crawler che semplicemente riconosco la versione bacata di un bulletin board e l'attaccano. Certo che se sono riusciti a sostituirti un file la cosa è molto grave. __________________ Un wormhole (buco di tarlo, in italiano), detto anche Ponte di Einstein-Rosen, è una ipotetica caratteristica topologica dello spaziotempo che è essenzialmente una "scorciatoia" da un punto dell'universo a un altro, che permetterebbe di viaggiare tra di essi più velocemente di quanto impiegherebbe la luce a percorrere la distanza attraverso lo spazio normale. Go to a Wormhole

15-09-2011, 20:15	#3
stylennstilo Member Iscritto dal: Jan 2007 Messaggi: 184	Tra l'altro ho scoperto che stanno mandando email a raffica dall'indirizzo dell'amministratore a tutte le 18 mail dei miei 18 contatti. Ho cambiato tutti gli indirizzi email dei contatti. Se vado a vedere "chi c'è in linea" trovo i solo "ospiti connessi" e fanno le seguenti operazioni: Indice Sta utilizzando il pannello di controllo utente Sta visualizzando il profilo di un iscritto Come fa a fare quest'ultima operazione se non è registrato? Entra come amministratore? __________________ Psico!

15-09-2011, 20:29	#4
dierre Senior Member Iscritto dal: Sep 2004 Città: Interamnia Urbs Messaggi: 2126	ti consiglio di chiedere qui: http://www.phpbbitalia.net/ cmq io proverei ad eliminare tutti i file ed a rimettere un'istallazione pulita, poi basta che editi il file di configurazione con i dati esatti del db. Però così, te lo dico ad orecchio senza aver usato phpBB. __________________ Un wormhole (buco di tarlo, in italiano), detto anche Ponte di Einstein-Rosen, è una ipotetica caratteristica topologica dello spaziotempo che è essenzialmente una "scorciatoia" da un punto dell'universo a un altro, che permetterebbe di viaggiare tra di essi più velocemente di quanto impiegherebbe la luce a percorrere la distanza attraverso lo spazio normale. Go to a Wormhole

16-09-2011, 15:39	#7
stylennstilo Member Iscritto dal: Jan 2007 Messaggi: 184	Pare si sia risolto non ci sono più "ospiti connessi". Questo da quando ho bloccato le iscrizioni, le abiliterò nuovamente quando dovrò aggiungere qualche utente.. Grazie cmq. __________________ Psico!

Strumenti
Mostra una versione stampabile Invia questa pagina per email