[RISOLTO]Attacco al forum phpbb3

[bibodj]

Ciao a tutti, ho un sito creato con joomla ed un forun fatto con phpbb3 integrato a joomla tramite rokbridge.
Stamani sono andato a vedere un po il forum ed ho notato molti tread fatti da persone estranee (hacker)con riferimenti al ***, ho tentato di entrare nel pannello di controllo per cancellare tutto ma...non riesco più a loggarmi, mi dice nome utente o password errata, riesco a loggarmi con i dati di joomla, mi vede come amministratore ma non mi fa accedere al pannello di controllo.
I dati di amministratore per phpbb3 sono diversi da quelli di joomla.
Qualcuno è riuscito a entrare e a cambiare i dati di admin.
Come posso recuoerare id e psw?
Come posso ripararmi da questi attacchi?
Anche nel sito di joomla si registrano utenti strani con email altrettanto strane con estenzione .co.cc, una decina al giorno, che puntualmente elimino.
Si puo fare qualcosa?

mi è arrivata anche una amail da:
MAILER-DAEMON@smtpsmart3.sgaragnao.it
oggetto:  failure notice

Hi. This is the qmail-send program at smtpsmart3.sgaragnao.it.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<malo8ga@gawab.com>:
66.220.20.52 does not like recipient.
Remote host said: 550 5.1.1 Account disabled temporarly for exceeding receiving limits
Giving up on 66.220.20.52.

--- Below this line is a copy of the message.

Return-Path: <carucar@libero.it>
Received: (qmail 2710 invoked by uid 89); 26 Apr 2010 04:45:31 -0000
Received: by simscan 1.2.0 ppid: 2705, pid: 2707, t: 1.3293s
scanners: clamav: 0.88.4/m:40/d:1945 spam: 3.1.4
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on
smtpsmart3.fe.sgaragnao.it
X-Spam-Level: *
X-Spam-Status: No, score=1.5 required=5.0 tests=BAYES_50,RDNS_NONE,SPF_NEUTRAL
autolearn=disabled version=3.2.5
Received: from unknown (HELO webxc09s05.ad.sgaragnao.it) (62.149.141.117)
by smtpsmart3.fe.sgaragnao.it with SMTP; 26 Apr 2010 04:45:29 -0000
Received: (qmail 29084 invoked by uid 18719694); 26 Apr 2010 04:45:33 -0000
To: "=?UTF-8?B?TWFsb2dlcmNldg==?=" <malo8ga@gawab.com>
Subject: =?UTF-8?B?V2VsY29tZSB0byAid3d3LnNlZGljaW5vdmFudGE uaXQi?=
From: <carucar@libero.it>
Reply-To: <carucar@libero.it>
Sender: <carucar@libero.it>
MIME-Version: 1.0
Message-ID: <8b894b85a19da57ae9fac45845ba2752@www.sedicinovanta.it>
Date: Mon, 26 Apr 2010 06:45:33 +0200
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: PhpBB3
X-MimeOLE: phpBB3
X-phpBB-Origin: phpbb://www.sedicinovanta.it/phpbb3
X-AntiAbuse: Board servername - www.sedicinovanta.it
X-AntiAbuse: User_id - 1
X-AntiAbuse: Username - Anonymous
X-AntiAbuse: User IP - 95.135.70.19

Welcome to www.sedicinovanta.it forums

Please keep this e-mail for your records. Your account information is as
follows:

----------------------------
Username: Malogercev
Password: FiKxsKP494

Board URL: http://www.sedicinovanta.it/phpbb3
----------------------------

Please do not forget your password as it has been encrypted in our database
and we cannot retrieve it for you. However, should you forget your password
you can request a new one which will be activated in the same way as this
account.

Thank you for registering.

--
Grazie, L’amministrazione


Chi mi aiuta?
Grazie
Carmine

[iccamar]

Ciao,
non sono un esperto...
Per gli utenti "strani" io ho risolto utilizzando Alpharegistration ma credo vada bene comunque qualsiasi componente che consenta di usare le captcha.

Per il forum controlla di avere l'ultima versione di phpbb3 e controlla sul loro forum se altri hanno avuto lo stesso problema (a meno che non si tratti di un problema del bridge).

Non è molto ma spero di esserti stato utile

[mmleoni]

ciao bibodj,
per quanto riguarda joomla, non ho capito se accedi o no a quest'ultimo, leggi quest'articolo che un poco riassume i vari post:
http://www.mmleoni.net/ripristinare-joomla-dopo-un-attacco

tieni presente che in J1.5.15 vi era un'errore logico che era utilizzabile per ottenere la pw di amministratore in presenza di estensioni attaccabili con sql injection, quindi più che mai utile il passaggio alla 1.5.16.

per phpbb devi vedere il loro forum, ma per quando riguarda la registrazione utenti, segui il consiglio e usane una con il captcha

ciao,
marco

[bibodj]

ciao bibodj,
per quanto riguarda joomla, non ho capito se accedi o no a quest'ultimo, leggi quest'articolo che un poco riassume i vari post:
http://www.mmleoni.net/ripristinare-joomla-dopo-un-attacco

tieni presente che in J1.5.15 vi era un'errore logico che era utilizzabile per ottenere la pw di amministratore in presenza di estensioni attaccabili con sql injection, quindi più che mai utile il passaggio alla 1.5.16.

per phpbb devi vedere il loro forum, ma per quando riguarda la registrazione utenti, segui il consiglio e usane una con il captcha

ciao,
marco

Ciao, in joomla accedo tranquillamente come amministratore.
Ho visto che joomal 1.5.16 ha qialche problema, aspetto la 1.5.17

[bibodj]

Ciao,
non sono un esperto...
Per gli utenti "strani" io ho risolto utilizzando Alpharegistration ma credo vada bene comunque qualsiasi componente che consenta di usare le captcha.

Per il forum controlla di avere l'ultima versione di phpbb3 e controlla sul loro forum se altri hanno avuto lo stesso problema (a meno che non si tratti di un problema del bridge).

Non è molto ma spero di esserti stato utile

Ho utilizzato un captcha per la photo gallery con coppermine, ma niente, di utenti "strani" ce ne sono sempre, non so come facciano.
Credo che ho l'ultima versione di phpbb3, ma se non entro come amministratore come faccio a vederlo ed eventualmente aggiornarlo?
Dove trovo l'id e psw di amministratore per poterla ricambiare?
in qualche file o su sql?

[56francesco]

bibodj  in questo forum chiaramente si discute dei problemi di sicurezza di joomla,
phpbb3 è chiaramente un software terzo rispetto all'argomento IT
non credi?
 

[mmleoni]

Ho visto che joomal 1.5.16 ha qualche problema, aspetto la 1.5.17

quali? ho già aggiornato diversi siti e non li ho notati.

ciao,
marco

[bibodj]

bibodj  in questo forum chiaramente si discute dei problemi di sicurezza di joomla,
phpbb3 è chiaramente un software terzo rispetto all'argomento IT
non credi?
 

Scusa se ti contraddico, ma il titolo di questo Forum è "Non solo Joomla" sezione "Sicurezza", non vedo dov'è il problema.

[bibodj]

Ho visto che joomal 1.5.16 ha qualche problema, aspetto la 1.5.17

quali? ho già aggiornato diversi siti e non li ho notati.

ciao,
marco

Mi è arrivata una email da Joomal.it, che dice di non aggiornare alla 1.5.16.
ecco il linq:
http://www.joomla.it/notizie/4214-attendere-ad-aggiornare-alla-1516-perche-e-in-arrivo-la-1517.html

[iccamar]

Dove trovo l'id e psw di amministratore per poterla ricambiare?

Prova a vedere - ma non sono sicuro - nella tabella phpbb_users e vedi se l'admin ha un valore nel campo usertype diverso dagli altri (mi pare 3).

Poi clicchi nel campo della password, la sostituisci e dal menu a tendina scegli MD5 in modo da ricodificarla.

Lo stesso lavoro puoi farlo da Joomla in jos_users cercando in usertype il superadministrator

Ripeto, vado a memoria e non sono sicurissimo, ho fatto questa operazione parecchio tempo addietro.

Un'alternativa potrebbe essere la sostituzione dalla sezione utenti del bridge (io pero' uso Jfusion)

Credo che ho l'ultima versione di phpbb3, ma se non entro come amministratore come faccio a vederlo ed eventualmente aggiornarlo?

Dal pannello di amministrazione di phpbb vedi la versione e puoi aggiornarla direttamente da li'.

[mau_develop]

mi è arrivata anche una amail da:
MAILER-DAEMON@smtpsmart3.sgaragnao.it
oggetto:  failure notice
------------------------------------------------

avvisa l'hoster di questa cosa, non è molto normale visto che quell'smtp è quello dei sysadmin dell'hosting

che han pasticciato con la .16 è palese, ma partendo dalla versione completa e non dall'aggiornamento non ho visto casini... Marco mi sono perso qualcosa? ... sono un po' incasinato in qs periodo....

M

[jeckodevelopment]

mi è arrivata anche una amail da:
MAILER-DAEMON@smtpsmart3.sgaragnao.it
oggetto:  failure notice

Quello è il classico messaggio che il daemon della posta invia all'amministratore quando fallisce il recapito di un messaggio per indirizzo errato/non valido, casella piena ed altro.

[mau_develop]

ricordo che avevo enumerato i server della posta di quell'hoster, può darsi abbia sbagliato qualcosa, è un lavoro dello scorso anno, però...

mi risulta che i messaggi degli utenti vengano indirizzati a server nominati smtpX dove X è un numero.
Quando dialogo con gli amministratori tutto mi arriva da quell'smtp smart3.

può darsi che qualche procedura passi da lì...

M.

[mmleoni]

Marco mi sono perso qualcosa?

mi sa che me lo sono perso anch'io... comunque sui miei siti non ho avuto problemi, li avevo già aggiornati prima dell'avviso, dato che non rientro in nessuno dei due casi, soprattutto per quanto riguarda php 5.1 

le patches messe on line in tre giorni...

ciao
marco

[bibodj]

Dove trovo l'id e psw di amministratore per poterla ricambiare?

Prova a vedere - ma non sono sicuro - nella tabella phpbb_users e vedi se l'admin ha un valore nel campo usertype diverso dagli altri (mi pare 3).

Poi clicchi nel campo della password, la sostituisci e dal menu a tendina scegli MD5 in modo da ricodificarla.

Lo stesso lavoro puoi farlo da Joomla in jos_users cercando in usertype il superadministrator

Ripeto, vado a memoria e non sono sicurissimo, ho fatto questa operazione parecchio tempo addietro.

Un'alternativa potrebbe essere la sostituzione dalla sezione utenti del bridge (io pero' uso Jfusion)

Credo che ho l'ultima versione di phpbb3, ma se non entro come amministratore come faccio a vederlo ed eventualmente aggiornarlo?

Dal pannello di amministrazione di phpbb vedi la versione e puoi aggiornarla direttamente da li'.

Scusa ma non ti seguo, non sono tanto pratico.
Come faccio a capire chi è l'admin se ha cambiato id?

[mau_develop]

guardi che id ha i permessi di superadmin, se è il tuo va bene e gli cambi la pw, se è un turco un po meno

M.

[iccamar]

Credo - ma ripeto che non sono sicuro e prego mau_devlop di correggermi se dico castronerie - che in phpbb3 l'admin si riconosca dal valore diverso attribuito nel campo usertype della tabella phpbb_users e dovrebbe essere 3 (gli altri utenti hanno valori diversi)

Se cerchi gli utenti che hanno quel valore 3 con phpmyadmin (nel quale mi pare che tu riesca ad entrare) dovresti trovarlo e poi sostotuire la password come indicato.

Io l'ho fatto non a seguito di un attacco, ma avendo dimenticato, in una delle tante prove, quale fosse la mia.

[bibodj]

Credo - ma ripeto che non sono sicuro e prego mau_devlop di correggermi se dico castronerie - che in phpbb3 l'admin si riconosca dal valore diverso attribuito nel campo usertype della tabella phpbb_users e dovrebbe essere 3 (gli altri utenti hanno valori diversi)

Se cerchi gli utenti che hanno quel valore 3 con phpmyadmin (nel quale mi pare che tu riesca ad entrare) dovresti trovarlo e poi sostotuire la password come indicato.

Io l'ho fatto non a seguito di un attacco, ma avendo dimenticato, in una delle tante prove, quale fosse la mia.

Ho trovato chi ha il valore 3 in user_id, ha come username adsbot [google], puo essere lui con questo id?

[bibodj]

guardi che id ha i permessi di superadmin, se è il tuo va bene e gli cambi la pw, se è un turco un po meno

M.

Non riesco a vedere chi ha i permessi come superadmin, come si fa?
Grazie

[iccamar]

Mi dispiace. allora ho sbagliato io....

Nel mio DB con valore 3 c'e' il superadmin e con 2 i bot.

prova a questo punto a chiedere nel forum di Phpbb

[bibodj]

Invece per ridarmi i permessi di superamministratore come devo fare?

[bibodj]

Alla fine ho risolto.