Utente spammer - Noooooooooooo!!!!!!!!!

[daniel77]

www.salinalive.it : Suspected spam attack from 173.242.122.111

Ma che è? ho letto il post.it  in evidenza qui nel forum, ma non dice niente a tal proposito :/

é già il secondo avviso che mi arriva... al quel mex seguono una serie di stringhe e di codice....

La domanda è: chi mi manda questi messaggi? ( L'host )?? e devo preoccuparmi?

Grazie

[56francesco]

l'host se ti scrive lo riconosci, non rispondere ed avvisalo semmai l'host  e aspetta la sua usa rispondere

mai rispondere alle email non richieste

[mau_develop]

173.242.122.111
OrgName:        VolumeDrive
OrgId:          VOLUM-2
Address:        1143 Northern Blvd
City:           Clarks Summit
StateProv:      PA
PostalCode:     18411
Country:        US

non cliccare su codice offuscato.

l'hoster ti manderebbe messaggi per email non sui messaggi del sito.

La cosa più sicura è eliminare i record direttamente da database senza andare a leggerli in admin

M.

non è che provengono da qualche addons di joomla che segnala l'abuso di qualche modulo?

[bertoandrea86]

è un bot - spammer http://www.stopforumspam.com/ipcheck/173.242.122.111

[daniel77]

il messaggio mi è arrivato sulla email, come faccio a vedere se devo cancellare qualcosa nel db?
entro in phpadmin e guardo se c'è qualcosa di strano nelle tabelle?

[mau_develop]

aspetta, prima fammi capire perchè non è chiaro:

chi ti manda quei messaggi? -> se li ricevi per email c'è il mittente
non è che li ricevi per mail perchè diretti all'admin del sito?

Anche visivamente dovrebbe essere riconoscibile il messaggio mandato da un Sysadmin piuttosto che da uno spammer...

M.

[ariess]

usiamo titoli sensati che possano essere ricercabili, per cortesia.

[daniel77]

Scusa, ho modificato il titolo, spero adesso vada bene...

Cmq, tornando al discorso utenti spamm, mi spiego meglio, allora:

Mi sono arrivate 2 mail sul mio indirizzo...

Il mittente è www.salinalive.it, nelle impostazioni directadmin, ho impostato un redirect, quindi le mail spedite a info@salinalive.it arrivano direttamente all'indirizzo dell'admin del sito...

Adesso, nella mail in arrivo come mittente vedo come già detto www.salinalive.it e se mi fermo sopra col mouse vedo info@salinalive.it, questo dovrebbe voler dire che la mail mi è stata inviata dal sito stesso, o no?

Per quanto riguarda la mail è così composta:

Mittente:
- www.salinalive.it

Oggetto:
- Following request from IP:173.242.122.111 returned a -ve result on second level security verification in http://www.salinalive.it/component/user/

Corpo del messaggio:
- Following request from IP:173.242.122.111 returned a -ve result on second level security verification in http://www.salinalive.it/component/user/ Get vars =array ( 'option' => 'com_user', 'Itemid' => NULL, ) POST vars =array ( 'name' => 'DressedGurl', 'username' => 'DressedGurl', 'email' => 'cupberdgurl.misterious3@gmail.com', 'password' => 'wXAasAt653', 'password2' => 'wXAasAt653', 'osolCatchaTxtInst' => '0', 'task' => 'register_save', 'id' => '0', 'gid' => '0', '060ce04f5a58ecce7d8efc7bb8a621e2' => '1', ) REQUEST vars =array ( 'name' => 'DressedGurl', 'username' => 'DressedGurl', 'email' => 'cupberdgurl.misterious3@gmail.com', 'password' => 'wXAasAt653', 'password2' => 'wXAasAt653', 'osolCatchaTxtInst' => '0', 'task' => 'register_save', 'id' => '0', 'gid' => '0', '060ce04f5a58ecce7d8efc7bb8a621e2' => '1', 'ca06b92636fab2c3bd09a6d14de27ecb' => 'd8458c9114645b8f1e86b38c3aefd926', 'virtuemart' => 'd8458c9114645b8f1e86b38c3aefd926', 'option' => 'com_user', 'Itemid' => NULL, )


Email così me ne sono arrivate già 2 e credo che forse sia solo merito di osolcaptcha se l'utente in questione non è riuscito a registrarsi sul sito....

Adesso chiedo... posso bloccare l'ip o l'indirizzo di registrazione di questo utente visto che al momento è sempre lo stesso? se si da dove?

Grazie

[mau_develop]

Allora, ciò che penso ( alcune cose a naso perchè ora nn ho tempo di verificarle )

appurato che sicuramente non è il tuo hoster ad inviartele e che
su Joomla di default non arriva nessun avviso di violazione di sicurezza all'admin

A MENO CHE TU NON abbia installato un componente di sicurezza (in qs caso potevi dirlo...)

..cosa vuole?

...semplicemente che tu clicchi su quel link mentre sei loggato come admin per inserirlo come user con determinati privilegi (o roba simile..)

Nel db tu hai una tabella che dovrebbe contenere i messaggi, svuotala.
Non cliccare su quei link, a prima vista nn funziona... ma si sa mai...

M.

[Uncino]

173.242.122.111 è un ip che non ha RDNS, quindi è probabilmente di fantasia.

[daniel77]

Componenti per la sicurezza non ne ho, ho solo come detto osol captcha, ma c'è da dire che in questo plugin esiste un menù dove poter inserire una apikey rilasciata da non mi ricordo chi, che dovrebbe filtrare da se i bot conosciuti.... scusa se sono approssimativo, ma questo è tutto quello che ho capito....

Il link di sicuro non lo clicco... adesso lo elimino dalla mia mail ma per il db avrei bisogno di una mano per individuare la tabella, solo la prima volta, non vorrei far casini

Per filtrare questi ip o utenti come faccio? non posso impostare dei filtri da qualche parte?

[bertoandrea86]

Io uso un componente che ora, con la nuova versione purtroppo è diventato commerciale e permette di bannare gli ip o le nazioni.
Quello che ho io è sotto licenza gnu, perfettamente funzionante con joomla 1.5.x.Se mi contatti in pvt e mi mandi l email te lo giro!Aiuta anche a impostare la seo del sito internet.

[Uncino]

Consiglio vivamente di filtrare a livello firewall/iptables.
Se pensate di essere sotto attacco studitevi i log del firewall.

[mau_develop]

..momento... non è scoppiata la guerra... un ragazzino o qualcuno in cerca di vuln ha provato ad esploitare.

Joomla al momento non segnala problemi di sicurezza, basta cancellare il messaggio e finisce tutto.

@uncino: occhio ai firewall e alle false sicurezze che offrono, il firewall è una macchina ignorante e molto presuntuosa, non è inutile, ma non può avere la pretesa di essere la panacea per ogni male.

@berto: bannare è sempre una soluzione estrema e temporanea e non risolve il problema, se voglio darti fastidio ti arrivo con tanti di quegli ip che devi passare la giornata a bannare.

M.

[bertoandrea86]

@berto: bannare è sempre una soluzione estrema e temporanea e non risolve il problema, se voglio darti fastidio ti arrivo con tanti di quegli ip che devi passare la giornata a bannare.

M.

E' vero Mau..ma questi ip sono conosciuti e probabilmente sono dei bot che scannano le pagine web in cerca di varie stringhe come "form, email, user" e quando lo trovano iniziano a spammare l'email. Non penso che sia stato un attacco da parte di una persona diretta, come le 1000 email che mi arrivavano dalmio form contatti. L unico modo che ho avuto per difendermi è stato mettere il captcha e bannare ip spam, dove basta prendere l indirizzo, cercare su google e ci sono molti siti che ti dicono le ultime attività di quell'ip. Infatti attualmente non mi arrivano piu email.

A parte un "AKER" (perdonami il termine, ma era un ragazzino che di hacker non aveva niente), che aveva tentato di inserire delle injection sui miei siti e ho fatto in modo che il suo ip andasse rediretto sulla pagina di un sito che canta "you are idiot" :-D

[Uncino]

@uncino: occhio ai firewall e alle false sicurezze che offrono, il firewall è una macchina ignorante e molto presuntuosa, non è inutile, ma non può avere la pretesa di essere la panacea per ogni male.

Vero, però offre due possibilità che la rendono, se non indispensabile, almeno estremamente utile:
- La possibilità di blocco automatico in caso di attacco di tipo flooding e per richieste "strane" provenienti dallo stesso IP.
- Funzioni di reporting che aiutano a capire se qualcuno ti sta attaccando e, in caso affermativo, determinare (e sbarrare) il tipo di attacco.

Ovvio che puoi avere il miglior firewall del mondo, ma se poi non leggi mai i log...

[mau_develop]

presuppone l'essere proprietari della macchina, quando il 90% delle persone usa hosting condivisi.

Non ho guardato cosa effettivamente voleva fare il personaggio in questione ma penso che il plugin di mmleoni sarebbe stato più che efficace in questo caso senza ricorrere a soluzioni drastiche e costose.

M.