Attacco al db

[mascia-it]

Sto rilevando da ieri un attacco con inserimento di record nella tabella jos_chronoforms_atto_10. E' già successo a qualcuno? Avete qualche idea in merito? Grazie.

[mascia-it]

nel log rilevo:

x.x.x.x - - [08/Jun/2011:10:31:21 +0200] "GET /archivio-degli-atti-pubblicati-c/atto_10_mostra.html?valore=117 HTTP/1.1" 200 17786
x.x.x.x - - [08/Jun/2011:10:31:22 +0200] "POST /index.php?option=com_chronocontact&task=send&chronoformname=atto_10_mostra&Itemid=4 HTTP/1.1" 200 9149
x.x.x.x - - [08/Jun/2011:10:31:23 +0200] "GET /index.php HTTP/1.1" 301 -
x.x.x.x - - [08/Jun/2011:10:31:23 +0200] "GET / HTTP/1.1" 200 11135
x.x.x.x - - [08/Jun/2011:10:31:24 +0200] "GET /archivio-degli-atti-pubblicati-c/atto_10_mostra.html?valore=117 HTTP/1.1" 200 17786
x.x.x.x - - [08/Jun/2011:10:31:25 +0200] "GET /archivio-degli-atti-pubblicati-c/ HTTP/1.1" 404 10248

con x.x.x.x ho indicato gli IP di provenienza

[56francesco]

non sono un esperto di sicurezza, ma in questi casi trattandosi di un registro pubblico una bella segnalazione alla polizia postale ci sta ad och, magari prima di postare qui così li lasciano fare per un po...
non li pescano e non hanno tempo, ma metti che li pescano e poi si scopre anche chi è?

(giusto per raccontarla da qualche giorno rilevo strane attività per un mio sito ma trattandosi di servizio mio ho poche speranze anche se  insieme all'assistenza siamo risaliti agli autori possibili e non sono i soliti russi o asiatici, e sono italianissimi!)

[mau_develop]

mica ho capito qual'è l'attacco...

M.

[mascia-it]

nella tabella jos_chronoforms_atto_10 vengono inseriti record con compilati i soli campi che seguono (tra parentesi i dati inseriti):

ccf_id
uid
recordtime
ipaddress
cf_user_id (0)
data_atto (0000-00-00)
nome_atto (This forum needed shkiang up and you’ve just done ..)
datainizio_atto (0000-00-00)
datafine_atto (NULL)
info_atto (This forum needed shkiang up and you’ve just done ...)

[roberto_carluccio]

E' capitato anche a me di trovare il db (non di albo pretorio) ma di un altro sito modificato dall'estranei.

Sembra dipendere dalle politiche di sicurezza del provider.

Io l'ho risolto trasferendo in sede il db e l'installazione di joomla, configurando il firewall e cambiando il prefisso jos_ delle tabelle.

[mau_develop]

This forum needed shkiang up and you’ve just done .
--------------------------------------------------------------
 

eh sì qualche problema c'è, ma è aggiornato all'ultima vers, chronoform?
che sito è?

M.

[mascia-it]

Le versioni sono:

joomla 1.5.22
Chrono Connectivity2 v. 2.0 RC3
Chrono Contact V 3.2

[mau_develop]

beh, già di suo la .22 è vulnerabile...

M.