Joomla.it Forum

Non solo Joomla... => Pubblica Amministrazione => Albo Pretorio On Line => : mascia-it 08 Jun 2011, 11:09:35

: Attacco al db
: mascia-it 08 Jun 2011, 11:09:35

Sto rilevando da ieri un attacco con inserimento di record nella tabella jos_chronoforms_atto_10. E' già successo a qualcuno? Avete qualche idea in merito? Grazie.

: Re:Attacco al db
: mascia-it 08 Jun 2011, 12:04:58

nel log rilevo:

x.x.x.x - - [08/Jun/2011:10:31:21 +0200] "GET /archivio-degli-atti-pubblicati-c/atto_10_mostra.html?valore=117 HTTP/1.1" 200 17786
x.x.x.x - - [08/Jun/2011:10:31:22 +0200] "POST /index.php?option=com_chronocontact&task=send&chronoformname=atto_10_mostra&Itemid=4 HTTP/1.1" 200 9149
x.x.x.x - - [08/Jun/2011:10:31:23 +0200] "GET /index.php HTTP/1.1" 301 -
x.x.x.x - - [08/Jun/2011:10:31:23 +0200] "GET / HTTP/1.1" 200 11135
x.x.x.x - - [08/Jun/2011:10:31:24 +0200] "GET /archivio-degli-atti-pubblicati-c/atto_10_mostra.html?valore=117 HTTP/1.1" 200 17786
x.x.x.x - - [08/Jun/2011:10:31:25 +0200] "GET /archivio-degli-atti-pubblicati-c/ HTTP/1.1" 404 10248

con x.x.x.x ho indicato gli IP di provenienza

: Re:Attacco al db
: 56francesco 08 Jun 2011, 12:10:58

non sono un esperto di sicurezza, ma in questi casi trattandosi di un registro pubblico una bella segnalazione alla polizia postale ci sta ad och, magari prima di postare qui così li lasciano fare per un po...
non li pescano e non hanno tempo, ma metti che li pescano e poi si scopre anche chi è?

(giusto per raccontarla da qualche giorno rilevo strane attività per un mio sito ma trattandosi di servizio mio ho poche speranze anche se  insieme all'assistenza siamo risaliti agli autori possibili e non sono i soliti russi o asiatici, e sono italianissimi!)

: Re:Attacco al db
: mau_develop 08 Jun 2011, 12:21:45

mica ho capito qual'è l'attacco...

M.

: Re:Attacco al db
: mascia-it 08 Jun 2011, 12:34:31

nella tabella jos_chronoforms_atto_10 vengono inseriti record con compilati i soli campi che seguono (tra parentesi i dati inseriti):

ccf_id
uid
recordtime
ipaddress
cf_user_id (0)
data_atto (0000-00-00)
nome_atto (This forum needed shkiang up and you’ve just done ..)
datainizio_atto (0000-00-00)
datafine_atto (NULL)
info_atto (This forum needed shkiang up and you’ve just done ...)

: Re:Attacco al db
: roberto_carluccio 08 Jun 2011, 18:04:00

E' capitato anche a me di trovare il db (non di albo pretorio) ma di un altro sito modificato dall'estranei.

Sembra dipendere dalle politiche di sicurezza del provider.

Io l'ho risolto trasferendo in sede il db e l'installazione di joomla, configurando il firewall e cambiando il prefisso jos_ delle tabelle.

: Re:Attacco al db
: mau_develop 08 Jun 2011, 18:25:46

This forum needed shkiang up and you’ve just done .
--------------------------------------------------------------
 ;D ;D

eh sì qualche problema c'è, ma è aggiornato all'ultima vers, chronoform?
che sito è?

M.

: Re:Attacco al db
: mascia-it 08 Jun 2011, 19:25:24

Le versioni sono:

joomla 1.5.22
Chrono Connectivity2 v. 2.0 RC3
Chrono Contact V 3.2

: Re:Attacco al db
: mau_develop 08 Jun 2011, 19:46:00

beh, già di suo la .22 è vulnerabile...

M.