Autore Topic: [RISOLTO]Attacco al forum phpbb3  (Letto 5622 volte)

Offline bibodj

  • Esploratore
  • **
  • Post: 62
  • Sesso: Maschio
    • Mostra profilo
[RISOLTO]Attacco al forum phpbb3
« il: 27 Apr 2010, 01:51:08 »
Ciao a tutti, ho un sito creato con joomla ed un forun fatto con phpbb3 integrato a joomla tramite rokbridge.
Stamani sono andato a vedere un po il forum ed ho notato molti tread fatti da persone estranee (hacker)con riferimenti al ***, ho tentato di entrare nel pannello di controllo per cancellare tutto ma...non riesco pi a loggarmi, mi dice nome utente o password errata, riesco a loggarmi con i dati di joomla, mi vede come amministratore ma non mi fa accedere al pannello di controllo.
I dati di amministratore per phpbb3 sono diversi da quelli di joomla.
Qualcuno riuscito a entrare e a cambiare i dati di admin.
Come posso recuoerare id e psw?
Come posso ripararmi da questi attacchi?
Anche nel sito di joomla si registrano utenti strani con email altrettanto strane con estenzione .co.cc, una decina al giorno, che puntualmente elimino.
Si puo fare qualcosa?

mi arrivata anche una amail da:
MAILER-DAEMON@smtpsmart3.sgaragnao.it
oggetto:  failure notice

Hi. This is the qmail-send program at smtpsmart3.sgaragnao.it.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<malo8ga@gawab.com>:
66.220.20.52 does not like recipient.
Remote host said: 550 5.1.1 Account disabled temporarly for exceeding receiving limits
Giving up on 66.220.20.52.

--- Below this line is a copy of the message.

Return-Path: <carucar@libero.it>
Received: (qmail 2710 invoked by uid 89); 26 Apr 2010 04:45:31 -0000
Received: by simscan 1.2.0 ppid: 2705, pid: 2707, t: 1.3293s
scanners: clamav: 0.88.4/m:40/d:1945 spam: 3.1.4
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on
smtpsmart3.fe.sgaragnao.it
X-Spam-Level: *
X-Spam-Status: No, score=1.5 required=5.0 tests=BAYES_50,RDNS_NONE,SPF_NEUTRAL
autolearn=disabled version=3.2.5
Received: from unknown (HELO webxc09s05.ad.sgaragnao.it) (62.149.141.117)
by smtpsmart3.fe.sgaragnao.it with SMTP; 26 Apr 2010 04:45:29 -0000
Received: (qmail 29084 invoked by uid 18719694); 26 Apr 2010 04:45:33 -0000
To: "=?UTF-8?B?TWFsb2dlcmNldg==?=" <malo8ga@gawab.com>
Subject: =?UTF-8?B?V2VsY29tZSB0byAid3d3LnNlZGljaW5vdmFudGE uaXQi?=
From: <carucar@libero.it>
Reply-To: <carucar@libero.it>
Sender: <carucar@libero.it>
MIME-Version: 1.0
Message-ID: <8b894b85a19da57ae9fac45845ba2752@www.sedicinovanta.it>
Date: Mon, 26 Apr 2010 06:45:33 +0200
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: PhpBB3
X-MimeOLE: phpBB3
X-phpBB-Origin: phpbb://www.sedicinovanta.it/phpbb3
X-AntiAbuse: Board servername - www.sedicinovanta.it
X-AntiAbuse: User_id - 1
X-AntiAbuse: Username - Anonymous
X-AntiAbuse: User IP - 95.135.70.19

Welcome to www.sedicinovanta.it forums

Please keep this e-mail for your records. Your account information is as
follows:

----------------------------
Username: Malogercev
Password: FiKxsKP494

Board URL: http://www.sedicinovanta.it/phpbb3
----------------------------

Please do not forget your password as it has been encrypted in our database
and we cannot retrieve it for you. However, should you forget your password
you can request a new one which will be activated in the same way as this
account.

Thank you for registering.

--
Grazie, L’amministrazione


Chi mi aiuta?
Grazie
Carmine
« Ultima modifica: 12 Mag 2010, 10:34:22 da bibodj »

Offline iccamar

  • Esploratore
  • **
  • Post: 187
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco al forum phpbb3
« Risposta #1 il: 27 Apr 2010, 07:16:33 »
Ciao,
non sono un esperto...
Per gli utenti "strani" io ho risolto utilizzando Alpharegistration ma credo vada bene comunque qualsiasi componente che consenta di usare le captcha.

Per il forum controlla di avere l'ultima versione di phpbb3 e controlla sul loro forum se altri hanno avuto lo stesso problema (a meno che non si tratti di un problema del bridge).

Non molto ma spero di esserti stato utile

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:Attacco al forum phpbb3
« Risposta #2 il: 27 Apr 2010, 08:38:27 »
ciao bibodj,
per quanto riguarda joomla, non ho capito se accedi o no a quest'ultimo, leggi quest'articolo che un poco riassume i vari post:
http://www.mmleoni.net/ripristinare-joomla-dopo-un-attacco

tieni presente che in J1.5.15 vi era un'errore logico che era utilizzabile per ottenere la pw di amministratore in presenza di estensioni attaccabili con sql injection, quindi pi che mai utile il passaggio alla 1.5.16.

per phpbb devi vedere il loro forum, ma per quando riguarda la registrazione utenti, segui il consiglio e usane una con il captcha

ciao,
marco
mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

Offline bibodj

  • Esploratore
  • **
  • Post: 62
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco al forum phpbb3
« Risposta #3 il: 27 Apr 2010, 09:39:23 »
ciao bibodj,
per quanto riguarda joomla, non ho capito se accedi o no a quest'ultimo, leggi quest'articolo che un poco riassume i vari post:
http://www.mmleoni.net/ripristinare-joomla-dopo-un-attacco

tieni presente che in J1.5.15 vi era un'errore logico che era utilizzabile per ottenere la pw di amministratore in presenza di estensioni attaccabili con sql injection, quindi pi che mai utile il passaggio alla 1.5.16.

per phpbb devi vedere il loro forum, ma per quando riguarda la registrazione utenti, segui il consiglio e usane una con il captcha

ciao,
marco

Ciao, in joomla accedo tranquillamente come amministratore.
Ho visto che joomal 1.5.16 ha qialche problema, aspetto la 1.5.17

Offline bibodj

  • Esploratore
  • **
  • Post: 62
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco al forum phpbb3
« Risposta #4 il: 27 Apr 2010, 09:44:23 »
Ciao,
non sono un esperto...
Per gli utenti "strani" io ho risolto utilizzando Alpharegistration ma credo vada bene comunque qualsiasi componente che consenta di usare le captcha.

Per il forum controlla di avere l'ultima versione di phpbb3 e controlla sul loro forum se altri hanno avuto lo stesso problema (a meno che non si tratti di un problema del bridge).

Non molto ma spero di esserti stato utile
Ho utilizzato un captcha per la photo gallery con coppermine, ma niente, di utenti "strani" ce ne sono sempre, non so come facciano.
Credo che ho l'ultima versione di phpbb3, ma se non entro come amministratore come faccio a vederlo ed eventualmente aggiornarlo?
Dove trovo l'id e psw di amministratore per poterla ricambiare?
in qualche file o su sql?

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco al forum phpbb3
« Risposta #5 il: 27 Apr 2010, 09:57:37 »
bibodj  in questo forum chiaramente si discute dei problemi di sicurezza di joomla,
phpbb3 chiaramente un software terzo rispetto all'argomento IT
non credi?
  :)
(uso XP perch win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:Attacco al forum phpbb3
« Risposta #6 il: 27 Apr 2010, 09:59:51 »
Citazione
Ho visto che joomal 1.5.16 ha qualche problema, aspetto la 1.5.17

quali? ho gi aggiornato diversi siti e non li ho notati.

ciao,
marco
mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

Offline bibodj

  • Esploratore
  • **
  • Post: 62
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco al forum phpbb3
« Risposta #7 il: 27 Apr 2010, 12:19:29 »
bibodj  in questo forum chiaramente si discute dei problemi di sicurezza di joomla,
phpbb3 chiaramente un software terzo rispetto all'argomento IT
non credi?
  :)
Scusa se ti contraddico, ma il titolo di questo Forum "Non solo Joomla" sezione "Sicurezza", non vedo dov' il problema.

Offline bibodj

  • Esploratore
  • **
  • Post: 62
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco al forum phpbb3
« Risposta #8 il: 27 Apr 2010, 12:22:18 »
Citazione
Ho visto che joomal 1.5.16 ha qualche problema, aspetto la 1.5.17

quali? ho gi aggiornato diversi siti e non li ho notati.

ciao,
marco
Mi arrivata una email da Joomal.it, che dice di non aggiornare alla 1.5.16.
ecco il linq:
http://www.joomla.it/notizie/4214-attendere-ad-aggiornare-alla-1516-perche-e-in-arrivo-la-1517.html

Offline iccamar

  • Esploratore
  • **
  • Post: 187
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco al forum phpbb3
« Risposta #9 il: 27 Apr 2010, 13:14:36 »
Citazione
Dove trovo l'id e psw di amministratore per poterla ricambiare?

Prova a vedere - ma non sono sicuro - nella tabella phpbb_users e vedi se l'admin ha un valore nel campo usertype diverso dagli altri (mi pare 3).

Poi clicchi nel campo della password, la sostituisci e dal menu a tendina scegli MD5 in modo da ricodificarla.

Lo stesso lavoro puoi farlo da Joomla in jos_users cercando in usertype il superadministrator

Ripeto, vado a memoria e non sono sicurissimo, ho fatto questa operazione parecchio tempo addietro.

Un'alternativa potrebbe essere la sostituzione dalla sezione utenti del bridge (io pero' uso Jfusion)


Citazione
Credo che ho l'ultima versione di phpbb3, ma se non entro come amministratore come faccio a vederlo ed eventualmente aggiornarlo?

Dal pannello di amministrazione di phpbb vedi la versione e puoi aggiornarla direttamente da li'.

mau_develop

  • Visitatore
Re:Attacco al forum phpbb3
« Risposta #10 il: 27 Apr 2010, 15:04:01 »
mi arrivata anche una amail da:
MAILER-DAEMON@smtpsmart3.sgaragnao.it
oggetto:  failure notice
------------------------------------------------

avvisa l'hoster di questa cosa, non molto normale visto che quell'smtp quello dei sysadmin dell'hosting

che han pasticciato con la .16 palese, ma partendo dalla versione completa e non dall'aggiornamento non ho visto casini... Marco mi sono perso qualcosa? ... sono un po' incasinato in qs periodo....

M

Offline jeckodevelopment

  • Administrator
  • Instancabile
  • *****
  • Post: 5666
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco al forum phpbb3
« Risposta #11 il: 27 Apr 2010, 15:11:59 »
mi arrivata anche una amail da:
MAILER-DAEMON@smtpsmart3.sgaragnao.it
oggetto:  failure notice

Quello il classico messaggio che il daemon della posta invia all'amministratore quando fallisce il recapito di un messaggio per indirizzo errato/non valido, casella piena ed altro.

mau_develop

  • Visitatore
Re:Attacco al forum phpbb3
« Risposta #12 il: 27 Apr 2010, 16:20:16 »
ricordo che avevo enumerato i server della posta di quell'hoster, pu darsi abbia sbagliato qualcosa, un lavoro dello scorso anno, per...

mi risulta che i messaggi degli utenti vengano indirizzati a server nominati smtpX dove X un numero.
Quando dialogo con gli amministratori tutto mi arriva da quell'smtp smart3.

pu darsi che qualche procedura passi da l...

M.

Offline mmleoni

  • Global Moderator
  • Instancabile
  • *****
  • Post: 5547
  • Sesso: Maschio
  • Just another *nix coder/sysadmin...
    • Mostra profilo
Re:Attacco al forum phpbb3
« Risposta #13 il: 27 Apr 2010, 21:16:28 »
Citazione
Marco mi sono perso qualcosa?

mi sa che me lo sono perso anch'io... comunque sui miei siti non ho avuto problemi, li avevo gi aggiornati prima dell'avviso, dato che non rientro in nessuno dei due casi, soprattutto per quanto riguarda php 5.1  ;D

le patches messe on line in tre giorni...

ciao
marco

mmleoni web consulting - creazione siti web aziendali ed e-commerce avanzati - sviluppo moduli e componenti Joomla

Offline bibodj

  • Esploratore
  • **
  • Post: 62
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco al forum phpbb3
« Risposta #14 il: 27 Apr 2010, 23:46:12 »
Citazione
Dove trovo l'id e psw di amministratore per poterla ricambiare?

Prova a vedere - ma non sono sicuro - nella tabella phpbb_users e vedi se l'admin ha un valore nel campo usertype diverso dagli altri (mi pare 3).

Poi clicchi nel campo della password, la sostituisci e dal menu a tendina scegli MD5 in modo da ricodificarla.

Lo stesso lavoro puoi farlo da Joomla in jos_users cercando in usertype il superadministrator

Ripeto, vado a memoria e non sono sicurissimo, ho fatto questa operazione parecchio tempo addietro.

Un'alternativa potrebbe essere la sostituzione dalla sezione utenti del bridge (io pero' uso Jfusion)


Citazione
Credo che ho l'ultima versione di phpbb3, ma se non entro come amministratore come faccio a vederlo ed eventualmente aggiornarlo?

Dal pannello di amministrazione di phpbb vedi la versione e puoi aggiornarla direttamente da li'.
Scusa ma non ti seguo, non sono tanto pratico.
Come faccio a capire chi l'admin se ha cambiato id?

mau_develop

  • Visitatore
Re:Attacco al forum phpbb3
« Risposta #15 il: 28 Apr 2010, 00:01:40 »
guardi che id ha i permessi di superadmin, se il tuo va bene e gli cambi la pw, se un turco un po meno

M.

Offline iccamar

  • Esploratore
  • **
  • Post: 187
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco al forum phpbb3
« Risposta #16 il: 28 Apr 2010, 06:59:59 »
Credo - ma ripeto che non sono sicuro e prego mau_devlop di correggermi se dico castronerie - che in phpbb3 l'admin si riconosca dal valore diverso attribuito nel campo usertype della tabella phpbb_users e dovrebbe essere 3 (gli altri utenti hanno valori diversi)

Se cerchi gli utenti che hanno quel valore 3 con phpmyadmin (nel quale mi pare che tu riesca ad entrare) dovresti trovarlo e poi sostotuire la password come indicato.

Io l'ho fatto non a seguito di un attacco, ma avendo dimenticato, in una delle tante prove, quale fosse la mia.

Offline bibodj

  • Esploratore
  • **
  • Post: 62
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco al forum phpbb3
« Risposta #17 il: 29 Apr 2010, 07:36:00 »
Credo - ma ripeto che non sono sicuro e prego mau_devlop di correggermi se dico castronerie - che in phpbb3 l'admin si riconosca dal valore diverso attribuito nel campo usertype della tabella phpbb_users e dovrebbe essere 3 (gli altri utenti hanno valori diversi)

Se cerchi gli utenti che hanno quel valore 3 con phpmyadmin (nel quale mi pare che tu riesca ad entrare) dovresti trovarlo e poi sostotuire la password come indicato.

Io l'ho fatto non a seguito di un attacco, ma avendo dimenticato, in una delle tante prove, quale fosse la mia.
Ho trovato chi ha il valore 3 in user_id, ha come username adsbot [google], puo essere lui con questo id?

Offline bibodj

  • Esploratore
  • **
  • Post: 62
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco al forum phpbb3
« Risposta #18 il: 29 Apr 2010, 07:37:05 »
guardi che id ha i permessi di superadmin, se il tuo va bene e gli cambi la pw, se un turco un po meno

M.
Non riesco a vedere chi ha i permessi come superadmin, come si fa?
Grazie

Offline iccamar

  • Esploratore
  • **
  • Post: 187
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco al forum phpbb3
« Risposta #19 il: 29 Apr 2010, 14:34:11 »
Mi dispiace. allora ho sbagliato io.... :-[

Nel mio DB con valore 3 c'e' il superadmin e con 2 i bot.

prova a questo punto a chiedere nel forum di Phpbb

« Ultima modifica: 29 Apr 2010, 15:32:12 da iccamar »

Offline bibodj

  • Esploratore
  • **
  • Post: 62
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco al forum phpbb3
« Risposta #20 il: 30 Apr 2010, 00:04:39 »
Invece per ridarmi i permessi di superamministratore come devo fare?

Offline bibodj

  • Esploratore
  • **
  • Post: 62
  • Sesso: Maschio
    • Mostra profilo
Re:Attacco al forum phpbb3
« Risposta #21 il: 12 Mag 2010, 10:33:56 »
Alla fine ho risolto.

 

Host

Torna su