• P
    User Attivo

    Ho subito un attacco

    Ciao a tutti,
    nel pomeriggio ho subito diversi atacchi ad un mio sito.

    Tutto è iniziato col fatto che una moderatrice del forum non riusciva più ad accedere con i suoi dati. Dopo aver fatto delle verifiche ho notato che la sua password era stata cambiata.
    In seguito sono stati cancellati, lockati e unlockati diversi topic e dopo ancora c'è stato un attacco DDOS.

    Ora non so bene come procedere.

    Ho spulciato il log e credo di aver trovato l'ip incriminato che risulta essere un ip fastweb... mi sembra strano che il nostro "hacker" abbia effettuato attacchi simili senza prendere "precauzioni".

    In ogni caso l'hoster ha messo il sito down e ci sta lavorando, io sarei intenzionato a sporgere denuncia innanzitutto per tutelarmi...

    Suppongo che siano state usati degli exploit di phpbb ma non ne so niente a riguardo...

    Qualsiasi aiuto, suggerimento o consiglio è ben accetto...

    0
  • O
    User Attivo

    Grandissimo:figo:...sei bene intenzionato:vaiii:...
    Io ti consiglio una cosa: dato che molte volte phpBB crea problemi, se disponi del servizio "backup" di aruba carica l'ultimo bak...potrebbe essere un errore del forum in sè...sai A VOLTE CONVIENE ESSERE BEN SICURI DI CIò CHE è ACCADUTO PRIMA DI PREDERE PRECAUZIONI AFFRETTATE...
    intanto ti consiglio anche di fae un bakup attuale del forum, così da "conservare le prove"...!
    Auguri:fumato:, trova il malfattore e SBATTILO IN GALERA!:vaiii:

    Oliviero;)

    0
  • P
    Moderatore

    purtroppo PhpBB possiede molte vulnerabilità spesso irrisolte....ad ogni modo è buona norma aggiornarlo man mano che escono nuove release

    detto questo ci sono molti exploit che potrebbero aver usato, puoi saperne di più analizzando le richieste GET nei tuoi log....purtroppo spessissimo si fa uso di POST per l'hacking e quindi non è possibile risalire alla dinamica dei fatti

    sul fatto che sia stato usato un IP di Fastweb lo trovo davvero molto strano....è probabile che il PC connesso tramite quell'IP sia uno zombie e faccia parte di una botnet, in realtà l'hacker magari si sta godendo una vodka nella sua villa in Russia

    detto questo per tutelarsi bisogna innanzitutto aggiornare i CMS all'ultima release disponibile, assicurarsi che gli utenti del tuo forum usino password forti, non quelle cose scontate tipo la data di nascita....il fatto che sia coinvolta una moderatrice, mi fa pensare che hanno rubato i suoi dati d'accesso, magari li hanno indovinati perchè erano banali, poi hanno usato un exploit che necessità di credenziali di amministratore per fare una scalata di privilegi e acquisire i privilegi massimi, da qui hanno potuto fare quel che vogliono

    infine riguardo il DDOS penso siano coinvolti più PC e quindi più IP, altrimenti sarebbe impossibile bloccare un sito usando una sola connessione.....se è così al 99% i PC coinvolti sono degli zombie

    0
  • J
    User Attivo

    ciao robert13, assicurati di aver letto gli articoli nella prima pagina di questa sezione del forum, e assicurati di aver installato i fix per i recenti bug scoperti che hanno causato molti attacchi anche ad altra gente.

    0
  • P
    User Attivo

    Questa mattina ho effettuato la denuncia presso la polizia postale.
    Attraverso i log sono risalito all'ip di chi ha commesso gli attacchi... in pratica l'"hacker" ha prima effettuato l'accesso con il suo account (!!!), poi si è disconnesso, ha provato diverse password del moderatore e alla fine, dopo averla azzeccata, è riuscito ad entrare e a fare danni. Il bello è che l'utente registrato che "pare" aver fatto questi attacchi ha scritto sempre con lo stesso ip, insomma, non ha usato alcun mezzo per tentare di nasconderlo.

    Il problema è che oltre a questi attacchi a phpbb (che cmq sono riuscito ad arginare grazie a backup del database) ci sono stati anche attacchi DDOS di cui non è possibile risalire all'origine...

    Oggi il sito è tornato online, neanche il tempo e l'utente si è ripresentato e ha provato ad accedere di nuovo con l'account del moderatore... riuscendoci. Davvero non abbiamo avuto neanche il tempo di cambiare la password. Stando ai log ha subito letto il messaggio da me postato relativo agli attacchi di ieri alché si è disconnesso e sono cominciati subito nuovi attacchi DDOS.

    La cosa è molto fastidiosa dato che anche per oggi il sito rimarrà offline fino a stasera. Gli hoster stanno installando un filtro per evitare questi attacchi... possibile che non si possa fare altro?

    0
  • C
    User Attivo

    a volte gli attacchi arrivano semplicemente dagli stessi bot che il sistema riconosce come tali o ad esmepiola mod weblog riconosce certe operazioni come attacchi

    0
Effettua l'accesso per rispondere