Continui attacchi hacker al mio sito SMF 1.1.18

Aperto da emperor81, Martedì - 08 Ottobre 2013 - 23:58

0 Utenti e 1 Visitatore stanno visualizzando questa discussione.

emperor81

Ciao a tutti,

Ho scoperto solo adesso questo forum, di solito per gli aiuti andavo sempre su quello ufficiale in inglese.
Anzi, mi scuso in anticipo per lo spam, ma per chi ha un po' di dimestichezza con l'inglese vi invito a dare una lettura al topic, piuttosto disperato, che ho postato su quel forum:

http://www.simplemachines.org/community/index.php?topic=511946.0

Praticamente il problema è questo: nonostante abbia aggiornato la versione di SMF all'ultima disponibile per la 1.1.x, ovvero la 1.1.18 (correggetemi se sbaglio), da qualche settimana gli hacker non mi lasciano in pace. Hanno individuato evidentemente una falla sulla sicurezza e ne approfittano per iniettare codice sulle pagine php come diverse volte avevano fatto in passato, solo che in passato avevo risolto ripulendo il codice e installando la patch di sicurezza che postava simplemachine.
Questa volta non è uscita nessuna patch di sicurezza, anche se l'ho richiesta espressamente. Inoltre dalle informazioni che ho dato su quel topic, non credo che le grandi SMF menti internazionali siano venute a capo di cosa potesse causare il problema. Mi rendo conto che le informazioni date sono frammentarie e insufficienti, ma allora mi chiedo che cosa devo andare a vedere.
Vedo di fare più chiarezza almeno qua.
Innanzitutto il mio sito

www.danceanni90.com

(Mkportal e MKforum con SMF).
Ora uno dei miei forumisti mi dice che entrando sul sito (sul portale home page) segnala il seguente virus: Mal/htmlgen-A e ovviamente Google l'ha bloccato da diversi giorni classificandolo come sito malevolo.
Il codice malevolo che veniva iniettato sulle index.php (ma anche admin.php e via dicendo) lo trovate nel file allegato.
Ho provato a contattare anche il mio hosting (Aruba) che mi dice che loro non sono responsabili della sicurezza del software installato sui domini dei loro clienti, pertanto non possono agire in alcun modo. Mi consigliano di verificare la sicurezza del mio sito sui seguenti siti:

www.secunia.com
www.securityfocus.com

Grazie in anticipo per le dritte. Veramente non so più che fare. Vorrei evitare se possibile di passare ad altre piattaforme oppure di trasferirmi alla versione 2 di SMF perchè perderei diverse personalizzazioni che poi devo riconfigurare, e questo sito non l'avevo neanche installato io, lo sto solo mantenendo, e il ragazzo che l'aveva installato non è più rintracciabile (litigi).

emanuele

#1
Ciao e benvenuto. :)

Come inizio posso dire che le probabilità che il problema sia SMF sono "scarse", ma ad ogni modo non escludiamolo a priori.

Per prima cosa devi capire "come" questi file sono entrati. Senza sapere questo puoi provare di tutto, ma sarai sempre vulnerabile.
Quindi: hai installati solo SMF e MkPortal? Niente altro?
Magari una vecchia versione Joomla? Chiedo perché facendo una ricerca veloce con il codice nel file in allegato, mi escono fuori solo siti che come comune denominatore hanno Joomla... il che mi riporta alla memoria che qualche tempo fa joomla ha avuto problemi a causa dell'editor, non è che MkPortal usa un editor vulnerabile?

ETA: oltretutto, vedo che non è la prima volta dai tuoi precedenti post su sm.org, questo mi farebbe suonare un campanello di allarme: il bug è sempre stato lì, solo che nessuno l'ha sfruttato (o almeno nessuno l'ha sfruttato in modo visibile) per un anno, ma ora è tornato.
Io lavorerei a stretto contatto con aruba cercando di capire esattamente come han fatto ad entrare.

emperor81

#2
Ciao,

Grazie innanzitutto per la pronta risposta!
Mkportal usa BBCode come editor.. sicuramente entrambi (Mkportal e BBcode) con versioni stra obsolete perchè ho sempre aggiornato SMF ma non ricordo di avere mai aggiornato nè Mkportal nè BBCode anche perchè al momento non saprei come fare

ETA: Cosa esattamente devo chiedere ai tecnici di Aruba affinchè non mi diano una risposta generica?
Joomla non l'ho mai sentito.. io penso che oltre a Mkportal e Mkforum non ci sia installato niente.. BBCode è integrato, penso alla piattaforma. Non è aggiornabile esternamente?!
Dove devo andare a vedere se oltre a Mkportal e Mkforum c'è installato qualcos'altro?

Grazie

Darknico

Ora sono da cell quindi sarò veloce..domani vedo di investigare meglio..
Una cosa però puoi fare, ovvero ABBANDONA mkportal! Sono un ex supporter e ex tester, prima della sua chiusura anni fa, e non escludo possa avere bachi di sicurezza....
Non supporto privatamente, non risponderei e ci rimarreste male....

Darknico

Eccomi di nuovo...
Purtroppo hai messo il sito offline e non posso guardare più di tanto..

Che versione di MKPortal hai?
Anche se non cambierà la risposta, perchè DEVI abbandonarlo il prima possibile, e te lo dice uno che ha fatto parte dello staff (sniff :'()
L'ultima versione, mai rilasciata è la C1.2.3 beta1 (forse solo io ho ancora questa versione di test qui, tenuto per ricordo dopo la morte...), quindi l'ultima pubblica è la C1.2.2, rilasciata nel 2009 se non ricodo male...

Se MKPortal usava come editor TinyMCE, ma era forse ancora più vecchia (la beta usava la Versione 3.2.1.1 (2008-11-27))

Io mi concentrerei proprio sul portale...

SMF 1.1.18 invece è l'ultima versione, e che io sappia non ci sono vulnerabilità conosciute, ma consiglio lo stesso di passare alla 2.0.x quanto prima!
Non supporto privatamente, non risponderei e ci rimarreste male....

emanuele

Citazione di: Emperor Absolutus il Mercoledì - 09 Ottobre 2013 - 00:39
ETA: Cosa esattamente devo chiedere ai tecnici di Aruba affinchè non mi diano una risposta generica?
Per prima cosa sarebbe utile avere i log di accesso del periodo che copre l'hackeraggio, ma per avere questi devi sapere *quando* è avvenuto di preciso, che non necessariamente corrisponde a quando tu te ne sei accorto.

Giusto per sicurezza: shared host (tipo i 20 euro all'anno) o VPS/server dedicato?

emperor81

#6
Shared Host a 50 euro all'anno per vari servizi offerti (antivirus, antispam (!!!!!!!!!), e mail illimitate).
Ho aperto di nuovo sito e forum così magari vedete meglio. C'è anche una chat integrata in flash all'indirizzo www.danceanni90.com/chat .. potrebbe anche quella avere bachi nella sicurezza.
Non sono riuscito a trovare la versione di mkportal utilizzata.
Ho chiesto ad Aruba di fornirmi i LOG degli accessi il giorno 2 ottobre 2013 alle 23,51, dato che vedo che è a quell'ora che sono state modificate le pagine php con il codice virus. Speriamo che si capisca qualcosa.. nel frattempo avete bisogno che vi alleghi dei file php?
Altra cosa: se proprio devo abbandonare Mkportal, avrei bisogno di avere una valida alternativa per rendere la grafica simile a quella a cui sono abituato io e i frequentatori del sito.

Grazie

Darknico

Hai disabilitato la visibilità della versione di MKPortal, quindi non riesco a capirla...
se vai nel CPAPortale, dovreti vederla almeno te, una volta dentro, guarda il copyright...
È comunque una versione vecchia (ma te lo direi anche se avessi l'ultima versine ;D), quindi devi abbandonarla...

Purtroppo qualcosa di simile a MKPortal non c'è, ne cercai anni fa ma non mi soddisfò nessuna, puoi però utilizzare alternative che si integrano solo con SMF, ovvero le classiche mod, tiinyportal, simpleportal, portamx, ed altri, ovvero quelli che trovi qui.
Io ti consiglio Simpleportal che è quello che utilizziamo anche noi...

Non sarà magari uguale al 100%, ma con un po' di ritocchi lo puoi fare molto simile, anche se ti mancheranno alcuni moduli, tipo l'area Gallery e l'area Download, che MKPortal aveva di default, nel tuo caso dovresti installare mod a parte...

Cmq visto che dovrai fare tutti questo casino e DEVI pulire tutti i file corrotti, io credo che un bel Large Upgrade alla versione 2.0.x di smf è d'obbligo, poi pensaci...

P.S. la chat non si vede
Non supporto privatamente, non risponderei e ci rimarreste male....

emperor81

Ok adesso la chat si vede, l'ho ricaricata dalla mia copia di backup che avevo in locale.
Non so, se non c'è alternativa nel weekend installerò Simple Portal.. a me interessa più che altro:

- mantenere più o meno lo stesso layout grafico con il logo del sito
- avere la sezione recensioni (quella più importante dove posto le biografie, discografie, e soprattutto le recensioni delle serate)
- la sezione delle news a centro pagina

Per quanto riguarda il passaggio a SMF 2.0.5, è possibile mantenere lo stesso stile grafico? si chiama musikonica quello che ho attualmente impostato per portale e forum. Oppure perderò le personalizzazioni? Poi c'è anche da dire che ho modificato i link personalizzandoli, ma quello dovrebbe essere facile reimpostarlo.
E' un casino. Potete per favore aggiungermi su skype? il mio contatto è emperor_absolutus

Grazie

emanuele

Considerando non mi pare tu sia particolarmente esperto (senza offesa ovviamente), io ti consiglierei di fare delle prove "altrove" prima di fare il passo: sia quello di spostarti a simple portal, sia a 2.0.

Sì, mi rendo conto che dicendo ciò ti lascio probabilmente in balia di altri potenziali incursioni, ma se la cosa non dura più di un weekend o due, non sarà molto differente dallo stato in cui sei stato negli ultimi 3/4/6 anni...

Per quando riguarda il "dove" fare le prove hai tre alternative:
1) il tuo computer (una guida),
2) qualche host gratuito (tipo altervista),
3) un'altra directory sul tuo server attuale (ho lasciato questa per ultima perché è la più "rischiosa" in quanto può far confondere ed io la eviterei a meno di non avere proprio nessun'altra possibilità).

Se vuoi fare le cose "fatte bene" cloni il tuo forum e fai le prove come se fosse quello vero.

Skype: non sono un utilizzatore...

emperor81

#10
Ciao,

Considerando che non ho tempo per configurare tutto l'ambiente su computer locale oppure su un nuovo host, ho tentato di effettuare un'installazione di SMF 2.0.5 in un'altra cartella del mio spazio.
Premetto, cosa molto importante, che prima ho fatto un backup di tutti i file del portale e del forum sul mio pc e un backup di tutti i database, che tuttora conservo.
Non ho attualmente la possibilità di fare un clone del database e metterlo online perchè è grosso più o meno 450 MB e non ho spazio sufficiente su MySql, dovrei comprarlo.
Ecco in breve cosa ho provato a fare:

TENTATIVO 1
ho creato una cartella /forum2 dove ho clonato tutto il contenuto presente sull'attuale cartella /forum. Ho poi copiato tutto il contenuto del file zip smf_2-0-5_upgrade, poi anche smf_2-0-5_italian e smf_2-0-5_italian-utf8 dentro questa cartella. Ho poi fatto girare il file upgrade.php dalla stessa cartella forum2, che però ha cominciato a lanciarmi una serie di errori critici, evidentemente qualcosa è andato storto durante la copia dei file e non me ne sono accorto. Non so, comunque dopo aver risolto alcuni problemi di connessione all'ftp, sono passato all'altro metodo di installazione ovvero usando il webinstall.php. Anche questo mi ha lanciato una serie di errori (errori nell'apertura di alcuni moduli presenti nello spazio web), non è arrivato al punto in cui aggiorna le tabelle presenti sul database, alla fine mi diceva installazione completata, ma in realtà provando ad aprire la pagina iniziale del forum non riusciva ad aprire il modulo main.. per cui ho abbandonato questa strada.
Ancora un'informazione che può essere utile: nella guida all'upgrade parla anche di permessi relativi a file e cartelle. Io ho provato a settarli come dice dal mio client FTP con il CHMOD, ma poi il file upgrade.php non girava proprio. Ho dovuto ripristinare i permessi a come erano prima (ovvero 755 mi pare, ma senza distinzione tra file e cartelle).

TENTATIVO 2
Ho deciso di creare una cartella /forum3 e montare lì una nuova installazione di SMF 2.0.5 quindi non upgrade ma install da zero. Ho provato questa volta solo con il webinstall, mi ha di nuovo segnato degli errori nell'apertura di alcuni moduli già copiati sullo spazio web, poi ha creato le nuove tabelle sul database vuoto che gli ho segnato, alla fine dell'installazione mi segnala tutto ok, ma la pagina principale del forum non si apre, mi pare per lo stesso problema del tentativo 1. Evidentemente bisogna capire come mai non riesce ad aprire quei moduli che mi segnala, la prossima volta che ci provo faccio uno screenshot e analizziamo il problema.

TENTATIVO 3
Dato che presumo che il tentativo 1 è fallito perchè in più file di configurazione c'è configurata la cartella /forum mentre stavo eseguendo i passi in un'altra cartella, e la nuova installazione di SMF crea delle nuove tabelle ma io ho bisogno di utilizzare quelle esistenti, ho deciso di tentare di fare l'upgrade direttamente dall'attuale cartella del forum, dato che comunque mal che vada ho tutti i backup (database e file) da poter ripristinare.
Webinstall.php: solito errore sull'apertura dei moduli. Poi però è andato avanti nell'installazione e ha modificato tutte le tabelle sul database. Alla fine però ha popolato in modo consistente la tabella Errori LOG.
Risultato finale: il forum si apre!! Ma mancano praticamente tutti i pulsanti di gestione. Non si può accedere al pannello di amministrazione, cliccando su un qualsiasi profilo utente dice apertura modulo fallita.. insomma, bisogna rifare tutto da capo.

Adesso sto ripristinando la situazione iniziale, quindi sto ripristinando le tabelle di prima e una volta che ha finito (tra 3 ore presumo, perchè un file di 400 MB non si carica facilmente), ripristinerò tutti i file, in modo da ricominciare con un nuovo tentativo, supportato dai vostri consigli.
Mi piacerebbe molto però, data la gravità della situazione, che qualcuno mi desse supporto "real-time" durante le operazioni, anche a pagamento volendo.
Se non usate skype possiamo trovarci anche su gtalk, moglianicola@gmail.com.

GRAZIE

emanuele

Citazione di: Emperor Absolutus il Sabato - 12 Ottobre 2013 - 16:44
Considerando che non ho tempo per configurare tutto l'ambiente su computer locale
Stai già partendo dalla considerazione sbagliata!
Per "configurare tutto" su computer locale, scarichi uno a scelta tra:
* http://www.apachefriends.org/en/xampp.html
* http://vertrigo.sourceforge.net/
* http://www.wampserver.com/en/
doppio click sull'install e tutto è già configurato. Erano tutti e tre elencati nella guida che ti ho linkato.

5 minuti, ed hai un webserver sul tuo computer dove puoi fare e disfare a piacimento senza dover perdere 3 ore per ri-uppare un db da 400MB.

Il motivo per cui non mi piace usare le chat è che se io lo spiego qui può essere d'aiuto ad altri in futuro, se io lo spiego a te in chat è utile solo a te. Siccome lo faccio per dare una mano al maggior numero di persone possibile capirai che la seconda opzione non è particolarmente attraente, un po' come scrisse Arantor un po' di tempo fa.

emperor81

Citazione di: emanuele il Domenica - 13 Ottobre 2013 - 00:21
5 minuti, ed hai un webserver sul tuo computer dove puoi fare e disfare a piacimento senza dover perdere 3 ore per ri-uppare un db da 400MB.

Il problema qua non è tanto il webserver, ma il database. Anche facendo le prove sul mio spazio web non ci metto tanto a riuppare ogni volta i files.
Il problema sono le tabelle modificate da SMF. Per fare le prove dovrei clonare il database e fare le prove sul db clonato, ma sul mio spazio web MySql fornito da Aruba non ho abbastanza spazio. Quindi dovrei montarmelo su locale. Se non ci sarà altra soluzione farò anche quello, ma non è cosa immediata.

emanuele

Se lo cloni sul tuo computer sei sul tuo computer dove avrai tutto lo spazio che il tuo hard-disk può avere sia per i file, sia per il database.
Se fai i test di upgrade come stai facendo tu, non fai altro che ogni volta aggiornare il database del tuo sito live alla versione 2.0 mantenendo invece i file di 1.1 e facendo quindi un casotto.

emperor81

Dopo varie peripezie sono riuscito a montare il forum con SMF 2.0.5. Peccato che per ora non riesca a usare niente altro che il tema default, neanche il core funziona.

http://www.danceanni90.com/forum

Adesso stavo valutando le alternative a Mkportal..
Ho guardato tutte le alternative che avevate segnalato, ma sono un po' disorientato.
Mi sembra carino PortaMX, segnalato su questo topic:

http://www.simplemachines.org/community/index.php?topic=353879.0

Però bisogna vedere se si riesce a ricreare una struttura simile a quella che c'era prima, ovvero in home page il portal e il link al forum

Discussioni simili (3)