dove è finito il forum?

Aperto da TiME, Sabato - 23 Febbraio 2013 - 11:10

0 Utenti e 1 Visitatore stanno visualizzando questa discussione.

TiME

ragazzi tutto d'un tratto il mio forum non si vede più
pagina bianca nel ftp però smf e presente cosa può essere?
non ho mod installate

error log esce questo
PHP Parse error:  syntax error, unexpected T_CONSTANT_ENCAPSED_STRING in /var/www/smf/Settings.php on line 31, referer: http://sito.it/index.php

possibile sia questo?
linea 31
$db_type = 'mysql';
$db_server = 'localhost'; #';
cat /etc/passwd
'; #';
cat /etc/passwd
';

precisamente questa
';      #';

TiME

#1
cavolo era un attacco mi son trovato questo
$db_type = 'mysql';
$db_server = 'localhost'; #';
cat /etc/passwd
'; #';
cat /etc/passwd
';
<!DOCTYPE acunetix [
  <!ENTITY acunetixent SYSTEM \"http://testasp.vulnweb.com/t/fit.txt\">
]>
<xxx>&acunetixent;</xxx>
';
<!DOCTYPE acunetix [
  <!ENTITY acunetixent SYSTEM \"http://testasp.vulnweb.com/t/fit.txt\">
]>
<xxx>&acunetixent;</xxx>
'; #$!@#$)(()))******'; #$!@#$)(()))******';
SomeCustomInjectedHeader:injected_by_wvs';
SomeCustomInjectedHeader:injected_by_wvs';
SomeCustomInjectedHeader:injected_by_wvs';
SomeCustomInjectedHeader:injected_by_wvs';
$db_name = 'smf'; #';
cat /etc/passwd
';
<!DOCTYPE acunetix [
  <!ENTITY acunetixent SYSTEM \"http://testasp.vulnweb.com/t/fit.txt\">
]>
<xxx>&acunetixent;</xxx>
';
<!DOCTYPE acunetix [
  <!ENTITY acunetixent SYSTEM \"http://testasp.vulnweb.com/t/fit.txt\">
]>
<xxx>&acunetixent;</xxx>
'; #';
cat /etc/passwd
'; #$!@#$)(()))******'; #$!@#$)(()))******';
SomeCustomInjectedHeader:injected_by_wvs';
SomeCustomInjectedHeader:injected_by_wvs';
SomeCustomInjectedHeader:injected_by_wvs';
SomeCustomInjectedHeader:injected_by_wvs';
$db_user = 'yodblnjc\"; waitfor delay \'0:0:4\' -- '; #';
cat /etc/passwd
'; #';
cat /etc/passwd
';
<!DOCTYPE acunetix [
  <!ENTITY acunetixent SYSTEM \"http://testasp.vulnweb.com/t/fit.txt\">
]>
<xxx>&acunetixent;</xxx>
';
<!DOCTYPE acunetix [
  <!ENTITY acunetixent SYSTEM \"http://testasp.vulnweb.com/t/fit.txt\">
]>
<xxx>&acunetixent;</xxx>
'; #$!@#$)(()))******'; #$!@#$)(()))******';
SomeCustomInjectedHeader:injected_by_wvs';
SomeCustomInjectedHeader:injected_by_wvs';
SomeCustomInjectedHeader:injected_by_wvs';
SomeCustomInjectedHeader:injected_by_wvs';
$db_passwd = 'g00dPa$$w0rD'; #';
cat /etc/passwd
'; #';
cat /etc/passwd
';
<!DOCTYPE acunetix [
  <!ENTITY acunetixent SYSTEM \"http://testasp.vulnweb.com/t/fit.txt\">
]>
<xxx>&acunetixent;</xxx>
';
<!DOCTYPE acunetix [
  <!ENTITY acunetixent SYSTEM \"http://testasp.vulnweb.com/t/fit.txt\">
]>
<xxx>&acunetixent;</xxx>
'; #$!@#$)(()))******'; #$!@#$)(()))******';
SomeCustomInjectedHeader:injected_by_wvs';
SomeCustomInjectedHeader:injected_by_wvs';
SomeCustomInjectedHeader:injected_by_wvs';
SomeCustomInjectedHeader:injected_by_wvs';
$ssi_db_user = '';
$ssi_db_passwd = '';
$db_prefix = 'smf_';
$db_persist = '0';
$db_error_send = 0;


ripristinato ed e andato...
come mi posso difendere?

Darknico

Calmo calmo, un pezzo alla volta..
Inizia con il dirci che mod avevi installato e che versione di smf usi
anche un link al sito se possibile, ed hosting
Non supporto privatamente, non risponderei e ci rimarreste male....

TiME

uso versione smf 2.0.4
non ho mod installate
il sito è stato attaccato modifcando il setting.php
ora ho ripristinato
comunque bigtower.info/smf

emanuele

Servono i log di accesso del server (log di apache) del periodo in cui è avvenuto l'attaco, se non sei sicuro di quando è avvenuto, meglio abbondare (di qualche ora, non di qualche giorno! :P).
Comunicali per via privata, non postarli in pubblico.
L'ideale sarebbe compilare il form per i report di sicurezza di sm.org, ma dato che tanto ti rispondo io ti anticipo già le domande:
* log, come già detto,
* quali altri script hai installato oltre a SMF
* quali mod
* ci sono modifiche fatte da te?

Dopo che avrò i log, ti chiederò se è possibile avere accesso ftp (e magari anche via cpanel) al server, ma questo dopo.

Cercando sul web si vedono siti con simili attacchi su un po' tutte le piattaforme, quindi mi verrebbe da sospettare si tratti di una qualche vulnerabilità (o cattiva configurazione) server...

Alex

avevi ancora i permessi a 777?

Citazione di: TiME il Giovedì - 21 Febbraio 2013 - 09:45
ho messo il 777
ma nulla comunque e la prima mod il system post

TiME

#6
si ho ancora i permessi dell'installazione devo cambiarli??
comunque
* log, come già detto,

[Sat Feb 23 10:52:35 2013] [error] [client 95.239.226.89] PHP Parse error:  syntax error, unexpected T_CONSTANT_ENCAPSED_STRING in /var/www/smf/Settings.php on line 32
[Sat Feb 23 10:52:35 2013] [error] [client 95.239.226.89] PHP Parse error:  syntax error, unexpected T_CONSTANT_ENCAPSED_STRING in /var/www/smf/Settings.php on line 32
[Sat Feb 23 10:52:35 2013] [error] [client 95.239.226.89] PHP Parse error:  syntax error, unexpected T_CONSTANT_ENCAPSED_STRING in /var/www/smf/Settings.php on line 33, referer: http://bigtower.info:80/
[Sat Feb 23 10:52:36 2013] [error] [client 95.239.226.89] PHP Parse error:  syntax error, unexpected T_CONSTANT_ENCAPSED_STRING in /var/www/smf/Settings.php on line 32
[Sat Feb 23 10:52:36 2013] [error] [client 95.239.226.89] PHP Parse error:  syntax error, unexpected T_CONSTANT_ENCAPSED_STRING in /var/www/smf/Settings.php on line 33, referer: http://bigtower.info:80/
[Sat Feb 23 10:52:36 2013] [error] [client 95.239.226.89] PHP Parse error:  syntax error, unexpected T_CONSTANT_ENCAPSED_STRING in /var/www/smf/Settings.php on line 32, referer: http://bigtower.info:80/
[Sat Feb 23 10:52:36 2013] [error] [client 95.239.226.89] PHP Parse error:  syntax error, unexpected T_CONSTANT_ENCAPSED_STRING in /var/www/smf/Settings.php on line 32
[Sat Feb 23 10:52:36 2013] [error] [client 95.239.226.89] PHP Parse error:  syntax error, unexpected T_CONSTANT_ENCAPSED_STRING in /var/www/smf/Settings.php on line 32
[Sat Feb 23 10:52:36 2013] [error] [client 95.239.226.89] PHP Parse error:  syntax error, unexpected T_CONSTANT_ENCAPSED_STRING in /var/www/smf/Settings.php on line 32, referer: http://bigtower.info:80/
[Sat Feb 23 10:52:37 2013] [error] [client 95.239.226.89] PHP Parse error:  syntax error, unexpected T_CONSTANT_ENCAPSED_STRING in /var/www/smf/Settings.php on line 32, referer: http://bigtower.info:80/
[Sat Feb 23 10:52:37 2013] [error] [client 95.239.226.89] PHP Parse error:  syntax error, unexpected T_CONSTANT_ENCAPSED_STRING in /var/www/smf/Settings.php on line 32
[Sat Feb 23 10:52:37 2013] [error] [client 95.239.226.89] PHP Parse error:  syntax error, unexpected T_CONSTANT_ENCAPSED_STRING in /var/www/smf/Settings.php on line 32
[Sat Feb 23 10:52:40 2013] [error] [client 95.239.226.89] PHP Parse error:  syntax error, unexpected T_CONSTANT_ENCAPSED_STRING in /var/www/smf/Settings.php on line 33, referer: http://bigtower.info:80/
[Sat Feb 23 10:52:40 2013] [error] [client 95.239.226.89] PHP Parse error:  syntax error, unexpected T_CONSTANT_ENCAPSED_STRING in /var/www/smf/Settings.php on line 32

* quali altri script hai installato oltre a SMF: instalalto anche xbtit ma gia in parallelo
* quali mod: nessuna
* ci sono modifiche fatte da te?: no


il log continua.. fin quando non ho bloccato l'attacco con iptable
comunque vorrei proteggermi a riguardo...o comunque compilato il link che mi hai dato


Alex

Citazione di: TiME il Lunedì - 25 Febbraio 2013 - 00:44
si ho ancora i permessi dell'installazione devo cambiarli??

se hai i permessi a 777 sul tuo forum online DEVI assolutamente cambiarli.

Il chmod 777 permette a chiunque di eseguire ciò che vuole nei tuoi file, l'attacco che hai subito probabilmente è andato a buon fine proprio perchè chi l'ha messo in pratica ha trovato la strada aperta.


TiME

#8
che chmod devo mettere?=
su che file?
supponendo anche che ho il sito fatto cosi:
miosito.com/smf
quindi chmod penso sia da fare anche sulla cartella smf?

Alex

generalmente gli hosting mettono a disposizione una funzione che ripristina e corregge i permessi dell'intero dominio; prova a cercare tale funzione nei pannelli amministrativi del tuo fornitore di servizi.

Comunque col chmod a 755 non ti sbagli.

TiME

potrei mettere anche 664?
perchè tipo setting.php ho messo 664 va bene? il resto 755

Alex

644 è ancor più restrittivo del 755, puoi provare ad impostarlo e vedere se ti funziona bene tutto.


TiME

se tu mi dici che 664 va bene io lascio solo sul setting il resto e 755

Alex


TiME


Discussioni simili (3)