pagina bianca

[lukafree]

Emanuele, ho scaricato il file come mi hai detto, ma su cpanel non so dove mettere il file...

[emanuele]

Dimmi la struttura dei file...senza di quella non so dirti di preciso.
Ad occhio direi nella "root" (la directory principale), immaginando che il forum sia un sottodirectory da cui il sotto-dominio punta.

ETA: per la domanda via PM (se non assolutamente indispensabile, preferirei i topic ai PM ), nel sistemi unix i file il cui nome inizia con un punto sono file nascosti, quindi per vederlo dopo averlo rinominato, devi (da qualche parte nel tuo client ftp, o nel tuo pannello di controllo) abilitare l'opzione di visualizzare i file nascosti.

[emanuele]

due cose...
1 si sono dimezzati i visitatori ma sono ancora tanti, come posso fare?

Bisogna trovare da dove arrivano gli altri e cercare di bloccare anche quelli.
Comunque, ribadisco, un simile attacco sarebbe molto più facile da bloccare per l'host che non per te, anche perché, se non sei su una VPS, avranno parecchi problemi anche loro, anche solo a sopportare un tale traffico in termini di richieste...mah...

Va beh, tra un paio di giorni, quando si saranno rigenerati i log nuovi, vedremo cosa si può trovare di nuovo...purtroppo credo sia solo questo che si possa fare per ora...

2 se voglio rivedere il file .htaccess come devo fare?

Come ho scritto sopra, dovrebbe esserci un'opzione da qualche parte nel tuo client ftp o nel pannello di controllo. Il dove esattamente dipende da client e/o pannello...quindi servono più informazioni.

[lukafree]

grazie Emanuele,

aspetto i prossimi log....

ciao

[gnamignami]

Era successo pure a me con un server di prova.
Logfile enorme e tabelle piantate.

Il problema era dovuto al fatto che per far vedere tanti visitatori online (fittizi) avevo installato un addon fake users 4 smf

http://www.simplemachines.org/community/index.php?topic=468913.0

Questo addon mi aumentava i record nelle tabelle log_ oltre che i log di apache purtroppo, non solo i visitatori visualizzati.
Dopo averlo levato tutto è tornato ok.

[prosciuttonevvuói?]

Stesso problema. Abbiamo forzato un po' troppo con i fake users ed è scoppiato il server.
Barare non è cosa buona... Anche perché non riuscivamo a capire di chi eta la colpa.

[gnamignami]

A volte non è solo quello... se come dici hai un cms nella root ed è piantato un terzo livello, probabilmente le cose sono:

1) un hacker esperto sfrutta un bug del cms ; content management che mantiene pulito e non violato per non destare sospetti così che può crasharti la board quando vuole.

In tal caso backuppa e rimuovi il CMS, poi reinstallalo (se controlli le dir dove puoi fare upload di immagini magari ci trovi un falso jpg in realtà uno script e farsi un find -mtime non serve sicuramente: te l'ha bucato mesi fa e poi è stato quieto).

2) controlla di non avere un url rewrite su db, anche per il CMS, ci sono un tabelle per velocizzare i rewrite che possono crescere fino a milioni di record in poco tempo; potresti anche averle installate sulla board controlla se hai prefix_pretty_topic_urls    prefix_pretty_urls_cache

Altra nota: hai messo in chiaro un .docx con il path (e forse user) della tua installazione, occhio! 

[emanuele]

Questo addon mi aumentava i record nelle tabelle log_ oltre che i log di apache purtroppo

...no.
Questo è assolutamente impossibile.
Quel mod semplicemente cambia due righe per *visualizzare* fake user nella lista degli utenti online, non inserisce log e tanto meno può alterare i log di apache.
Se avevi log di apache zeppi significa che c'erano effettivamente bot che stavano martellando e l'installazione/disinstallazione del mod sono state solo coincidenze.

[gnamignami]

in effetti il problema si è risolto aggiungendo una serie di deny ad .htaccess, ma è possibile che alcune mod contengano vulnerabilità?

A tal proposito, mi chiedo anche quanto sono affidabili i servizi di installazione più o meno automatizzati forniti dai provider con i vari cpanel, direct admin, plesk?

[emanuele]

in effetti il problema si è risolto aggiungendo una serie di deny ad .htaccess,

ahhh... ecco.

ma è possibile che alcune mod contengano vulnerabilità?

Certo, come SMF stesso ne contiene di sicuro (presumibilmente non ancora scoperte o non ancora pubbliche, è impensabile che non ci siano bug di sicurezza da qualche parte).

A tal proposito, mi chiedo anche quanto sono affidabili i servizi di installazione più o meno automatizzati forniti dai provider con i vari cpanel, direct admin, plesk?

Questi non dovrebbero avere alcun problema: nella maggior parte dei casi sono semplicemente interfacce che automatizzano il file install.php e niente più.

[gnamignami]

Sempre in tema security e spero di non andare troppo OT:
se avessi una installazione smf non aggiornata, diciamo in una cartella oldforum ( il vecchio forum) e nella root un nuovo smf aggiornato alla 2.0.6; sarebbe possibile sfruttare le vulnerabilità (non patchate) del vecchio forum per colpire quello nuovo?

[emanuele]

In effetti un topic a sé non starebbe male a questo punto...va beh, eventualmente splittiamo.

Dipende da svariati fattori, primo fra tutti il tipo di vulnerabilità.
Ad esempio, se la vulnerabilità è sfruttabile anche senza l'intervento di un admin, allora, sì: anche se il forum è da un'altra parte, basta che sia "funzionante" ed accessibile e la vulnerabilità sarà utilizzabile.

Così a memoria le ultime vulnerabilità patchate richiedono tutte l'intervento più o meno esplicito di un admin per essere esploitate (beh, non è del tutto vero, tecnicamente credo che quella degli avatar possa essere sfruttata anche senza l'intervento di un admin, ma comunque richiede un forum funzionante).

Però, in generale, sì, se una vulnerabilità è presente in uno script caricato sul tuo server, allora il tuo server è vulnerabile e il tuo sito è in pericolo.

[gnamignami]

ecco perchè probabilmente delle due installazioni sul server di cui parla lucasfree una 'va' e una 'no':
ci stà che l'hacker usi uno script sul sito (che va) per mandare in tilt il forum appena viene 'riacceso' 

Mi era capitato con un bridge joomla/gallery2; mi crashavano sempre la gallery2 ma mi tenevano up e 'pulito' il CMS.

Usavano joomla che nella cartella immagini aveva uno script mascherato da .png, sul CMS non volevano attirare attenzione per colpire invece il 'core business' (sito per una galleria d'arte) che era la gallery!

[emanuele]

Il problema è che tu sei partito da un assunto sbagliato, ovvero che ci sia un hacker.

Qui ci sono "solo" una marea di spammer (semplici bot di fatto) che tempestano il sito di richieste e l'host che disabilita il forum (il solo forum, rinominando la directory e mettendone una vuota (forse, non ricordo)) per evitare overloading del sistema (che forse dovrebbe fermare prima ancora che raggiunga il forum, ma apparentemente hanno delle idee strane su cosa php può fare... *rolleyes*).

Nessun hackeraggio di alcun genere.