Server cancella file

[jazzista88]

Salve ho cercato nel forum ma non trovo esattamente lo stesso problema che sto riscontrando io.
Ho effettuato la migrazione del mio dominio musicattuale.eu sui server di netsons acquistando un hosting semidedicato.
Una volta fatto ciò ho effettuato l'accesso al server con filezilla ed ho dovuto ridare la stessa impostazione che avevo sul vecchio server:

public_html/octandre/index.html

Questa è la cartella in cui metto la parte di presentazione del sito, che non ha niente a che fare con phpbb.
Poi all'interno di questa cartella ci sono le seguenti directory:

public_html/octandre/Green
public_html/octandre/Red
public_html/octandre/Blue

In ciascuna di queste cartelle devo caricare i miei vecchi forum. La procedura per l'impostazione dei database la conosco l'ho eseguita con successo senza problemi ne sono sicuro al 100%, quindi mi accingo a caricare i contenuti dei miei 3 forum.
Sembra andare tutto bene, una volta caricati i contenuti provo ad accedere da browser, errore 404. Vado a vedere su filezilla, e vedo che numerosi file vengono cancellati, grazie all'antivirus del server. Bene, contatto l'assistenza gli do i path che contengono tali file (non i nomi dei file solo i path che ho scritto sopra), in modo da poterli inserire nelle regole dell'antivirus. Ok Perfetto, tutto funziona per una settimana, oggi, di punto in bianco il server decide di comportarsi nuovamente allo stesso modo, ovvero mi cancella sempre gli stessi file in tutte e 3 le directory:

Prendendo ad esempio il Green

public_html /octandre/Green/adm/index.php
public_html /octandre/Green/config.php
public_html /octandre/Green/index.php
public_html /octandre/Green/viewforum.php
public_html /octandre/Green/viewonline.php
public_html /octandre/Green/viewtopic.php

E solo per il forum Green:
public_html /octandre/Green/activitypage.php
public_html /octandre/Green/mainpage.php

Ora io ho scritto all'assistenza tutti questi nomi e directory, sperando che vengano messi nelle regole dell'antivirus. Pero' mi chiedo se la settimana scorsa l'assistenza mi aveva già inserito i path generici nelle regole, non sarebbero dovuti essere inseriti automaticamente tutti i file e sottocartelle?

Poi vi spiego sto comportamento, io carico contenuti dei miei forum, poi andando a visitare la pagina da browser, errore 404, tornando su filezilla vedo appunto che vengono cancellati. Altre volte non succede, altre volte questi file rimangono, ma anche in tal caso ottengo errore 404. A questo punto mi chiedo se è solo un problema relativo all'antivirus o anche ad altro.

PS: ho provato a disabilitare modsecurity, ma il comportamento risultava lo stesso.

[brunino]

Phpbb c'entra poco... questa e' una questione tra te e quelli di netson... molti usano netson e non.penso abbiano questi problemi. Che versione della 3.0 hai?

Inviato dal mio GT-S5360 con Tapatalk 2

[jazzista88]

3.011 con delle mod installate ovviamente

[jazzista88]

L'unica cosa che mi è venuta in mente e che mi hanno consigliato è appunto di chiedere di inserire questi path inclusi i nomi dei file che vedo cancellati. Quello che mi fa rimanere scettico è che per una settimana, dando solo il percorso delle directory dei forum, esclusi i nomi die file che venivano cancellati, è funzionato tutto benissimo, e cosi' random adesso non va piu' niente...

[Sir Xiradorn]

Hai controllato se la mod security disattivata ti da gli stessi problemi di quando la tieni attivata?

[jazzista88]

Allora l'assistenza mi ha dato questa motivazione.
Semplicemente il sito è stato hackerato in quanto alcuni file php erano criptati avevando come intestazione una stringa lunghissima che inizia cosi':

<?php eval(gzinflate(base64_decode('pRlrb9s48nMOuP/...

Dicono che il problema è risolvibile tramite dei toolche effettuano la decodifica di questi file.
Fortunatamente avevo un backup dei contenuti dell'anno scorso, non affetti da questo hack, infatti ho provveduto a mettere su questi vecchi contenuti ed ora tutto funziona perfettamente. Anche se l'assistenza mi ha consigliato di partire da un progetto nuovo, in quanto potrebbe esserci anche la possibilità di code injection a livello database, che non so cosa voglia dire. Cosa mi consigliate di fare? Ho caricato il vecchio backup e tutto sembra funzionante, vale la pena preoccuparsi per questo code injection?

[Sir Xiradorn]

Si hanno usato una stringa altamente dannosa ed è stata codificata in base 64 e poi decodificata per fare l'inject o ignezione di codice. Una inject non è altro che un innesto di codice maligno dannoso.

Il mio consiglio è come quello dell'assistenza. SI inizia da zero per stare sicuro. E io aggiungo il mio personale consiglio anzi personali:
- codice pulito
- db pulito
- poche pochissime mod
- password ad alto valore di sicurezza: esempio usando il tuo nome (cosa che NON va mai fatta. Ovvero usare il proprio nick come pass anche se codificata) $Ja2z7%1sT4?8& questa password ha un valore enorme di complessità. Provate sui vari tool online e vedetene i risultati. Difficile da ricordare ma è praticamente impossibile da codificare con i normali tool. Quindi se ti fatto attacchi da dizionario, a a forza bruta, con algoritmi e rainbow table stai sicuro che non te la prendono (ora questa non la usare pero )
- back frequenti
- sii sempre vigile

Sembrano tutto cose ovvie ma fidati che non lo sono

[jazzista88]

Il problema è che non posso ricominciare da zero, perchè sul mio forum ho caricato una marea di allegati, lavoro fatto dal mio capo. Non posso quindi fare da zero perderei tutto il lavoro, a meno che voi guru non mi consigliate un altro modo alternativo. Per adesso vedo ce il sito va bene, ho messo su una versione non intaccata da quel codice, poi come password non faccio altro che usare quelle che mi crea random netsons quindi non credo sia un problema su netsons, semmai me lo porto dietro dal server vecchio che era gestito da un C.... va beh amen.
Allora tenendo conto che non posso partire da zero e che devo assolutamente mantenere quel database, cosa posso fare?

[jazzista88]

Vorrei anche chiedere come un hacker abbia fatto a fare questa cosa?

[Sir Xiradorn]

Come ha fatto non credo sia bene spiegarlo qua Capisci bella perchè.

Un consiglio a bassa voce: CAMBIA TUTTE LE PASSWORD IMMEDIATAMENTE. Come è bene che tu rimuova gran parte delle estensioni che ritieni inutili o che non sono proprio affidabili.

Puliscilo per quanto possibile e cerca di non usare estensioni o stili che non siano provenienti da fonti proprio sicure. Attenzione che anche lo stesso phpbb.com potrebbe veicolare cose non proprio sicure.

Fare quindi MOLTA attenzione e muoviti a cambia password