Problema Haker

[mauro T]

Ciao a tutti
Qualcuno è entrato nel PCA e dopo aver fatto qualcosa ha cancellato lo storico dei login amministratori.
Di danni ha fatto che è sparita dal forum la parte dedicata all'iscrizione dei nuovi utenti, in più sono spariti anche i tasti "quote" "mp" ecc. ecc.
il resto tutto ok
due domande:

1) per ripristinare il tutto è necessario un backup per forza oppure si può provare diversamente?
2) è possibile (meno importante visto che ho cambiato le pw) ripristinare lo storico sulla manutenzione del PCA almeno per risalire a cosa ha combinato?
grazie a chi mi risponderà
ciao
Mauro

[Angolo]

Semmai Hacker. O meglio, Lamer.
Sei sicuro, che nessun altro a parte te abbia la password?
E' una password complessa (alfanumerica, maiuscole minuscole, con caratteri speciali, lunga, impossibile da ricordare a memoria)?
Tutte le password: amministrazione forum, sito, email.

Modifica tutte le password, come indicato.
Fai una seria e approfondita scansione antivirus e antispyware.
Effettua un ripristino totale (ftp+database).


Circa altre soluzioni, dipende dai danni fatti. Ma quello suggerito, è l'unico sicuro.
A condizione che il backup sia stato effettuato su forum integro, e sia stato fatto con i settaggi corretti.

[mauro T]

Allora come detto dopo aver cambiato le pw ho fatto il backup ma dato che andavano persi diversi messaggi quindi ho riprisitnato il tutto ad oggi ed ho provato a frugare all'interno del PCA.....sono riuscito a ripristinare le iscrizioni (erano state disabilitate) ma non i tasti di risposta, quota ed mp all'interno dei messaggi.
Suppongo sia qualcos'atro disabilitato..... potrebbe essere?
grazie
Mauro

[Angolo]

Se hai ripristinato (o mantenuto) un database bucato o alterato, o file alterati o entrambi, solo per non perdere qualche giorno di messaggi e qualche iscrizione, non hai fatto un affare. Fosse anche qualche settimana. Meglio perdere alcuni messaggi e alcuni utenti, ma avere un database integro, che avere tutti i messaggi e tutti gli utenti, con un database alterato. Gli utenti si possono reiscrivere, i messaggi li possono reinviare. Il database integro, rischia di non recuperarsi più. Quella è la cosa in assoluto più importante: il database integro. Il resto, a paragone, è irrilevante.

Chiarito questo, vedi se gli stili hanno la cartella it in imageset.
Se sì, è una questione di permessi. Come su prima installazione, devi impostare i permessi per tutti i gruppi, per ogni forum.


Ti era stata suggerita anche un'approfondita e seria scansione antivirus e antispyware. Se hai come pare, cambiato solo le password, senza fare questo controllo, rischi di trovarti punto e accapo.

Se davvero il tuo forum è stato alterato, bisogna individuare eventuali falle.

[Barrnet]

Visto che il forum è online, ftp e database mysql sono inviolati, è più probabile che abbia bucato un account amministratore e fatto qualche lamerata nel pca, come chiudere le iscrizioni, cancellare qualche forum e cambiare i permessi
A meno che il nome di chi ha pulito la cache non sia "Anonymus", non c'è stato nessun cracking, nel senso stretto della parola, ma solo un furto di account (ovviamente l'account rubato è quello che risulta nell'ultima azione del pca, ovvero la pulitura della cronologia).
Ora:

• Fai cambiare tutte le password amministrative, ovviamente devono essere robuste: alfanumeriche e devono contenere caratteri minuscoli e maiuscoli.
• Controlla tutti i permessi, potrebbe aver dato i poteri di amministrazione a una classe di utenti per fare ancora più danni.
• Ripristina l'imageset da PCA.

dubito che abbia avuto un accesso diretto all'ftp o al database mysql, se no il forum non sarebbe manco online .
Ovviamente consiglia all'amministratore che si è ritrovato l'account "rubato" una profonda scansione antivirus prima di loggare ancora sul forum