Forum phpbb3 attaccato in massa

[Angolo]

Sono cose trattate. In sintesi, se il backup è stato generato da PCA, il ripristino si deve fare da PCA. Quindi, effettua un ripristino in locale. Da locale, generi un nuovo backup via phpmyadmin e lo importi così in remoto da phpmyadmin. Oppure tramite dump.

Qualcuno, sostiene che sia possibile procedere a un ripristino via phpmyamdin, partendo da un backup fatto via PCA. Non ho mai provato. Prova e verifica. Ma anche in quel caso, il backup da PCA, dovrà essere splitterato (diviso) oppure caricato tramite dump. Cerca sul Forum per ulteriori info.

[Don Vito]

Ho installato una versione vergine del phpbb 3.0.10 sul un nuovo server di prova.
Dopo ho inserito il database che avevo salvato nel mio vecchio forum, quello che appare infettato.
Purtroppo compaiono messaggi di errore da parte del mio antivirus.
Credo di poter dire che è il database che è infetto... però non capisco una cosa.

Se io eseguo una scansione del medesimo database con il mio antivirus, questo non trova virus o minacce, allora perchè dovrebbe trovarle una volta che il database è stato installato dentro un phpbb3 vergine?

E' normale che la scansione con lo stesso antivirus non riesca a trovare, quello che poi riconosce una volta che il database è stato caricato sul phpbb3?

[Micogian]

La versione phpbb da installare deve essere la stessa della versione del database. Non si può caricare una versione di phpbb e utilizzare un database di una versione diversa. Non si può escludere ma generalmente non è il database ad essere infetto. Se lo fosse sarebbe irrecuperabile.

[Don Vito]

La versione phpbb da installare deve essere la stessa della versione del database. Non si può caricare una versione di phpbb e utilizzare un database di una versione diversa. Non si può escludere ma generalmente non è il database ad essere infetto. Se lo fosse sarebbe irrecuperabile.

Ciao Micogian, ti assicuro che ho installato la stessa versione (3.0.10) su quale è stato eseguito il backup.
Su quella versione ho installato il database e mi compaiono messaggi di errore da parte del mio antivirus.
La versione 3.0.10 è vergine, l'ho scaricata nuovamente sempre da questo forum e mi da errori solo che dopo che ho inserito il database del vecchio forum.

Ho scansionato il database con il mio antivirus e non mi da nessun errore.... però quando inserisco tale databse nel nuovo phpbb3 vergine, installato su un server di prova (altervista) mi restituisce minacce.... non so cosa pensare se non considerare il database infetto

[Angolo]

Ci sono virus relativi alla scansione del database mysql, che non vengono rilevati dalle scansioni (perché ovviamente non sono file exe o similari). Tuttavia, la kaspersky kab, pare sia all'avanguardia in questo senso.

In ogni caso, se Micogian ti ha individuato le stringhe, cerca quelle stringhe nel database, prima di importarlo.

[Micogian]

Veramente io non ho individuato stringhe di codice anomalo, ho fatto presente che uno dei modi più comuni di intrusione è dato dall'inserimento di alcune stringhe nei file di sistema.
La data di modifica del file e la differenza della dimensione dei file rispetto a quelli originali dovrebbe facilitare l'individuazione dei file intaccati.
Non ho mai avuto a che fare con attacchi al database, ovviamente non posso escluderlo ma mi sembra abbastanza strano. E' molto più facile, per chi lo sa fare, attaccare i file di sistema.

[Angolo]

Allora ho frainteso...

In tal caso, occorre tentare una scansione con altro Antivirus, ad es Kaspersky; quindi, se il sito rimane infetto, vedere se dal messaggio di errore dell'antivirus, magari attraverso una ricerca, si può individuare la stringa che genera il codice infetto. Da tentare anche una pulizia del database con l'STK o con tool analogo da cercare sul com.

L'unico modo per evitare tutto questo, sarebbe avere un backup precedente l'infezione... un backup integro.

[Don Vito]

@ Micogian. Rinfrancato dalle tue parole, ho installato una versione vergine del phpbb 3.0.10, la stessa sulla quale girava il mio vecchio forum. Appena faccio il ripristino dal mio backup, mi tornano gli errori, ogni volta che entro nel mio forum. Può essere una prova per definire il database infetto?

@ Angolo. Proverò con l'antivirus che mi hai consigliato, però in versione trial, spero sia uguale.Non posso spedere oltre 50 euro per una scansione, per me sarebbe troppo oneroso.
Proverò anche il tool che mi hai consigliato, anche se ho letto che è utile per risolvere eventuale problemi strutturali del database e non per eliminare virus o minacce.

Purtroppo il mio più vecchio backup, risale a due mesi fa. A quei tempi non sapevo che il mio database fosse infetto e cosi avevo cancellato i precedenti. E' su quello che sto lavorando e mi rilascia il forum infetto.
Quello che non riesco a capire, come mai questi messaggi di minacce e virus, sono arrivati solo circa 20 gg fa, e non 2 mesi fa, quando avevo fatto da poco il backup. Forse l'infezione è stata graduale e ripetuta in piu attacchi, altrimenti non si spiegherebbe come mai il mio antivirus (a dire il vero ne ho provati due) mi segnala infezioni e non mi fa navigare.

Per il sito, credo di aver risolto, ho dovuto eliminare l'applicazione Widget Spry di dreamweaver e la relativa cartella. In essa, erano contenuti circa 60.000 files infetti e a me sconosciuti. Ho fatto cambiare password ftp dal mio hosting e ricaricato l'applicazione per il sito. Adesso, almeno questo, non mi restituisce nessun errore.
Per il forum, sto lavorando sui vostri consigli, ma purtroppo non riesco a trovare una soluzione definitiva.

Grazie per il vostro aiuto e buona Pasqua.

A presto

[Angolo]

Ovvio che il backup è infetto.
E ovvio che non devi spendere nulla. E non è necessario installare nulla. Puoi intanto provare con la scansione online, posto che il database sia decompresso.
Ovvio ancora che l'STK non serve a risolvere problemi di virus. Ma in assenza di backup integro, cos'altro potresti fare? Inoltre, ho parlato anche di tool analogo da cercare sul com (se esiste).

L'unica cosa che puoi fare, come già detto, e oltre quanto detto, e ricavare qualche indizio (stringa) da un eventuale messaggio dell'antivirus, cercando, partendo da quel messaggio, info su Google.

[Micogian]

Prima di tutto io avrei creato una copia in locale del Forum.
Tu hai detto che hai installato una 3.0.10 vergine, ma ce l'avei già? perchè le versioni vecchie di phpbb non sono scaricabili, attualmente è disponibile la 3.0.11.
Si potrebbe anche provare ad aggiornare la versione.
Quando si aggiorna la versione la prima cosa che viene aggiornata è il database, quindi si dovrebbe fare così:
Si scarica la versione 3.0.11 e si tiene a disposizione.
Dalla versione 3.0.10 si procede con l'aggiornamento, terminata la prima fase, quella che aggiorna il database, si resta in aggiornamento ma si cancella il vecchio pacchetto 3.0.10 e si sostituisce con quello nuovo 3.0.11.
Si riprende l'aggiornamento e dato che i file sono tutti aggiornati la procedura dovrebbe chiudersi correttamente in quanto i file di sistema sono aggiornati.
Questo è un modo per aggiornare la versione ed essere sicuri che il pacchetto è realmente corretto.
Ovvviamente si perdono le Mod installate.
Il tutto da farsi in locale, dove tutto si può rifare se qualcosa va storto.