phpBB Italia

Improvvisamente il tuo forum impazzisce, continui redirect, segnalato su Google come sito malevolo, non riesci più ad accedere alla lista utenti, queste sono solo alcune delle conseguenze che si riscontrano in un forum HACKERATO dai soliti "SPAM HACKER", ovvero coloro che usano i siti in cui riescono a infilare codice javascript offuscato.

Restiamo in tema con i forum in PHPBB, tutti coloro che non lo sanno si chiederanno ma come fanno????

1) Si iscrivono e noi li attiviamo
2) Sfruttano le debolezze di altri siti con cui noi condividiamo la macchina server
3) Sono dei mostri in informatica e riescono a trovare bug anche nei forum con le ultime versioni aggiornate ( al 80% colpa delle varie MOD ).

Una volta che riescono ad avere accesso come AMMINISTRATORI ( root ) a tutti i vostri file inseriscono codice in JAVASCRIPT offuscato ovvero trasformato da semplice testo in esadecimale, il perché è molto semplice gli antivirus leggono il testo e non prendono in considerazione un comando offuscato, inoltre ad un occhio poco attento o pratico il codice può sembrare qualcosa di "NORMALE" e quindi non ci si allerta.

Voglio ora condividere con voi questa mia piccola conoscenza che mi sono fatto negli ultimi 2 anni, ogni qualvolta mi ritrovavo con un forum o un sito bucato e bloccato da Google.

Quello che vedete sotto è il codice offuscato in javascript:
Ho cancellato buona parte del codice per renderlo innocuo, ma quello che vedete vi da l'idea di come e cosa eventualmente cercare è facilmente individuabile in quanto il codice al 90% è racchiuso tra questi due tag:

<!--81a338--><!--/81a338-->

Fin dall'inizio si può benissimo notare che il codice è un comando in javascript, il corpo del codice è sempre uguale ma differenziare da un altro solo per il modo in cui viene dato lo spazio tra un numero e l'altro, in questo caso vediamo ( : ) due punti in altri casi viene codificato anche quello e vedremmo ( Zq ).

Ed ecco come si mostra il codice in chiaro:
Anche qui ho reso il codice inservibile, come potete notare all'inizio troviamo subito i comandi per un controllo ogni volta che si apre la pagina dove il codice si trova controlla se quel IP si era già collegato nel caso la risposta sia NO all'ora parte l'apertura in un iframe che collega all'indirizzo che vedete in rosso ad un file dove si trovano altri comandi, i quali sono sostanzialmente due in primis:

1) cercare di scaricare una webshell nel sito in modo da avere accesso garantito in futuro.
2) effetturare redirect " pubblicitario" a un qualsiasi sito

E si perché lo scopo principale di questi SPAMMER HACKER è quello di guadagnare soldi con la pubblicità, la maggior parte di questi personaggi non sono altro che distinti signori che lavorano nel campo del MARKETING e conoscono molto bene l'informatica o di solito si appoggiano a buoni informatici che sappiano bucare.
Dopo aver contattato migliaia di aziende in tutti i settori promettono milioni di visite UNIVOCHE in pochissimo tempo, logicamente dietro a un congruo compenso, l'unica via è quella di forzare le visite facendo diventare i siti di cui riescono a prendere il controllo dei siti ZOMBI da cui reindirizzare il maggior numero possibile di visitatori.

Nella mia piccola esperienza ho trovato siti tedeschi che vendevano pompe ad immersione, siti americani che vendevano esche vive per la pesca, siti italiani che vendevano funghi lascio a voi immaginare il resto.

La mia personale piccola soddisfazione è che conoscendo il codice lo individuo più velocemente cosi posso ripulire i file, nel caso non avessi fatto un backup preventivo, e inoltre avvertire le DITTE e metterle a conoscenza che hanno pagato un IMBROGLIONE per poter ricevere visite.

Mi auguro che questo mio piccolo TUTORIAL possa essere di aiuto a tutti voi nel controllo dei vostri Forum o Siti.

Gianni Caraci

A me è capitato 2,3 volte, per fortuna ci siamo accorti subito.
Io credo che l'intrusione sia dovuta a qualche "exploit" che sfruttando un bug o una vulnerabilità di phpbb (o forse Coppermine) porta all'acquisizione di privilegi di Amministratore e quindi in grado di modificare i file del Server.
L'intrusione è in effetti un codice javascript ripetuto su centinaia di file, in genere index, page, e js.
Il fatto che sia sempre lo stesso codice in un certo senso è un vantaggio.
Io ho creato uno script che controlla ed elabora una lista dei file che contengono la stringa incriminata.

E' questo: Con questo file ho scoperto tutti i file corrotti che ho pulito o sostituito in breve tempo.

PhpBB è ritenuto molto sicuro, basti pensare che la versione Gold (3.0.0) era uscito indenne da un convegno di hacker a Las Vegas.
Il fatto è che spesso le mod, anche quelle rilasciate su phpbb.com e quindi filtrate dalla rigida politica di modding di tale forum, non sono scritte con lo stesso criterio di sicurezza.
La morale è sempre quella: evitate di installare roba inutile nel vostro server: vi serve per davvero una sala giochi? Vi serve per davvero una mod che abilita l'HTML? vi serve per davvero una mod che ha tonnellate di funzioni per poi sfruttarne un solo componente? (per esempio la chat stile facebook, nel caso della Social Network phpBB).

Io sono convinto che phpBB3 fornisca quasi tutte le funzioni necessarie, le poche cose aggiuntive è meglio aggiungerle tramite mod scritte con criterio e che siano veramente piccole aggiunte, magari fatte sfruttando le API di phpBB3. Una mod che ti aggiunge l'ultima risposta nell'indice non sarà mai pericolosa, perché è una piccola modifica ad un file functions e una al template, una mod come la sala giochi conterrà invece innumerevoli falle di sicurezza: più il codice aumenta e più aumentano le occasioni di trovare una falla.

Micogian ha scritto:A me è capitato 2,3 volte, per fortuna ci siamo accorti subito.
Io credo che l'intrusione sia dovuta a qualche "exploit" che sfruttando un bug o una vulnerabilità di phpbb (o forse Coppermine) porta all'acquisizione di privilegi di Amministratore e quindi in grado di modificare i file del Server.
L'intrusione è in effetti un codice javascript ripetuto su centinaia di file, in genere index, page, e js.
Il fatto che sia sempre lo stesso codice in un certo senso è un vantaggio.
Io ho creato uno script che controlla ed elabora una lista dei file che contengono la stringa incriminata.

E' questo:

Codice: Seleziona tutto

<?php
// script che controlla la presenza di una stringa nei file php, js e html di tutte le directory del Server
// Micogian 30/05/2013
$stringa = "bf760a" ;
//$stringa = "link.php" ;
echo "La stringa " . $stringa . " &egrave; presente nei file:<br />";

function lista_directory($patch)
{
if($apri = opendir($patch))
	{
		while(false !== ($directory = readdir($apri)))
		{
		if(is_dir($patch."/".$directory))
			{
			 // Cartelle da non controllare
			if($directory !="." && $directory !=".." && $directory != "files" && $directory != "Angiospermae" && $directory != "Gymnospermae" && $directory != "Pteridophyta" && $directory != "thumbs" ) 
				{
				//echo $patch."/".$directory."<br />";
				lista_directory($patch."/".$directory);
				}
			}else{
				if(x__($directory) == "php" OR x__($directory) == "js" OR x__($directory) == "html")
				{
				//echo  $patch."/".$directory."<br />";
				$path =  $patch."/".$directory ;
				$dati=file($path);
				foreach ($dati as $num => $line)
					{
					// visualizza la lista dei file che contengono una determinata stringa
					$posizione = strpos($line, 'link.php');
					if($posizione != 0 )
						{
						echo $path. " - riga: " . $num . "<br />";
						}
					}
				}else{
					// file diversi da php, html, js
					//echo $directory."<br />";
				}
			}   
		}
	}	
}
function x__($file){
$tro = explode(".",$file);
return $tro[1];
}
lista_directory('.');
?>

Con questo file ho scoperto tutti i file corrotti che ho pulito o sostituito in breve tempo.

Ci puoi spiegare dove inserire questo file? si puo nominare come si vuole? e caricarlo nella root? grazie

Micogian ha scritto:A me è capitato 2,3 volte, per fortuna ci siamo accorti subito.
Io credo che l'intrusione sia dovuta a qualche "exploit" che sfruttando un bug o una vulnerabilità di phpbb (o forse Coppermine) porta all'acquisizione di privilegi di Amministratore e quindi in grado di modificare i file del Server.
L'intrusione è in effetti un codice javascript ripetuto su centinaia di file, in genere index, page, e js.
Il fatto che sia sempre lo stesso codice in un certo senso è un vantaggio.
Io ho creato uno script che controlla ed elabora una lista dei file che contengono la stringa incriminata.

E' questo:

Codice: Seleziona tutto

<?php
// script che controlla la presenza di una stringa nei file php, js e html di tutte le directory del Server
// Micogian 30/05/2013
$stringa = "bf760a" ;
//$stringa = "link.php" ;
echo "La stringa " . $stringa . " &egrave; presente nei file:<br />";

function lista_directory($patch)
{
if($apri = opendir($patch))
	{
		while(false !== ($directory = readdir($apri)))
		{
		if(is_dir($patch."/".$directory))
			{
			 // Cartelle da non controllare
			if($directory !="." && $directory !=".." && $directory != "files" && $directory != "Angiospermae" && $directory != "Gymnospermae" && $directory != "Pteridophyta" && $directory != "thumbs" ) 
				{
				//echo $patch."/".$directory."<br />";
				lista_directory($patch."/".$directory);
				}
			}else{
				if(x__($directory) == "php" OR x__($directory) == "js" OR x__($directory) == "html")
				{
				//echo  $patch."/".$directory."<br />";
				$path =  $patch."/".$directory ;
				$dati=file($path);
				foreach ($dati as $num => $line)
					{
					// visualizza la lista dei file che contengono una determinata stringa
					$posizione = strpos($line, 'link.php');
					if($posizione != 0 )
						{
						echo $path. " - riga: " . $num . "<br />";
						}
					}
				}else{
					// file diversi da php, html, js
					//echo $directory."<br />";
				}
			}   
		}
	}	
}
function x__($file){
$tro = explode(".",$file);
return $tro[1];
}
lista_directory('.');
?>

Con questo file ho scoperto tutti i file corrotti che ho pulito o sostituito in breve tempo.

Ottimo lo proverò senz'altro, oltre a sostituire la parola da ricercare bisogna settare anche le dir da escludere giusto e nel caso uno non voglia esludere nessuna dir???

Pentambo ha scritto: Ottimo lo proverò senz'altro, oltre a sostituire la parola da ricercare bisogna settare anche le dir da escludere giusto e nel caso uno non voglia esludere nessuna dir???

Basta togliere il primo IF, ma io esluderei almeno la cartella "files" che contiene solo allegati.

gamearcade ha scritto:Ci puoi spiegare dove inserire questo file? si puo nominare come si vuole? e caricarlo nella root? grazie

Ho nominato il file controllo.php è lo caricato nella root, quanto necessità lo lancio nel browser, il file ricerca il codice malevolo, cosi che poi si può agire ed eliminare il codice nei file annidati.

E tutto giusto quello che ho fatto è detto?

Si, e non è detto che questo si debba utilizzare solo per trovare i file con un codice malevolo, se vogliamo lo possiamo usare per trovare una stringa, una variabile, in sostanza qualsiasi cosa che sia all'interno dei file.

Micogian ha scritto:Si, e non è detto che questo si debba utilizzare solo per trovare i file con un codice malevolo, se vogliamo lo possiamo usare per trovare una stringa, una variabile, in sostanza qualsiasi cosa che sia all'interno dei file.

Grazie.

Micogian ha scritto:Si, e non è detto che questo si debba utilizzare solo per trovare i file con un codice malevolo, se vogliamo lo possiamo usare per trovare una stringa, una variabile, in sostanza qualsiasi cosa che sia all'interno dei file.

Scusate se da ignorante mi inserisco nella conversazione, per altro molto interessante.. ma questo non presuppone che uno sappia cosa sta cercando.. in caso contrario..

P.s.
Anche io poco più di un anno fa subii un defacciamento della index del vecchio forum e per trovare i file toccati non ho fatto altro che andare sul account del mio provider e ho guardato la data delle ultime modifiche dei files. In questo modo ho trovato subito i files manomessi...