phpBB Italia

Phishing attacks - Account sospeso

Vi riporto quello che mi e' successo ieri

Provider


We just received many complaints of your account being sending out phishing attacks. After looking at your logs it looks like your account is compromised! Please resolve this asap. We will be force to suspend the account within 2 hours until you can resolve it

Nov 29 01:55:53 ionr pure-ftpd: (coverwar@151.63.66.74) [NOTICE] coverwar//public_html/images/ranks/pro/pro-rootadmin.png downloaded (2888 bytes, 305.29KB/sec)

Internet Abuse / Security Ticket

Dear Valued Customer,

Unfortunately a security related incident has occurred involving a hosting account for which you are responsible.
The text of the report, as it was provided by the complaining party, is below. Please remove or otherwise resolve this issue to stop it from continuing.

Normally we can provide 24 hours to resolve an issue but that time may be extended if you require more.
24 hours notice before termination cannot be guaranteed in all cases.

In order to protect our customers, we have suspended your account(s)

To solve the issue, and to release the suspension we kindly ask you to
proceed like follows:

1. Please check if your machine has been compromised and is now being used by
intruders in malicious activities, or if a legitimate user is engaged in
activity that is probably in violation of your terms of service agreement.
2. Review the above mentioned url and remove the offending content.
3. In order to release the suspension against your resources please provide the steps you will take to clean the content


Qualche spiegazione in merito , grazie anticipate ?

Con l'accont sospeso, è difficile verificare qualsiasi cosa.

Le procedure sono note:
- Seria e approfondita scansione antivirus e antispyware sul tuo PC (picchiatori... niente roba free del cavolo). Si presume tu abbia un serio Internet Security. E non soluzioni discutibili. Aggiornato, e della serie 2012. Se non 2013.
- Cambio di tutte le passwor amministrative, inclusa email. Utilizzando password molto complesse.
- Ripristino integrale ftp
- Pulizia del database con l'STK, disinstallando tutte le MOD, al fine di ritornare a un phpBB3 puro e aggiornato.

Se fatto tutto questo, il problema sussiste, posto che tu nel dominio, non abbia altri applicativi, si deve presumere database irrimediabilmente alterato. Sempre se quanto afferma il tuo host, corrisponde al vero.

Niente sovrascrituttura nel riprisitino integrale ftp:

- Prima si preparara il nuovo pacchetto
- Si scansice
- Si cancella il vecchio in remoto
- Si carica il nuovo in remoto su ftp vuoto.

Grazie , vogliono 50 euro per tornare online , oggi pomeriggio vedo di cambiare hosting

ho fatto relative scansioni nulla , cmq ho messo il forum in locale con xampp momentaneamente ! raggiungibile dal mondino accanto

La prima cosa che avresti dovuto fare era eliminare
/images/ranks/pro/pro-rootadmin.png
che sarebbe la causa scatenante...

Silver Surfer ha scritto:La prima cosa che avresti dovuto fare era eliminare
/images/ranks/pro/pro-rootadmin.png
che sarebbe la causa scatenante...

E' la prima cosa che ho fatto .....

Angolo , visto che per loro il discorso si risolveva pagando 50 euri ho deciso di cambiare host , cosa mi consigli adesso , ripristino il tutto come prima ovviamente cancellando il file compromesso e cambiando tutte le pasword di root? Grazie sempre per la tua attenzione

Posto il seguire il suggerimento di Silver, se cambi host, limitati al trasferimento e monitora la cosa. Però prima verifica di non avere tracce analoghe su tutto il contenuto ftp.

La strada maestra, rimane quella indicata. Potresti limitarti al solo ripristino integrale ftp, caricando così sul nuovo host i nuovi file. Almeno così, avresti la certezza di un contenuto ftp integro.
A condizione che tu esegua le scansioni come indicato e a condizione che tu non inserisca (o abbia inserito) script o MOD di dubbia... sicurezza.

Ho eseguito il tuo consiglio , riprisitino integrale ftp usato stk reinstallato tutte le mod da capo attivato il debug (lo consiglio) sembra procedere come deve finalmente ! grazie per il supporto