Forum phpbb3 attaccato in massa

[Don Vito]

Utilizzo un forum phpbb3 (la versione è quella scritta nel mio profilo visibile).
Da diversi mesi, sono attaccato in massa da spam, virus e altro.
Sono dovuto arrivare a chiudere le iscrizioni per non avere piu problemi; adesso i finti utenti navigano lo stesso all'interno del forum, ma non possono, nè scrivere, nè iscriversi.
In teoria avrei risolto il problema ed è per questo che vado avanti cosi da mesi... purtroppo da qualche settimana, ho avuto lo stesso problemi nel mio sito, che non usa nessun cms, ma che è stato oggetto di vari attacchi fino ad essere considerato "compromesso" da Google.

Ho contattato il supporto del mio hosting che ritiene che tutto è da attribuirsi al software phpbb3, che secondo loro è oggetto di molti attacchi, in tutte le parti del mondo.

Ammesso che sia cosi, è possibile che attraverso il forum phpbb3, siano poi arrivati nel sito web, che come detto sopra, non usa nessun cms ma è costruito pagina per pagina, in xhtml e css, tuto validato al 100% secondo gli starda W3C?

E' possibile che usando la versione 3.0.10 io sia stato soggetto a questo problema, ed eventualmente, passando alla 3.0.11 potrei risolvere?

Spero di ricevere vostri consigli in merito

Graziie

[Angolo]

Senza il link al Forum nel profilo, diventa difficile dare indicazioni.
E non è chiara l'esatta natura del problema. Di cosa si tratta? Di spam? Se si tratta di spam, sono state indicate chiare e pienamente efficaci soluzioni. Se si tratta di altro non è chiaro.

[Don Vito]

Ciao Angolo, purtroppo la situazione non è facilissima da spiegare e temo richieda molta attenzione per essere risolta.
Tutto ha avuto inizio circa 3-4 mesi, quando il mio forum ha iniziato a ricevere decine e decine e poi centinaia di visite da parte di "utenti". Poi sono iniziate le registrazioni con IP stranieri e poi i messaggi di spam.

A dire il vero, non ho avuto dei grandissimi problemi in questo senso, visto che ogni registrazione che avviene sul mio forum, deve essere validata da parte mia e negli ultimi mesi, prima di farlo, controllare email e ip e non mi era difficile capire che si trattava di spiders. Cosi mi limitavo a non validare quegli account e poi a cancellarli.

Nelle ultime settimane la situazione è caduta e mi è sfuggita di mano; non riesco piu ad accedere, nè al forum, nè al sito, per lo stesso problema. Il mio antivirus blocca la navigazione, in quanto riconoscere dei files pericolosi (virus, spyware e altro) e l'unico modo per potervi accedere e chiudere antivirus e firewall.

Ancora peggio, Google, considera il mio sito "compromesso" e mi fornisce questa descrizione:

"Per tutelare la sicurezza dei nostri utenti, visualizziamo questo messaggio di avviso per i risultati di ricerca relativi a siti che riteniamo possano essere stati compromessi. In genere, un sito compromesso è un sito di cui una terza parte ha assunto il controllo senza l'autorizzazione del proprietario. Gli hacker potrebbero modificare i contenuti di una pagina, aggiungere nuovi link in una pagina o aggiungere altre pagine al sito. Lo scopo potrebbe essere il phishing (pratica che consiste nell'indurre con l'inganno gli utenti a fornire informazioni personali e dati della carta di credito) o lo spamming (violazione delle linee guida sulla qualità del motore di ricerca per ottenere per le pagine un posizionamento migliore rispetto a quello che dovrebbero avere). "

Tutti gli utenti sono scappati (giustamente) e il sito ha perso decine e decine di posizione nei motori di ricerca.
E' ovvio che nessuno vuole piu entrare all'interno di un sito che viene considerato pericoloso e dannoso da parte di Google.

Il mio è un sito e forum di scommesse sportive e non ho mai inserito nessun codice nocivo, ma temo che qualcuno lo abbia fatto al posto mio.

Il supporto del mio hosting, ritiene che sia tutto da imputare al phpbb3 che ho installato e che secondo loro è oggetto di attacchi e attenzioni da parte di terzi utenti.

Ti invio in privato il link del forum phpbb3.

Spero che possiate aiutarmi a risolvere.

Grazie per la vostra attenzione

Ho provato ad accedere dagli altri miei 3 pc, con differenti antivirus e tutti manifestano lo stesso problema.

[Micogian]

E' probabile che il sito sia stato compromesso tramite gli "exploit di phpbb".

Un exploit è un termine usato in informatica per identificare un metodo che sfruttando un bug o una vulnerabilità, porta all'acquisizione di privilegi di root su un sistema.
Normalmente la manomissione avviene con l'inserimento di una riga di codice nei file, solitamente gli "index" delle varie cartelle ma anche nei file HTML.
Devi pertanto controllare se alcuni file sono stati modificati. Una volta trovato un file che contiene codice malevolo è relativamente facile scoprire eventuali altri file attraverso la data di modifica del file.
Altra cosa importante sarebbe quella di avere una copia in locale del Sito, in maniera che sia facile controllare la differenza (di data e di dimensone) dei vari file di sistema. Inoltre avere una copia corretta permette non solo di riscontarre differenze tra i file ma anche si sostituire i file manomessi.
Il codice malevolo è normalmente una lunga riga di codice inserito alla fine del file o all'inizio.
E' un codice compreso tra i tag

Codice: Seleziona tutto

<script>codice_malevolo=_xasdfg12345cdgetruo2.....ecc.</script>

Questo codice va eliminato. Attenzione che normalmente nella stessa riga ci possono essere dei tag corretti (</body> o </html>) che non vanno eliminati.
E' pertanto consigliato di fare una copia del file prima di modificarlo.
Se la manomissione è dovuta all'inserimento di questo script è relativamente facile scorrere tutte le cartelle e controllare che non ci siano dei file modificati nella stessa data.
A volte ho riscontrato che anche file come "404.shtml" e simili vengono modificati. Anche qui è facile scoprirli attraverso data e dimensione del file.
Anche il file htaccess può contenere uno script collegato a un file con nomi ambigui (es. Google_verify). Tutte cose da eliominare.
Attenzione però perchè bisogna essere sicuri di quello che viene eliminato.
Se non ci sono delle Mod installate si potrebbe recuperare i file di sistema da un pacchetto phpbb, per lo mneo per controllarne la differenza.
Una volta eliminati tutti gli script anomali si deve richiedere a Google la riconsiderazione del proprio sito.

Alla luce di tutto questo diventa fondamentale avere un backup del Sito, meglio ancora una copia in locale del sito stesso.

[Don Vito]

Grazie ad Angolo e Micogian per il loro supporto.
Sto seguendo i vostri consigli, almeno per quanto riguarda la riparazione dei files del mio sito, per poi passare al forum phpbb3.

Ho una copia del mio sito in locale, priva di virus e anche se un pò datata, può essere riuppata sul mio hosting e cosi consentirmi di ricominicare l'attività del mio sito/forum.

A dirsi sembrerebbe facile, ma ho già incontrato delle difficoltà, anche per una operazione cosi elementare.

Ho cancellato via ftp tutti i files e le cartelle eccetto una: la cartella denominata "Spryassest". Questa è stata creata da dreamweaver (un editor visivo) che attraverso un widget spry (Spryassest) crea vecolemente una barra link ipertestuale.

Uso questa applicazione per creare i menù dei miei siti da molto tempo e non avevo mai avuto problemi.

Cma il problema è che tale cartella non si cancella, o meglio, cancello i suoi contentuti (circa 10.000 files a me sconosciuti) e quando è tutto finito.... ecco che la cartella è di nuovo piena di altri 10.000 files... come se non fossero stati cancellati.
Non credo nemmeno che siano gli stessi che ho appena cancellato, ma forse un'applicazione che è in grado di autoricrearsi una volta cancellati i files che la compongono.

Prima di riuppare i files del mio sito che ho in locale, volevo risolvere questo problema, altrimento temo che non riuscierei a risolvere nulla.

Potete aiutarmi per favore?

Grazie a tutti.

[Angolo]

Dovresti verificare i permessi della cartella. Se ne hai il controllo totale, potrebbe dover intervenire il tuo host per rimuoverla.

[Micogian]

Il mio consiglio non era di cancellare tutto, era di controllare se in alcuni file (probabilmente index) c'era una riga di codice malevolo.
Cancellando tutto non saprai mai qual'era il problema.
La copia in locale poteva tornare utile per controllare eventuali differenze di dimensione e contenuto dei file.
La cartella Spryassest mi sembra riguardi il Sito e non il Forum, potrebbe essere un problema di permessi come dice Angolo ma non so se possa essere quella la causa.
Avresti potuto creare una nuova cartella e caricarci il Forum locale, modificare il config per collegarlo al database e controllare se il forum funziona.

[Don Vito]

Il mio consiglio non era di cancellare tutto, era di controllare se in alcuni file (probabilmente index) c'era una riga di codice malevolo.
Cancellando tutto non saprai mai qual'era il problema.
La copia in locale poteva tornare utile per controllare eventuali differenze di dimensione e contenuto dei file.
La cartella Spryassest mi sembra riguardi il Sito e non il Forum, potrebbe essere un problema di permessi come dice Angolo ma non so se possa essere quella la causa.
Avresti potuto creare una nuova cartella e caricarci il Forum locale, modificare il config per collegarlo al database e controllare se il forum funziona.

Si, diciamo che ho unito i consigli ricevuti da te e da Angolo.
Ho sintetizzato i processi, ma dopo le mie verifiche ero arrivato alla conclusione che problema era dovuto alla cartella SpryAssest, che conteneva circa 10.000 files sconosciuti e che creavano quei problemi.
Purtroppo la copia che ho in locale non è cosi recente e non ho potuto fare quel paragone sulle dimensioni dei files. Ho controllato bene l'home page e non ho trovato nulla di diverso, da quello impostato da me e l'editor, in fase di programmazione. Sono stato supportato dal fatto che, una volta eliminato il contenuto diretto dello SpryAssest, il sito si apre senza problemi.

Ho pensato cosi, di cancellare tutto, a scanso di equivoci e di riuppare tutto.
C'è sempre questa cartella SpryAssest che non vuole saperne di sparire, come avevo scritto sopra, una volta cancellati i contenuti via ftp, questi tornato come prima. 10.000 files cancellati e altrettanti sono quelli che tornano. Ho controllato i permessi della cartella in questione è sono settati a 777.

Domani proverò a contattare il supporto hosting come mi avete consigliato e gli chiederò di cancellare la cartella in questione. Spero che lo possano fare. In alternativa come potrei procedere per cancellarla per conto mio?

Grazie per la vostra attenzione

[Micogian]

Non conosco Spryassets, non l'ho mai usato.
Ho trovato una descrizione di Spryassets qui: http://www.davidevasta.biz/articolo_tut ... r_cs3.html
Tra le altre cose c'è scritto:

È importante quindi ricordare che questa cartella non deve essere rimossa dalla sua posizione, altrimenti le pagine che contengono gli elementi Spry smettono di funzionare. È però pur vero, che può essere spostata o rinominata dal pannello File di Dreamweaver

[Don Vito]

Con l'aiuto del supporto hosting sono riuscito a cancellare in via definitiva la cartella SpryAssest e cosi ho potuto riuppare i file che avevo salvato il locale. E un backup non proprio recente, ma almeno sembra aver risolto il problema del sito. Adesso sono passato ad occuparmi del forum e avrei bisogno del vs aiuto.

Il mio backup risale ad inizio febbraio scorso e penso e spero che sia pulito e inalterato.

Per avere la conferma di questo, prima di procedere a cancellare il mio phpbb3 nel mio hosting, ho voluto provare ad installare il phpbb3 su un server free (altervista) che uso per verifiche. Purtroppo il back up è abbastanza pensate e passati i 30 secondi di attesa, non ancora ultimata l operazione, mi appare un messaggio di errore che mi segnala il time out. Posso risolvere in qualche modo?
Purtroppo io eseguo soltanto cosi i backup non tramite phpmyadmin.

Se dovessi riuscire ad installare questo backup e il database risultasse infettato, si puo fare qualcosa oppure è finita?
Questo è il backup piu datato che ho a disposizione, gli altri sono ancora piu recenti, quindi se fosse infettato questo lo sarebbe anche gli altri, almeno credo.

Spero di ricevere un vostro aiuto

Grazie