Siccome non ne capisco niente ti posto qui lamail che mi ha girato un amico programmatore così che tu possa capire cos'è successo e ti sarei grato se sentissi in giro come si può evitare la cosa.. inoltre credo che possa essere utile anche per te visto che ti appoggi pure tu ad AV.
Ah capito..! Per quanto riguarada il pca sarebbe grandioso!!!
Comunque non era un trojan.. credo che abbiano fatto un exploit riuscendo a bucare il forum... ti riporto esattamente la mail di un amico (programmatore) che ne sa sicuramente più di me e che fa siti per lavoro:
Devo trovare dove risiede la debolezza nel mio forum..Bubilosbirro ha scritto:Ciao
ti premetto che non posseggo un forum proprio per non dover star li a guardare come evitare gli exploit di chi si diverte a rompere con queste cose.
Comunque, lo script è abbastanza conosciuto ed è stato diffuso solamente da quache mese ,,, le pagine che ho vistitato si riferiscono a dicembre 2011
Ho trovato e devo dire siceramente che mi ha interessato moltissimo due incredibili guide proprio sullo script incriminato ...
http://issuu.com/matteo_tosato/docs/mat ... g_buffer_o
era tantissimo che ricervavo una guida sull'attacco buffer over flow , e devo dire che questa è fatta proprio bene,..
Ora puoi apprezzare il lavoro di tanti che non cercano di hackerare per piacere ma cercano di proteggere le proprie pagine da attacchi simili.
ecco gli altri
http://www.higeneration.it/linguaggi-informatici/
http://www.volny.cz/vaclik/forload.php
http://hackerzvoice.net/ceh/CEHv6%20Add ... netsec.pdf
http://joxeankoret.com/blog/2011/12/04/ ... al-attack/
http://www.jsrgenetics.com/admin/upload ... 508652.pub
http://pastie.org/1058996
http://www.jsrgenetics.com/admin/upload ... 508652.pub
Devi assolutamente dire ad altervista l'attacco che hai subito in quanto potrebbero prendere precauzioni su come evitarne di nuovi ..tutto chiaramente dipende dalla piattaforma che usano e credo che non vi siano dubbi sul fatto che usino linux
in base alla versione del kernel che monta il linux altervista vi sono diversi tipi di attacchi possibili.
è comunque un code injection non credo vi siano dubbi
inoltre è necessario che leggi bene quello che ti ho inviato e cerchi di capire se la shell abilitata dall'hacker è ancora attiva (non credo perchè abbiamo cancellato i file.)
In poche parole , l'attacco consiste nel provocare un sovraccarico di una memoria scrivibile sul server; questo permette l'inserimento del codice formato da variabili e qualche istruzione che crea una connessione ad doc su una porta specifica e permette ad un maleintenzionato di avere un accesso privilegiato.
Non ho idea se questo gli consente di "grabbare" i file delle password o altri documenti sensibili.
E' certo , e lo abbiamo sperimentato noi due , che sia possibile indirizzare il traffico su un altro indirizzo , in questo caso un malware che infetta il malcapitato .
Devi quindi scusarti con i tuoi utenti forum che sono incappati non solo nel disservizio ma anche nella trappola del malefico hacker.
Sicuramente approfondiro' il discorso perchè ne sono coinvolto direttamente , ma non so quando ...
Tieni d'occhio il forum , finchè non troviamo la soluzione anti intrusione
lo script come leggi anche nei file è " #web shell by orb "
Sto bastardo
.............
Ciao
Di seguito ti linko i files incriminati che mi hanno provocato questi fastidi che ti puoi scaricare da megaupload:
Codice: Seleziona tutto
http://www.megaupload.com/?d=UH0UZHY8
NB per scaricarti il file rar che contiene i file ci vuole la password che ti passerò via mp.