Χακάρισμα σουτμποξ

[Nefeli]

Πρέπει να χακάρανε σήμερα το σουτμποξ που είχα (ShoutPro1.5.2).

Και βέβαια θα μου πείτε, αφού δεν χρησιμοποιούσα το ενσωματωμένο στο φόρουμ καλά να πάθω και τι αφορά εσάς τώρα.

Θέλω μόνο τη συμβουλή σας για τις ενέργειες που έκανα κι αν πρέπει να κάνω κάτι ακόμα.

1. Άλλαξα το πασσ του cpanel.
2. Μπλόκαρα από όλο το site την IP του. (Ρουμάνος)

Θα είχε νόημα αν έκανα και καταγγελία;

Το σουτμποξ είναι πύλη εισόδου εν γένει; Το σουτμποξ του smf είναι πιο ασφαλές από άλλα "εξωτερικά". Πως γίνεται (αν γίνεται) να προστεθεί στο κώδικα του σουτμποξ του smf το refresh;;;;;
(ο κυριότερος λόγος για τον οποίο είχα το άλλο )

[Nefeli]

Ο τύπος είχε βάλει και trojan τον PHP/Rst.l Trojan μέσα σε αρχείο με το όνομα index2.php

Ελέγξτε το site σας. Το βρήκα τυχαία, αποσυμπιέζοντας backup.

[Greek]

Πρέπει να χακάρανε σήμερα το σουτμποξ που είχα (ShoutPro1.5.2).

Και βέβαια θα μου πείτε, αφού δεν χρησιμοποιούσα το ενσωματωμένο στο φόρουμ καλά να πάθω και τι αφορά εσάς τώρα.

Ας θεωρήσουμε δεδομένο πως έτσι έγινε μιας και δεν είσαι σίγουρη.
Γιατί χτυπάς το κεφάλι σου που δεν είχες το ενσωματωμένο shoutbox; Το θεωρείς πιο ασφαλές από το εξωτερικό; Κάνεις μεγάλο λάθος.
Η μόνη σχέση που έχει το εξωτερικό shoutbox είναι ότι εμφανίζεται με την σελίδα σου στο ίδιο παράθυρο (υποθέτω ότι το έχεις ενσωματώσει με iframe). To ενσωματωμένο όμως συνδέεται με την «registry» του SMF, την βάση δεδομένων και ενδεχομένως και μερικά ακόμα αρχεία του.

Θέλω μόνο τη συμβουλή σας για τις ενέργειες που έκανα κι αν πρέπει να κάνω κάτι ακόμα.1. Άλλαξα το πασσ του cpanel.2. Μπλόκαρα από όλο το site την IP του. (Ρουμάνος)

1. Δεν έχει να κάνει με σένα αλλά με την σελίδα απ' όπου «εκπέμπει» το shoutbox.
2. Καλά, μην βάζεις το χέρι σου στην φωτιά ότι ήταν ντε και καλά Ρουμάνος. Δεν είναι και τόσο δύσκολο να αποκτήσει κάποιος ρουμανική IP μέσω κάποιου proxy.

Θα είχε νόημα αν έκανα και καταγγελία;

Να καταγγείλεις ποιον και που; και να κερδίσεις τι;
Αν πρέπει να καταγγείλεις κάποιον, αυτός είναι ο διανομέας του shoutbox που δεν φρόντισε τα στεγανά της σελίδας του. Γιατί σε τελική ανάλυση δεν παραβιάστηκε η δική σου σελίδα, αλλά του παροχέα του shoutbox (κάτι μου λέει ότι δεν είσαι το μόνο θύμα, αλλά και αρκετοί άλλοι που θα έχουν λογαριασμό στην συγκεκριμένη σελίδα.)

Το σουτμποξ είναι πύλη εισόδου εν γένει; Το σουτμποξ του smf είναι πιο ασφαλές από άλλα "εξωτερικά".

Χωρίς να βάζω το χέρι μου στην φωτιά, θεωρώ πως το εξωτερικό δεν είναι επικίνδυνο (για την σελίδα σου) σε σχέση με το ενσωματωμένο για τους λόγους που ανέφερα παραπάνω.

Ο τύπος είχε βάλει και trojan τον PHP/Rst.l Trojan μέσα σε αρχείο με το όνομα index2.phpΕλέγξτε το site σας. Το βρήκα τυχαία, αποσυμπιέζοντας backup.

Μπορείς να γίνεις πιο σαφής; Από που το κατέβασες το συγκεκριμένο αρχείο;

[Nefeli]

Όταν ο τύπος έκανε την κακόβουλη ενέργειά του, συμπτωματικά ήμουν συνδεδεμένη και με το φόρουμ και με το cpanel.
Το κατάλαβα από τις "παρενέργειες" που είχε στο σουτμποξ, το οποίο έχασε άμεσα όλες τις προηγούμενες "φωνές" του.
Όταν έλεγξα το αρχείο φωνών από το cpanel επιβεβαίωσα πως όντως είχαν εξαφανιστεί όλες οι εγγραφές μυστηριωδώς.

Σημειωτέον πως το σουτμποξ που είχα, ήταν εγκατεστημένο στο δικό μου χώρο και δεν έχει καμία σύνδεση με το "μητρικό".

Από μία αντιπαραβολή των στοιχείων του cpanel, και από τη σελίδα με τα πρόσφατα σφάλματα που βγάζει επιβεβαίωσα και μπορώ να στοιχειοθετήσω και την IP και το σημείο εισόδου (σουτμποξ) και την ακριβή ημέρα και ώρα.
Εξ άλλου, επειδή το ίδιο κόλλημα το σουτμποξ το παρουσίασε ξανά μετά από 5 λεπτά, χάνοντας εκ νέου την εγγραφή που είχα εν τω μεταξύ κάνει, στη σελίδα σφαλμάτων επαναλαμβάνεται η καταγραφή της ενέργειας του χάκερ.

Το αρχείο καταγραφής σφαλμάτων το έχω κρατήσει.


Άλλαξα κωδικό (και σουτμποξ), πήρα νέο μπακάπ και σκέφτηκα να επαναφέρω τις φωνές από το μπακάπ που είχα.
Άνοιξα το μπακάπ που κατέβασα μετά την αλλαγή κωδικού για να αντιπαραβάλω τα αρχεία του σουτμποξ με το αμέσως προηγούμενο μπακαπ.
Στην αποσυμπίεση, το antivirus που έχω, εντόπισε τον ιό και το παραπανίσιο αρχείο index2.php.
Μια απλή ματιά μέσα στη διαδρομή που μου έδινε, επιβεβαίωσε πως όντως καλά κατάλαβα.
Έσβησα το αρχείο αμέσως και άλλαξα  ξανά κωδικό.

Είμαι απολύτως σίγουρη. Το αρχικό ποστ το είχα γράψει πριν βρω και καταργήσω τον ιό.
Έχω ήδη καταγγείλει την IP στον πάροχό του, χωρίς αυτό να σημαίνει πως περιμένω να κάνουν οτιδήποτε.
Το γνωρίζω πως μπορεί να μην είναι Ρουμάνος. Ωστόσο η παθητική αντιμετώπιση τέτοιων ενεργειών, είναι κάτι που δεν μου ταιριάζει. Κι ελπίζω να μην δοκιμάσει ξανά γιατί θα με βρει πιο προετοιμασμένη και αποφασισμένη.

Τέλος, η αναφορά μου εδώ, είχε σκοπό μόνο να προειδοποιήσει όλα τα μέλη που θα πρέπει, λογικά, να εξετάσουν το site τους για την ύπαρξη ιών.
Η προστασία των προσωπικών δεδομένων των μελών των fora, που συμμετέχουμε όλοι, είναι το Θέμα και όχι το αν και το πως η συγκεκριμένη εγώ μπορώ να προστατευτώ, που μπορώ.