tentativo di hacking appena scampato (spero)

LO-FI Version

[DarkWolf]

Salve ragazzi!
SMF 1.1.4.
un utente si è registrato e dopo pochi istanti è diventato amministratore.
Non so come ne perchè, fortunatamente ero online e sono riuscito a bloccarlo e bannarlo intempo.
Adesso sono in modalità manutenzione sia sito (mkportal) che forum.
Necessito aiuto da voi esperti in quanto mi secca l'idea di ritrovarmi il sito distrutto. 
Queste le operazioni dell'ip indicate da phpstats:

Username: qwerty
Mail: partner54084980 at vansoftcorp.com

Codice:

Linux Mozilla 1.8.1.12 1280x1024 24 bit 87.13.210.xxx
 Paese:
Italia
Ora

Pagine visitate [12]
 18:46:18 /forum/index.php?action=register
 18:47:55 /forum/index.php?action=register2
 18:48:32 /forum/index.php?action=activate;u=213;code=11d81e805d
 18:49:10 /forum
 18:50:13 /forum/index.php?action=profile
 18:51:09 /forum/index.php?action=profile
 18:51:21 /forum/index.php?action=admin
 18:51:35 /forum/index.php?action=admin
 18:51:50 /forum/index.php?action=viewErrorLog;desc
 19:06:00 /forum/index.php?action=profile
 19:07:05 /
 19:07:20 /forum/

Queste le info nel database:

Codice:

(213, 'qwerty', 1205689669, 0, 0, 'italian', 1205690811, 'qwerty', 1, 1, '', '', 'pelodifiga?', 'e8b0faa145c45tagliatainquantosarebbelapassword', 'partner54084980 at vansoftcorp dot com', '', 0, '0001-01-01', '', '', '', '', '', '', '', 1, 1, '', '', 0, '', 1, 0, 0, '', 1, 1, 0, 2, '87.13.210.xxx', '87.13.210.xxx', '', '', 0, 11, '', 843, '', '', 4, 394, '0284', NULL, 0, 0, 0);

si nota di strano il "messageLabels=pelodifiga?" (gli altri ce l'hanno vuoto, me compreso) e "is_activated=11" (gli altri ce l'hanno @1, solo questo @11) 
Sembrerebbe una SQL injection dico bene? 
Insomma guardatevi il forum perchè quest'amico in qualche modo può fregarci 
-
PS se conoscete una query per bloccare i nuovi amministratori ve ne sarei grato, almeno rimetto up il sito 

[DarkWolf]

forse ho trovato il problema:
Link Censurato per Sicurezza
che dite magari blocco l'url con htaccess?

[luchaw]

scusa ma ha dell'incredibile, l'utente è stato attivato da qualcuno o si è autoattivato?
Ti faccio questa domanda perchè le vulnerabilità di smf a mio sapere è una soltanto, e non si tratta di sql injection, non sò che dirti a come possa essersi nominato admin.
Domanda stupida, hai controllato i permessi per gli utenti?

[DarkWolf]

si!
In passato ho anche creato utenti fantasma per autoattaccarmi e vedere di ottenere qualcosa.
Questo ad un tratto a che era visibile (menomale che il mio sesto senso si è insospettito e quindi tenevo d'occhio i suoi movimenti) ad un tratto in: Utenti OnLine nella Giornata di Oggi- da nero è passato a rosso.
Sono andato subito a rimuovere il suo stato di admin, l'ho bannato ed ho messo il sito e forum in manutenzione.
Il log errori era desolato (qualche errorino sopratutto con altervista ce l'avevo sempre) quindi è chiaro che è andato a svuotarlo.
Non sembra che abbia toccato niente ma non saprei con certezza.
E poi dalla query li sopra sembra chiaro non abbia agito solo via pannello.

[luchaw]

ascolta controlla nel tuo spazio web sicuramente è riuscito ad uppare una shell e l'unico modo è dagli allegati quindi controlla sulla cartella attachments, guarda se c'è un file strano che non conosci con estenzione .php cancellala, altrimenti c'è qualche sito vulnerabile sullo spazio web e possono entrare su tutti i siti presenti nul server

[DarkWolf]

controllati allegati, avatar e immagini di smf-gallery!
Nessun file sconosciuto/anomalo 
Il problema l'ho segnalato anche su altervista e nessuno ha ancora detto: "anche a me" 
Inoltre non ha scritto neanche un post.
Questo si è registrato e fatto admin nel giro di 5minuti.

Codice:

18:46:18 /forum/index.php?action=register
 18:47:55 /forum/index.php?action=register2
 18:48:32 /forum/index.php?action=activate;u=213;code=11d81e805d
 18:49:10 /forum
 18:50:13 /forum/index.php?action=profile
 18:51:09 /forum/index.php?action=profile
 18:51:21 /forum/index.php?action=admin
 18:51:35 /forum/index.php?action=admin
 18:51:50 /forum/index.php?action=viewErrorLog;desc
 19:06:00 /forum/index.php?action=profile
 19:07:05 /
 19:07:20 /forum/

PS gli utenti si attivano con la conferma via mail, la notifica di nuovo utente a me è arrivata alle 18:48:22

[luchaw]

ti faccio qualche domanda per capire meglio:
quanto tempo è che hai questo forum? Che hai importato qualche database (infettato da shell)?

[DarkWolf]

Ce l'ho up da qualche mese.
1.1.3 aggiornata con la patch a 1.1.4
Mai smanettamenti al database, mai nessun problema!

[luchaw]

quanti admin siete?
Secondo me ha bucato la pass di qualche admin

[DarkWolf]

sono l'unico ed ero online in quel momento.
Se mi avesse bucato la password non sarei riuscito a buttarlo fuori e non sarei ancora admin.
Mi spiace ma cercando in giro su siti lameroni mi sa proprio che è smf ad essere stato ormai bucato.
ne parlano anche qui di deface con smf:
http://forum.it.altervista.org/problemi-tecnici-account/75021-root-altervista.html

[Darknico]

azz
quel topic che hai segnalato sembra proprio qualcosa per appropriarsi qualasiasi gruppo, quiindi diventare anche admin

per sicurezza lo elimino, ma tengo nei segnalbri
vedo di kapire se è fattibile una cosa del genere..

[DarkWolf]

Darknico quello da utente è diventato admin...
Se non ero online chissà che avrebbe combinato... mi sa che siamo un pò tutti a rischio per adesso 
Ho cercato parte di quel codice ed è presente ormai ovunque!
Anche un ragazzino di 12anni può diventare admin dei nostri forum 

[Darknico]

purtroppo questo mis a che è possibile
nn ho ankora testato io di persona ma ho conoscenze e ti farò sapere

[DarkWolf]

Vedi anche qui:
http://www.simplemachines.org/community/index.php?topic=227536.msg1462121#msg1462121
Ed io la shoutbox cel'ho!
Mo riparo questo intanto visto che c'è il fix

[Darknico]

si è fattibile ma serve il sid dell'admin...
quello lo deve prendere in qualke modo...