phpBB-Italia.it

Questa sera mentre "fortunatamente" stavo navigando sul mio forum, improvvisamente tutto sparisce, nessun verso di accedere, subito penso a un problema del provider, poi comincio ad indagare, provo accesso ftp e il server risponde, provo accesso sql e il server sql risponde... che sarà mai mi chiedo... ricaricando noto un errore che purtroppo non mi son trascritto 103 e qualcosa... lampo di genio mi è venuto da pensare che fosse un problema al file di configurazione php... entro in ftp e la dimensione era cambiata, lo riscrivo dal backup e riparte tutto all'istante...

ma come diavolo me lo hanno spippolato?... come posso difendermi da queste cose?

PhpBB3, escluse eventuali mod, è in realtà molto sicuro, a diferenza di quel colabrodo che era PhpBB2, infatti l'unico exploit che si trova è riferito ad una versione durata ben poco, la 3.0.7, fixata poche ore dall'uscita con la 3.0.7PL1, quindi chi ha una versione exploitabile sono veramente in pochi (chi aggiorna subito generalmente è perché è nel "campo" da un bel pò o riceve le newsletter da phpbb.com, quindi è a conoscenza di eventuali problemi e ne pone subito rimedio).
È più probabile che qualcuno abbia violato l'account ftp: cambia subito ogni credenziale legata al sito e chiedi al tuo hosting i log di accesso allo spazio FTP: controlla in essi se vi sono ip differenti dal tuo o da eventuali staffer autorizzati a utilizzare l'accesso FTP. Se il tuo hosting lo prevede utilizza ClaimAV per una scansione della directory per vedere se hai trojan horse o altri malware nella directorry, altrimenti scarica tutto il contenuto FTP sul tuo computer e analizzalo con il tuo antivirus.
Fai anche un controllo antirootking, spyware e malware in generale con il tuo antivirus: se è un antivirus gratuito probabilmente non analizzerà il settore di avvio, in quel caso ti consiglio di effettuare una scansione con un resce CD: in giro ne trovi tanti contenenti uno o più antivirus avviabili da live che possono effettuare un controllo incrociato. Il mio consiglio è di affidarti al Kaspersky Rescue CD, disponibile gratuitamente e in via ufficiale sul sito della Kaspersky e contenente una copia completa del loro potente antivirus (probabilmente dovrai aggiornarlo una volta avviato il cd live, tanto essendo basato su una Distro linux riconosce tranquillamente una connessione ad internet) in grado di analizzare anche il settore di avvio.

Grazie Barrnet,

ho effettuato la richiesta del log e resto in attesa, nel frattempo ho provveduto a bloccare accessi FTP diversi dal mio IP, già questo dovrebbe aiutare, ora scarico l'intero contenuto e lo scannerizzo con l'antivirus...

Mi è sorto anche un dubbio, in origine, la cartella install non l'avevo rimossa ma solo rinominata, ora l'ho rimossa del tutto, potrebbero aver attivato rintracciandola, la routine di installazione sballando così il file di configurazione ?

Potrebbe essere, ma lo script di installazione ha un controllo particolare: solo gli utenti fondatori possono eseguire l'installazione.