e ancora, direttamente dal forum vBulletin, thread '
vBulletin Install System Exploit (vBulletin 4.1+, vBulletin 5+)':
post #1 [27 agosto 2013] -
An exploit vector has been found in the vBulletin 4.1+ and 5+ installation directories. Our developers are investigating this issue at this time. If deemed necessary we will release the necessary patches. In order to prevent this issue on your vBulletin sites, it is recommended that you delete the install directory for your installation. The directories that should be deleted are:
4.X - /install/
5.X - /core/install
After deleting these directories your sites can not be affected by the issues that we’re currently investigating.
vBulletin 3.X and pre-4.1 would not be affected by these issues. However if you want the best security precautions, you can delete your install directory as well.
.(un vettore di sfruttamento è stato trovato nelle cartelle d'installazione delle versioni 4.1 e successive e 5.1 e successive di vBulletin. I nostri sviluppatori stanno investigando il problema in questo momento [27 agosto 2013]. Se verrà ritenuto necessario rilasceremo gli aggiornamenti necessari. Allo scopo di prevenire questo problema sui vostri siti vBulletin, si raccomanda che eliminiate la cartella 'install'. Le cartelle da cancellare sono:
per la versione 4.1 e successive => /install/
per la versione 5.1 e successive => /core/install
Dopo aver cancellato queste cartelle i vostri siti non possono essere affetti dal problema che stiamo investigando al momento.
vBulletin 3.X e quelli prima del 4.1 non dovrebbero essere colpiti da questi problemi. Comunque se volete le migliori precauzioni di sicurezza, potete cancellare anche voi la vostra cartella di installazione.)
.
post #2. [21 ottobre 2013] -
There are four steps to securing your site. If you don't do them all or you do them in the wrong order than you're still susceptible to being attacked again.
Close the hole... This has three subparts in this instance.
- Delete your install folder
- Review your admin users and delete any that don't belong. Don't ban them. Don't make them regular users. Delete them.
- Close access to your AdminCP using .htaccess. Use either user authorization with a different username and password or IP address restrictions.
Fill the Hole... There are seven subparts in this instance.
- Review your files for changes. You can do this under Maintenance -> Diagnostics.
- Delete any Suspect Files.
- Replace any files marked as "Does not contain expected contents"
- Scan your plugins for malicious code (exec, base64, system, pass_thru, iframe are all suspect keywords). Delete any you find.
- Repair any templates. Any templates that you don't have notes on changing, you need to revert. If you're using a custom style, it is best to delete your existing style and reimport from a fresh download.
- Update your Addon Products.
- Rebuild your datastores. You can use tools.php in the "do not upload" folder to do this. Upload it to your admincp directory, delete when done.
Secure the Hole
Parts of this were done by closing the hole but there are still things to do here.
- Keep notes of all changes you make to the system - what templates and phrases you change, what files belong to which addons, what plugins do the addons install.
- Consider using a separate Super Admin who has access to admin logs in the AdminCP. There should be only one Super Admin.
- Create a lower permission Administrator for every day use.
- Review your permissions in the system.
- Block off access to the includes, modcp, packages and vb folders via .htaccess. Deny All can work here, unless you use the ModCP. You need user authorization there.
- Move your attachments outside the forum root directory.
- Create a complete backup of your site. Make database backups weekly.
Vigilance
You need to keep active on the security of the site.
- Give out the fewest permissions necessary for anyone to do their job
- Make sure your hosting provider updates the software.
- Update to the latest vBulletin when it is released.
- Make sure your addons are always up to date.
.(Questi sono i 4 passaggi da fare per rendere sicuro il vostro sito. Se non li fate tutti o li fate nell'ordine sbagliato allora il vostro sito è ancora suscettibile d'essere attaccato di nuovo.
CHIUDERE IL BUCO... questo passaggio ha tre sotto-passaggi:
- cancellare la cartella di installazione
- fare un check dei vostri admin users e cancellare chiunque non vi appartenga. non bannateli, non passateli a utenti normali: cancellateli.
- chiudere l'accesso al vostro AdminCP utilizzando .htaccess. Utilizzate l'autorizzazione d'accesso con un diverso username e altra password, oppure le restrizioni dell'indirizzo IP
TAPPARE IL BUCO... qui ci sono 7 sotto-passaggi:
- controllare i vostri file per i cambiamenti. potete farlo andando in Maintenance -> Diagnostics.
- cancellare ogni file sospetto
- sostituire ogni file segnato come "Non contiene i contenuti attesi"
- fare uno scan dei vostri plugin per cercare codice dannoso (exec, base64, system, pass_thru, iframe sono tutte parole-chiave sospette). eliminate tutti quelli che trovate.
- riparate ogni template. [qui sono andata un po' a naso, controllate voi cosa dice in inglese] tutte quelle che non intendete cambiare, c'è bisogno di riportarle alla condizione originale. se state utilizzando uno stile modificato apposta per voi, è meglio cancellare il vostro stile esistente e reimportarlo da un nuovo download.
- aggiornate i vostri prodotti Addon.
- ricostruite i vostri magazzini di dati. per farlo potete usare tools.php nella cartella "do not upload". caricatelo nella vostra cartella admincp e poi cancellatelo una volta fatto.
RENDERE SICURO IL BUCO... (in parte questo è stato fatto chiudendo il buco, ma ci sono ancora cose da fare qui)
- prendete nota di tutti i cambiamenti che fate al sistema: quali template e frasi cambiate, quali file appartengono a quali addon, quali plugin fanno l'installazione degli addon, ...
- prendete in considerazione l'uso di un Super Admin separato che abbia accesso agli ingressi dell'admin al AdminCP. Ci dovrebbe essere solo un Super Admin.
- create un permesso Amministratore di livello più basso per l'utilizzo quotidiano.
- fate un check dei vostri permessi nel sistema.
- bloccate l'accesso agli includi, modcp, pacchetti e cartelle vb via .htaccess. Rifiutate tutto ciò che può funzionare qui, a meno che non usiate il ModCP. Lì c'è bisogno di autorizzazione come utente.
- spostate i vostri allegati fuori dalla root directory del forum.
- create un backup completo del vostro sito. Fate dei backup del database settimanalmente.
VIGILANZA (c'è bisogno di mantenere attiva la sicurezza del sito):
- date il minimo di permessi necessari, giusto ciò che serve a chi deve fare il proprio lavoro.
- assicuratevi che il vostro provider dell'hosting aggiorni il software.
- fate l'aggiornamento al più recente vBulletin quando viene rilasciato.
- assicuratevi che i vostri addon siano sempre aggiornati.)
.
post # 3 [22 ottobre 2013] -
While this exploit is not possible in vBulletin 4.2.2 and 5.0.5, we still recommend that you delete your install folder in order to make your site as secure as possible.
.(Sebbene questo sfruttamento da parte di terzi non sia possibile con le versioni vBulletin 4.2.2 e 5.0.5, vi raccomandiamo di cancellare comunque la vostra cartella di installazione allo scopo di rendere il vostro sito il più sicuro possibile.)
__________
Questo è quanto potevo fare, spero sia utile!
(scusate per i post multipli ma ho dovuto dividere il messaggio per questioni di lunghezza)
.
