Il phpBB3 è sotto attacco

Feed - phpBB3
Rispondi
Avatar utente
Venerabile Beda
Moderatore
Moderatore
Messaggi: 4625
Iscritto: lunedì 6 ottobre 2008, 15:59
Contatta:

Il phpBB3 è sotto attacco

Messaggio da Venerabile Beda » martedì 4 gennaio 2011, 17:22

Se ne parla su phpBB.it.
Se ne sta parlando anche sul com.
Non ci sono dichiarazioni ufficiali. Ma sta diventando davvero difficile negare l'evidenza: il phpBB3 è sotto attacco. L'attacco è posto in essere verosimilmente, da alcuni bot maligni, che attraverso IP dinamici (per cui inutile ban via phpBB3 o via direttiva .htaccess) attraverso un sistema "Forza Bruta", tentano di trovare le password, usando tutte le permutazioni possibili, finché non le trovano. Dagli ultimi giorni del 2010 infatti, spesso, troppo spesso per essere un caso, quando si effettua il login, si trova il codice di conferma visuale già inserito, come se qualcuno avesse già tentato il login, più volte, senza successo.
Cosa che può accadere occasionalmente, ma che negli ultimi giorni, si verifica in modo pressocché sistematico, anche su host differenti e su forum differenti.
Le contromisure sono note, ma le ribadiamo:

- Aggiornamento completo all'ultima versione stabile.
- Meno MOD possibili e aggiornate
- Seria e approfondita scansione antivirus e antispyware
- Utilizzo di password molto complesse: alfanumeriche, maiuscole, minuscole, con caratteri speciali, lunghe, impossibili da ricordare a memoria. Inclusa email.
- Utilizzo di codice di conferma visuale potente, preferibilmente reCaptcha, o in alternativa, il set di domande intelligenti opportunamente configurato
- Backup completi e sistematici fatti con i settaggi corretti
- Non usare la modifica che consente l'accesso diretto al PCA senza password.


L'insieme di queste cose, garantisce la protezione degli account esistenti. Per i nuovi account creati, a queste contromisure, si deve aggiungere la seguente:

- Attivazione e corretta configurazione del gruppo "Nuovi utenti registrati".

Benché costantemente sotto "attacco" da giorni, non si stanno riscontrando reali problemi, salvo il fastidio di trovare il codice di conferma visuale già attivo, come se si fosse sbagliata la digitazione della password (che è preferibile peraltro incollare, data la notevole complessità). Posto PC pulito rispetto a virus e spyware. Il che significa, che i protocolli di sicurezza, finora, stanno tenendo molto bene.


Il Venerabile Beda

Immagine

Noi, siamo sfacciatamente di parte e ce ne vantiamo!

****

Immagine

Angolo di cielo, link ufficiale: https://angolodicielo.altervista.org

Avatar utente
Venerabile Beda
Moderatore
Moderatore
Messaggi: 4625
Iscritto: lunedì 6 ottobre 2008, 15:59
Contatta:

Re: Il phpBB3 è sotto attacco

Messaggio da Venerabile Beda » venerdì 7 gennaio 2011, 23:09

La configurazione ottimale per proteggere la Board, fermo restando il resto, è la coesistenza del reCaptcha e del set di domande intelligenti. Per pervenire al risultato, allo stato attuale, pare che l'unica possibilità sia l'installazione di questa MOD, al momento in cui si scrive, in fase RC:

http:// [RC1] Prime Anti-bot - Anti-spambot Text Verification


Il Venerabile Beda

Immagine

Noi, siamo sfacciatamente di parte e ce ne vantiamo!

****

Immagine

Angolo di cielo, link ufficiale: https://angolodicielo.altervista.org

Cielo
Fan del Forum
Fan del Forum
Messaggi: 446
Iscritto: giovedì 25 marzo 2010, 19:30

Re: Il phpBB3 è sotto attacco

Messaggio da Cielo » sabato 8 gennaio 2011, 8:43

Venerabile, io devo fare qualcosa? [k-PC] sai, porta pazienza ma il linguaggio tecnico per me è incomprensibile [k-Dubbio]


“Non fate peccati, e state allegri”. San Filippo Neri

Avatar utente
Venerabile Beda
Moderatore
Moderatore
Messaggi: 4625
Iscritto: lunedì 6 ottobre 2008, 15:59
Contatta:

Re: Il phpBB3 è sotto attacco

Messaggio da Venerabile Beda » sabato 8 gennaio 2011, 9:02

Gli utenti standard, posto il tenere il proprio PC pulito, rispetto a virus e spyware, faranno bene a utilizzare password complesse per i loro account: alfanumeriche, maiuscole e minuscole, con caratteri speciali, lunghe, impossibili da ricordare a memoria, da tenere in un file di testo, facendo copia-incolla, per effettuare il login. Ovviamente, il file, non si chiamerà: password, o accesso al forum X, ma si chiamerà con un nome che non c'entra nulla con la questione, in quanto eventuali spyware evoluti, potrebbero intercettare testi nel PC, in cui è presente la parola password o similare. Ma senza entrare nel paranoico.


Il Venerabile Beda

Immagine

Noi, siamo sfacciatamente di parte e ce ne vantiamo!

****

Immagine

Angolo di cielo, link ufficiale: https://angolodicielo.altervista.org

Rispondi

Torna a “phpBB3”