Me han hackeado el foro phpbb2
 

Hola, por favor a ver si alguien me puede ayudar, tengo un foro phpbb2, la versión 2.0.11, algún hijo de pu.., me ha hackeado el foro, no ha borrado nada ni tampoco ha cambiado la configuración, lo único que hizo fue cambiar el título y la descripción del foro, y banear al usuario administrador (osea yo) alguien me puede decir a que puede ser debida esta vulnerabilidad..., pensaba que desde la versión 2.0.11 en adelante no la versiones del foro phpbb2 eran bastante seguras.

¿Alguien me recomienda alguna medida para que no me vuelva a pasar???

Gracias desde ya!!!

Un saludo.

Actualiza a la version 2.0.17, la version 2.0.11 e inferiores tenia una grave vulnerabilidad para ganar permisos de administrador.

Saludos

Te recomiendo que pasees un rato por phpbb.com y te suscribas a la lista de mails mediante la cual avisan de las lneuvas versiones, y por supuesto, que siempre estes actualizado.

Hola, muchas gracias por vuestra ayuda, ya estoy actualizando a la versión 2.0.17, respecto a lo que me ha surgido una duda..., después de actualizar a la versión 2.0.11, incluí el modulo attachment para que los usuarios puedan subir archivos al foro, anteriormente cuando actualizaba simplemente subía los archivos nuevos al server y ejecutaba el archivo para actulizar, pero con el mod acttachment no se si primero tengo que actualizar el foro o el mod???

Sabéis que debo actualizar primero????

Gracias desde ya!!!

Un saludo.

Primero actualiza el foro, pero luego tendrás que volver a modificar todos los archivos del mod para que vuelva a funcionar :si: Y mantenlo siempre actualizado (sigue el consejo de K3NNY) para evitar estos disgustos...

Hola Ferny, muchas gracias por la ayuda, ya tengo las últimas versiones del forophpb y del mod attchment, respecto a la forma de actualizar, primero me indicas que actualize el foro de la forma habitual (subir los archivos respetando el orden de los directorios, también subir los directorios contrib e install y ejecutar desde el navegador el archivo update_to_latest.php), una vez echo esto tengo que actualizar el mod attchment siguiendo las indicaciones que indica en sus instrucciones).

Por favor confirmame que es así.., ¿si lo hago así no se dañarán los post y los archivos que hayan subido los usuarios mediante el mod attchment???

Un saludo.

Eso sí, lo primero. Luego para el mod ya es otra cosa... Es como si tuvieras que volver a instalarlo, pues tienes que volver a modificar todos los archivos de nuevo. Pero si lo haces así, no tienes que hacer la parte de la instalación que corresponde a la base de datos, pq eso ya lo tienes, y así en principio no pierdes nada de lo que ya tuvieras subido :arriba: Aunque como mencionas que vas a actualizar también el mod, no sé si te puede dar algún problema... Yo lo que haría sería instalar de nuevo la misma versión que tuvieras de antes, comprobar que todo funcione, y luego seguir los pasos para actualizarla

Hola ferny, lamentablemente me ha salido mal y he tenido que reinstalar todo el foro..., menos mal que había hecho backup, lo he hecho como me dijiste..., el navegador me devolvio el mensaje de que la instalación se había hecho correctamente..., pero cuando he ido a abrir el foro me daba un error.., yo no utilizo el style subsilver puede ser de eso???, cuando instale el mod attchmente no me dio problemas y lo instale correctamente a pesar de no usar el style subsilver..., una vez lo instale modifique algo las plantillas de diseño..., pero vamos solo colores..., tamaño etc..., piensas si puede haber fallado en algo por eso???

Bueno gracias por tu ayuda y tu paciencia.

Un saludo.

No creo que sea por la plantilla, quizá por la instalación del mod tenías algun archivo ya modificado y otros no, de ahí sí puede venir el error...

De todas formas ayudaría saber el texto del error :si:

Hola Ferny, me ha vuelto a pasar lo mismo..., me han dicho que si antes de subir la actualización a la 2.0.17 modifico lo archivos que requiere el mod y que cambian en su nueva versión, los subo todo y ejecuto la actualización del foro vía url como se hace habitualmente posiblemente me salga bien.

¿Lo has probado alguna vez así?

Un saludo.

Yo esa manera sí la veo bien :si: Pero no la he probado, yo actualizo de otra forma, con el archivo patch y haciendo los cambios como si se tratara de un mod:
http://www.forosdelweb.com/f54/actualizar-phpbb-2-0-11-2-0-17-pero-con-chat-misma-bd-325960/

Lo hago así pq tengo muchos mods instalados y volver a modificar todos los archivos es un coñazo. Con el patch simplemente hago los cambios de una versión a otra del foro, dejando los mods como estaban.

Por otro lado también tengo un servidor de pruebas instalado en mi ordenador, con una copia del foro y la web, y ahí pruebo todo antes de subirlo a la red, así si hay fallos puedo corregirlos... te recomendaría que te instalaras uno:
http://www.maestrosdelweb.com/editorial/phpmysqlap/

Un saludo

Hola Ferny, creo que he conseguido actualizar el foro..., de momento no encuentro ningún error salvo las modicaciones que me han hecho las nuevas plantillas en el texto para registrarse y el tamaño de algunas tablas que había modificado, el modulo attachment funciona correctamente, el servidor localhost ya lo tenía pero no lo usaba para el foro..., hice lo que me comentaste y me fue mejor, lo único que la principio me resulto extraño es que la versión que he actualizado no aparece ya en el index como anteriores (2.0.17) solo aparece en el panel de administración la versión del foro que es.., eso es normal o es que algo me ha salido mal???

Un saludo.

Eso es normal, los de phpbb decidieron que se quitara pq los lammers utilizaban google para buscar más fácilmente foros con versiones hackeables ;-)

Gracias por la info Ferny, revisando todo el foro..., he visto que para entrar al panel de administración te pide de nuevo el usuario y la password a través del archivo login, y después en el panel de administración me pasa que en el archivo de configuración general me aparece entre la celda de Activar cuenta y la de Email de usuarios a través del foro, otra celda que no tiene encabezado y que trae 2 botones de opción (Si y No).

Estuve revisado la plantilla de la configuración general del foro (board_config_body) y se refiere a esta variable L_VISUAL_CONFIRM_EXPLAIN

¿Sabes porque me sale eso en blanco y solo me salen los botones de opción Si y No?

Por otro lado lo de tener que volver a autenticarse en el sistema en el archivo login cuando intentas acceder al Panel de Control es normal???

Gracias por tu paciencia.

Un saludo.

Gracias por la info Ferny, revisando todo el foro..., he visto que para entrar al panel de administración te pide de nuevo el usuario y la password a través del archivo login, y después en el panel de administración me pasa que en el archivo de configuración general me aparece entre la celda de Activar cuenta y la de Email de usuarios a través del foro, otra celda que no tiene encabezado y que trae 2 botones de opción (Si y No).

Estuve revisado la plantilla de la configuración general del foro (board_config_body) y se refiere a esta variable L_VISUAL_CONFIRM_EXPLAIN

¿Sabes porque me sale eso en blanco y solo me salen los botones de opción Si y No?

Por otro lado lo de tener que volver a autenticarse en el sistema en el archivo login cuando intentas acceder al Panel de Control es normal???

Gracias por tu paciencia.

Un saludo.

La celda que no tiene encabezado será pq algo se actualizó mal o te faltó... pero lo que hace es activar la confirmación visual a la hora de registrarse, es decir, seguramente habrás visto en muchos sitios que te piden poner un numerito que se ve en una imagen para confirmar el registro, pues es eso mismo (te recomiendo activarlo, pero tras hacerlo comprueba que funciona y salen las imágenes al registrarse)

Lo del panel de control es normal, es otra de las nuevas medidas de seguridad de phpbb :si:

:adios:

Hola Ferny, creo que el problema que puedo estar teniendo con el encabezado es del los archivos del lenguaje español, al bajarme la actualización de los archivos de la 2.0.11 a las 2.0.17 solo venía el idioma en inglés, me baje de la propia web del phpbb.com el idioma en español, porque creía que estaría actualizado, pero hoy al fijarme mejor (me he dado cuenta que es del 2002).

¿No hay actualización para la 2.0.17 de español?

Probe a utilizar el idioma inglés en foro y efectivamente si me salia el encabezado de la celda para activar las imagenes al registrarse.

¿Me tengo que actualizar yo todos los archivos del idioma español a mano, es decir utilizar los del idioma inglés y actualizarlos a española como se hace con las plantillas del e-mail???

Un saludo y gracias de nuevo.

Me da que sí... Lo que puedes hacer es mirar qué variables tienes en el idioma español que no estén en el inglés, y las añades y traduces.

Un saludo :adios:

Hola Ferny, me han pasado un enlace en el que tienen una versión en español para las versiones recientes del foro phpbb2, parece que funciona..., pero claro no te libras de tener que personalizarlo como el texto de acceso al registro, botones de los formularios etc.

Lo dejo por si le sirve a alguien.

http://www.tomatoma.ws/foros/viewtop...asc&highlight=


Saludos.

Gracias, seguro que le sirve a más de uno :-D