Recordad que para pedir soporte alguno, debéis facilitar los datos de soporte oportunos por favor, mirad aquí y leer las Normas generales del foro, esto nos servirá de ayuda para dar el mejor soporte..

Gracias.

La Administración de phpBB España.

Extraño aviso del antivirus

Foros donde podréis dejar vuestras dudas sobre phpBB 3.0.x
  Reglas del Foro
Cerrado
Avatar de Usuario
Pzuzu
Observador/a
Mensajes: 15
Registrado: 25 May 2009, 12:36

Extraño aviso del antivirus

#1

Mensaje por Pzuzu »

Buenas a todos nen´s.



Os pongo un poco al tanto. Soy "administrador" en un foro y hace un par de días, al entrar en él el navegador no cargó la web. Apareció un aviso del antivirus referente a un troyano de redireccionamiento en "index.php".


Dejo una captura de pantalla...

Imagen


... y claro, la pregunta es lógica... qué hago ? tengo que pasarle un antivirus ?? cómo lo hago ? o se trata más bien de un falso positivo ?



Any solutions ??. :nolose:






Saludillos.




URL: http://www.airsoftgrusa.com/phpBB3/index.php
Versión phpBB: phpBB3 (3.0.5)
MODs Instalados: Portal
Plantilla(s) usada(s): Prosilver
Servidor: Linux [ de pago ]
Actualización desde otra versión:
Conversión desde otro sistema de foros:
Arriba
MR.PABLO
Ex Staff
Mensajes: 530
Registrado: 30 Jul 2009, 17:34
Edad: 37

Re: Extraño aviso del antivirus

#2

Mensaje por MR.PABLO »

:shock:
Intenta pasar el antivirus en ese archivo y dinos que sucede
Antes de nada, lee las Normas de phpBB-Es, y la siempre útil Guí a de phpBB en Castellano.
Consulta la Documentación de phpBB 2, la Documentación de phpBB 3 y los FAQS de ayuda para tus problemas.
Quizás esté resuelto, y todos ahorremos tiempo.
Si es sobre cómo Crear una Consulta SQL ya lo tienes explicado en el enlace.
En general, se pide Buscar antes de preguntar para no repetir preguntas y dudas resueltas.
Sólo tendrás Soporte si facilitas los datos correspondientes y si respetas completamente el Copyright de phpBB.
NOTA: No damos Soporte a los foros integrados en Nuke y derivados del mismo. Infórmate AQUÍ.

[hr]
Spoiler
Versión phpBB: phpBB3 (3.0.6)
MODs Instalados: PhpBB3 Portal 1.2.2 Highslide Attachment Mod 4.1.4 Activity Stats Mod Simple Hide BBcode Portal Phpbb Arreglos Varios a Portal, cambios, etc Similar Topic`s Mod Tabs al estilo prosilver No Avatar Barra lateral de Mitch Seo URl v. 6.2 META Etiquetas por .:: MSSTI ::.BBcode con imágenes Open Links In New Tab MSSTI RSS Feed 2.0 with ACP Email Masivo Prime Links [Con modificación de Mitch incluída]Page Title Number MODQuién editó el post?
Evil Quick Reply 1.0.1
Plantilla(s) usada(s): 1blackout - [Basada en Prosilver]
Servidor:Linux. Page
Actualización desde otra versión: SI . 3.0.5
Conversión desde otro sistema de foros: No
Usuario de prueba : usuario_prueba
Pass: 123456[/align][/size][/font]
[hr]
אָ MяРαвlΘ אָ @ Webmaster de JjTeamWebdesign


Imagen
Arriba
Avatar de Usuario
HuanManwe
Ex Staff
Mensajes: 5078
Registrado: 20 Jun 2006, 18:21
Género:
Edad: 51

Re: Extraño aviso del antivirus

#3

Mensaje por HuanManwe »

te han colado un troyano en el foro. Mira el codigo de los ultimos archivos modificados en tu foro, y seguramente encontraras que alguien ha incluido algun tipo de codigo que dirige a alguna web con algun troyano insertado o algo asi.

Limpia todos los archivos infectados de tu servidor y luego cambia la cuenta ftp del mismo.

Der Mensch schuf Gott nach seinem eigenen Bild

Berlín siempre estará en mi corazón. Auf wiedersehen, Berlin!!

Arriba
Avatar de Usuario
Pzuzu
Observador/a
Mensajes: 15
Registrado: 25 May 2009, 12:36

Re: Extraño aviso del antivirus

#4

Mensaje por Pzuzu »

Mmmm... me puede alguien indicar como pasarle el antivirus ??... Porque he intentado a descargarme la carpeta PHPBB3 entera y pasarle el antivirus... y resulta que el mismo antivirus que me detecta el troyano no detecta nada cuando realizo el escaneo.

Además, con el archivo en mi disco duro, le he pasado casi 10 antivirus diferentes( Trend Micro Call, Panda, Norton, Karsperky,...) y nada, ninguno me ha detectado ninguna amenaza.


He probado a intentar analizar ese archivo mediante antivirus online... pero ninguno detecta nada.




Y lo curioso es que me he metido como seis veces en el foro y no me ha aparecido en ningún momento el aviso... :?:



... entonces... qué ha ocurrido?? sigue estando la infección ahí ? Fue todo un falso positivo desde el principio ?? Se trata de un sueño del Resines ?? ((... ¬¬ ))




En fin gente, cualquier tipo de ayuda sería bienvenida.




Saludillos.



PD: Me he metido en lo de "Norton Safe Web" y en "Site Advisor" para ver si ellos detectaban algo, pero o bien no habían analizado la web o bien no detectaban nada.
Arriba
Avatar de Usuario
HuanManwe
Ex Staff
Mensajes: 5078
Registrado: 20 Jun 2006, 18:21
Género:
Edad: 51

Re: Extraño aviso del antivirus

#5

Mensaje por HuanManwe »

a mi no me salta ninguna alerta de virus. ¿Has mirado en el codigo del index.php, por si hubieran insertado algo anomalo? Quiza sea una alerta falsa y toda esta preocupacion es para nada.

Der Mensch schuf Gott nach seinem eigenen Bild

Berlín siempre estará en mi corazón. Auf wiedersehen, Berlin!!

Arriba
Avatar de Usuario
Pzuzu
Observador/a
Mensajes: 15
Registrado: 25 May 2009, 12:36

Re: Extraño aviso del antivirus

#6

Mensaje por Pzuzu »

Habría alguna manera de comprobar los accesos al foro para ver si pudiera detectar el momento en el que se "inyectó" este código( si es que se hizo algo) ???

He mirado en registro de administradores y de usuarios... pero no veo nada anómalo( tan sólo el registro continuado de pérdida de imagenes para botones -es en prosilver).




Estoy empezando a pensar que quizás se haya tratado de un falso positivo... aunque me gustaría realizar alguna comprobación más antes de despreocuparme por esto.

Me recomendáis algo en concreto ??





Bueno nen´s, saludos y gracias por todo.
Arriba
Avatar de Usuario
HuanManwe
Ex Staff
Mensajes: 5078
Registrado: 20 Jun 2006, 18:21
Género:
Edad: 51

Re: Extraño aviso del antivirus

#7

Mensaje por HuanManwe »

como te dije lo que debes mirar son los archivos en el ftp, primero de todo, porque suelen entrar ahi. Ordena los archivos por fecha de modificacion, y si notas que algunos tienen fechas extrañas abrelos con un editor de texto plano, como el Notepad++ por si hubiera codigo maliciso incrustado.

Der Mensch schuf Gott nach seinem eigenen Bild

Berlín siempre estará en mi corazón. Auf wiedersehen, Berlin!!

Arriba
Avatar de Usuario
Pzuzu
Observador/a
Mensajes: 15
Registrado: 25 May 2009, 12:36

Re: Extraño aviso del antivirus

#8

Mensaje por Pzuzu »

Buenas de nuevo gente.


Os comento... estoy empezando a estar más convencido que ese aviso se trataba de un falso positivo... he abierto el index.php con un editor de texto y no encuentro nada fuera de lo normal ( claro que mi nivel de phpbb deja mucho que desear)



Os pongo el contenido del index.php por si queréis echarle un vistazo...
<?php
/**
*
* @package phpBB3
* @version $Id: index.php 8987 2008-10-09 14:17:02Z acydburn $
* @copyright (c) 2005 phpBB Group
* @license http://opensource.org/licenses/gpl-license.php GNU Public License
*
*/

/**
*/

/**
* @ignore
*/
define('IN_PHPBB', true);
$phpbb_root_path = (defined('PHPBB_ROOT_PATH')) ? PHPBB_ROOT_PATH : './';
$phpEx = substr(strrchr(__FILE__, '.'), 1);
include($phpbb_root_path . 'common.' . $phpEx);
include($phpbb_root_path . 'includes/functions_display.' . $phpEx);

// Start session management
$user->session_begin();
$auth->acl($user->data);
$user->setup('viewforum');

display_forums('', $config['load_moderators']);

// Set some stats, get posts count from forums data if we... hum... retrieve all forums data
$total_posts = $config['num_posts'];
$total_topics = $config['num_topics'];
$total_users = $config['num_users'];

$l_total_user_s = ($total_users == 0) ? 'TOTAL_USERS_ZERO' : 'TOTAL_USERS_OTHER';
$l_total_post_s = ($total_posts == 0) ? 'TOTAL_POSTS_ZERO' : 'TOTAL_POSTS_OTHER';
$l_total_topic_s = ($total_topics == 0) ? 'TOTAL_TOPICS_ZERO' : 'TOTAL_TOPICS_OTHER';

// Grab group details for legend display
if ($auth->acl_gets('a_group', 'a_groupadd', 'a_groupdel'))
{
$sql = 'SELECT group_id, group_name, group_colour, group_type
FROM ' . GROUPS_TABLE . '
WHERE group_legend = 1
ORDER BY group_name ASC';
}
else
{
$sql = 'SELECT g.group_id, g.group_name, g.group_colour, g.group_type
FROM ' . GROUPS_TABLE . ' g
LEFT JOIN ' . USER_GROUP_TABLE . ' ug
ON (
g.group_id = ug.group_id
AND ug.user_id = ' . $user->data['user_id'] . '
AND ug.user_pending = 0
)
WHERE g.group_legend = 1
AND (g.group_type <> ' . GROUP_HIDDEN . ' OR ug.user_id = ' . $user->data['user_id'] . ')
ORDER BY g.group_name ASC';
}
$result = $db->sql_query($sql);

$legend = array();
while ($row = $db->sql_fetchrow($result))
{
$colour_text = ($row['group_colour']) ? ' style="color:#' . $row['group_colour'] . '"' : '';
$group_name = ($row['group_type'] == GROUP_SPECIAL) ? $user->lang['G_' . $row['group_name']] : $row['group_name'];

if ($row['group_name'] == 'BOTS' || ($user->data['user_id'] != ANONYMOUS && !$auth->acl_get('u_viewprofile')))
{
$legend[] = '<span' . $colour_text . '>' . $group_name . '</span>';
}
else
{
$legend[] = '<a' . $colour_text . ' href="' . append_sid("{$phpbb_root_path}memberlist.$phpEx", 'mode=group&g=' . $row['group_id']) . '">' . $group_name . '</a>';
}
}
$db->sql_freeresult($result);

$legend = implode(', ', $legend);

// Generate birthday list if required ...
$birthday_list = '';
if ($config['load_birthdays'] && $config['allow_birthdays'])
{
$now = getdate(time() + $user->timezone + $user->dst - date('Z'));
$sql = 'SELECT user_id, username, user_colour, user_birthday
FROM ' . USERS_TABLE . "
WHERE user_birthday LIKE '" . $db->sql_escape(sprintf('%2d-%2d-', $now['mday'], $now['mon'])) . "%'
AND user_type IN (" . USER_NORMAL . ', ' . USER_FOUNDER . ')';
$result = $db->sql_query($sql);

while ($row = $db->sql_fetchrow($result))
{
$birthday_list .= (($birthday_list != '') ? ', ' : '') . get_username_string('full', $row['user_id'], $row['username'], $row['user_colour']);

if ($age = (int) substr($row['user_birthday'], -4))
{
$birthday_list .= ' (' . ($now['year'] - $age) . ')';
}
}
$db->sql_freeresult($result);
}

// Assign index specific vars
$template->assign_vars(array(
'TOTAL_POSTS' => sprintf($user->lang[$l_total_post_s], $total_posts),
'TOTAL_TOPICS' => sprintf($user->lang[$l_total_topic_s], $total_topics),
'TOTAL_USERS' => sprintf($user->lang[$l_total_user_s], $total_users),
'NEWEST_USER' => sprintf($user->lang['NEWEST_USER'], get_username_string('full', $config['newest_user_id'], $config['newest_username'], $config['newest_user_colour'])),

'LEGEND' => $legend,
'BIRTHDAY_LIST' => $birthday_list,

'FORUM_IMG' => $user->img('forum_read', 'NO_NEW_POSTS'),
'FORUM_NEW_IMG' => $user->img('forum_unread', 'NEW_POSTS'),
'FORUM_LOCKED_IMG' => $user->img('forum_read_locked', 'NO_NEW_POSTS_LOCKED'),
'FORUM_NEW_LOCKED_IMG' => $user->img('forum_unread_locked', 'NO_NEW_POSTS_LOCKED'),

'S_LOGIN_ACTION' => append_sid("{$phpbb_root_path}ucp.$phpEx", 'mode=login'),
'S_DISPLAY_BIRTHDAY_LIST' => ($config['load_birthdays']) ? true : false,

'U_MARK_FORUMS' => ($user->data['is_registered'] || $config['load_anon_lastread']) ? append_sid("{$phpbb_root_path}index.$phpEx", 'hash=' . generate_link_hash('global') . '&mark=forums') : '',
'U_MCP' => ($auth->acl_get('m_') || $auth->acl_getf_global('m_')) ? append_sid("{$phpbb_root_path}mcp.$phpEx", 'i=main&mode=front', true, $user->session_id) : '')
);

// Output page
page_header($user->lang['INDEX']);

$template->set_filenames(array(
'body' => 'index_body.html')
);

page_footer();

?>

Saludos nen´s.




PD: El aviso del antivirus no me ha vuelto a salir.



PD2: Felices fiestas!!!
Arriba
Avatar de Usuario
mitch
Ex Staff
Mensajes: 4260
Registrado: 04 Sep 2005, 04:28
Género:

Re: Extraño aviso del antivirus

#9

Mensaje por mitch »

coloca el index.php que tengas de respaldo, o el original de phpBB y ya... o solicita a tu hosting que revisen alguna vulnerabilidad, que revisen los archivos que tienes online.

me ha pasado eso en algunos hostings, cuando han hackeado el hosting (por ende, problema de ellos)... tienes publicidad en tu web? tambien pudo aparecer por eso, y no significar nada.
Arriba
Cerrado

Volver a “Foros de Soporte 3.0.x”