phpBB España Oficial

Buenas a todos nen´s.



Os pongo un poco al tanto. Soy "administrador" en un foro y hace un par de días, al entrar en él el navegador no cargó la web. Apareció un aviso del antivirus referente a un troyano de redireccionamiento en "index.php".


Dejo una captura de pantalla...




... y claro, la pregunta es lógica... qué hago ? tengo que pasarle un antivirus ?? cómo lo hago ? o se trata más bien de un falso positivo ?



Any solutions ??.






Saludillos.




URL: http://www.airsoftgrusa.com/phpBB3/index.php
Versión phpBB: phpBB3 (3.0.5)
MODs Instalados: Portal
Plantilla(s) usada(s): Prosilver
Servidor: Linux [ de pago ]
Actualización desde otra versión:
Conversión desde otro sistema de foros:

Intenta pasar el antivirus en ese archivo y dinos que sucede

te han colado un troyano en el foro. Mira el codigo de los ultimos archivos modificados en tu foro, y seguramente encontraras que alguien ha incluido algun tipo de codigo que dirige a alguna web con algun troyano insertado o algo asi.

Limpia todos los archivos infectados de tu servidor y luego cambia la cuenta ftp del mismo.

Mmmm... me puede alguien indicar como pasarle el antivirus ??... Porque he intentado a descargarme la carpeta PHPBB3 entera y pasarle el antivirus... y resulta que el mismo antivirus que me detecta el troyano no detecta nada cuando realizo el escaneo.

Además, con el archivo en mi disco duro, le he pasado casi 10 antivirus diferentes( Trend Micro Call, Panda, Norton, Karsperky,...) y nada, ninguno me ha detectado ninguna amenaza.


He probado a intentar analizar ese archivo mediante antivirus online... pero ninguno detecta nada.




Y lo curioso es que me he metido como seis veces en el foro y no me ha aparecido en ningún momento el aviso...



... entonces... qué ha ocurrido?? sigue estando la infección ahí ? Fue todo un falso positivo desde el principio ?? Se trata de un sueño del Resines ?? ((... ¬¬ ))




En fin gente, cualquier tipo de ayuda sería bienvenida.




Saludillos.



PD: Me he metido en lo de "Norton Safe Web" y en "Site Advisor" para ver si ellos detectaban algo, pero o bien no habían analizado la web o bien no detectaban nada.

a mi no me salta ninguna alerta de virus. ¿Has mirado en el codigo del index.php, por si hubieran insertado algo anomalo? Quiza sea una alerta falsa y toda esta preocupacion es para nada.

Habría alguna manera de comprobar los accesos al foro para ver si pudiera detectar el momento en el que se "inyectó" este código( si es que se hizo algo) ???

He mirado en registro de administradores y de usuarios... pero no veo nada anómalo( tan sólo el registro continuado de pérdida de imagenes para botones -es en prosilver).




Estoy empezando a pensar que quizás se haya tratado de un falso positivo... aunque me gustaría realizar alguna comprobación más antes de despreocuparme por esto.

Me recomendáis algo en concreto ??





Bueno nen´s, saludos y gracias por todo.

como te dije lo que debes mirar son los archivos en el ftp, primero de todo, porque suelen entrar ahi. Ordena los archivos por fecha de modificacion, y si notas que algunos tienen fechas extrañas abrelos con un editor de texto plano, como el Notepad++ por si hubiera codigo maliciso incrustado.

Buenas de nuevo gente.


Os comento... estoy empezando a estar más convencido que ese aviso se trataba de un falso positivo... he abierto el index.php con un editor de texto y no encuentro nada fuera de lo normal ( claro que mi nivel de phpbb deja mucho que desear)



Os pongo el contenido del index.php por si queréis echarle un vistazo...
<?php
/**
*
* @package phpBB3
* @version $Id: index.php 8987 2008-10-09 14:17:02Z acydburn $
* @copyright (c) 2005 phpBB Group
* @license http://opensource.org/licenses/gpl-license.php GNU Public License
*
*/

/**
*/

/**
* @ignore
*/
define('IN_PHPBB', true);
$phpbb_root_path = (defined('PHPBB_ROOT_PATH')) ? PHPBB_ROOT_PATH : './';
$phpEx = substr(strrchr(__FILE__, '.'), 1);
include($phpbb_root_path . 'common.' . $phpEx);
include($phpbb_root_path . 'includes/functions_display.' . $phpEx);

// Start session management
$user->session_begin();
$auth->acl($user->data);
$user->setup('viewforum');

display_forums('', $config['load_moderators']);

// Set some stats, get posts count from forums data if we... hum... retrieve all forums data
$total_posts = $config['num_posts'];
$total_topics = $config['num_topics'];
$total_users = $config['num_users'];

$l_total_user_s = ($total_users == 0) ? 'TOTAL_USERS_ZERO' : 'TOTAL_USERS_OTHER';
$l_total_post_s = ($total_posts == 0) ? 'TOTAL_POSTS_ZERO' : 'TOTAL_POSTS_OTHER';
$l_total_topic_s = ($total_topics == 0) ? 'TOTAL_TOPICS_ZERO' : 'TOTAL_TOPICS_OTHER';

// Grab group details for legend display
if ($auth->acl_gets('a_group', 'a_groupadd', 'a_groupdel'))
{
$sql = 'SELECT group_id, group_name, group_colour, group_type
FROM ' . GROUPS_TABLE . '
WHERE group_legend = 1
ORDER BY group_name ASC';
}
else
{
$sql = 'SELECT g.group_id, g.group_name, g.group_colour, g.group_type
FROM ' . GROUPS_TABLE . ' g
LEFT JOIN ' . USER_GROUP_TABLE . ' ug
ON (
g.group_id = ug.group_id
AND ug.user_id = ' . $user->data['user_id'] . '
AND ug.user_pending = 0
)
WHERE g.group_legend = 1
AND (g.group_type <> ' . GROUP_HIDDEN . ' OR ug.user_id = ' . $user->data['user_id'] . ')
ORDER BY g.group_name ASC';
}
$result = $db->sql_query($sql);

$legend = array();
while ($row = $db->sql_fetchrow($result))
{
$colour_text = ($row['group_colour']) ? ' style="color:#' . $row['group_colour'] . '"' : '';
$group_name = ($row['group_type'] == GROUP_SPECIAL) ? $user->lang['G_' . $row['group_name']] : $row['group_name'];

if ($row['group_name'] == 'BOTS' || ($user->data['user_id'] != ANONYMOUS && !$auth->acl_get('u_viewprofile')))
{
$legend[] = '<span' . $colour_text . '>' . $group_name . '</span>';
}
else
{
$legend[] = '<a' . $colour_text . ' href="' . append_sid("{$phpbb_root_path}memberlist.$phpEx", 'mode=group&g=' . $row['group_id']) . '">' . $group_name . '</a>';
}
}
$db->sql_freeresult($result);

$legend = implode(', ', $legend);

// Generate birthday list if required ...
$birthday_list = '';
if ($config['load_birthdays'] && $config['allow_birthdays'])
{
$now = getdate(time() + $user->timezone + $user->dst - date('Z'));
$sql = 'SELECT user_id, username, user_colour, user_birthday
FROM ' . USERS_TABLE . "
WHERE user_birthday LIKE '" . $db->sql_escape(sprintf('%2d-%2d-', $now['mday'], $now['mon'])) . "%'
AND user_type IN (" . USER_NORMAL . ', ' . USER_FOUNDER . ')';
$result = $db->sql_query($sql);

while ($row = $db->sql_fetchrow($result))
{
$birthday_list .= (($birthday_list != '') ? ', ' : '') . get_username_string('full', $row['user_id'], $row['username'], $row['user_colour']);

if ($age = (int) substr($row['user_birthday'], -4))
{
$birthday_list .= ' (' . ($now['year'] - $age) . ')';
}
}
$db->sql_freeresult($result);
}

// Assign index specific vars
$template->assign_vars(array(
'TOTAL_POSTS' => sprintf($user->lang[$l_total_post_s], $total_posts),
'TOTAL_TOPICS' => sprintf($user->lang[$l_total_topic_s], $total_topics),
'TOTAL_USERS' => sprintf($user->lang[$l_total_user_s], $total_users),
'NEWEST_USER' => sprintf($user->lang['NEWEST_USER'], get_username_string('full', $config['newest_user_id'], $config['newest_username'], $config['newest_user_colour'])),

'LEGEND' => $legend,
'BIRTHDAY_LIST' => $birthday_list,

'FORUM_IMG' => $user->img('forum_read', 'NO_NEW_POSTS'),
'FORUM_NEW_IMG' => $user->img('forum_unread', 'NEW_POSTS'),
'FORUM_LOCKED_IMG' => $user->img('forum_read_locked', 'NO_NEW_POSTS_LOCKED'),
'FORUM_NEW_LOCKED_IMG' => $user->img('forum_unread_locked', 'NO_NEW_POSTS_LOCKED'),

'S_LOGIN_ACTION' => append_sid("{$phpbb_root_path}ucp.$phpEx", 'mode=login'),
'S_DISPLAY_BIRTHDAY_LIST' => ($config['load_birthdays']) ? true : false,

'U_MARK_FORUMS' => ($user->data['is_registered'] || $config['load_anon_lastread']) ? append_sid("{$phpbb_root_path}index.$phpEx", 'hash=' . generate_link_hash('global') . '&mark=forums') : '',
'U_MCP' => ($auth->acl_get('m_') || $auth->acl_getf_global('m_')) ? append_sid("{$phpbb_root_path}mcp.$phpEx", 'i=main&mode=front', true, $user->session_id) : '')
);

// Output page
page_header($user->lang['INDEX']);

$template->set_filenames(array(
'body' => 'index_body.html')
);

page_footer();

?>

Saludos nen´s.




PD: El aviso del antivirus no me ha vuelto a salir.



PD2: Felices fiestas!!!

coloca el index.php que tengas de respaldo, o el original de phpBB y ya... o solicita a tu hosting que revisen alguna vulnerabilidad, que revisen los archivos que tienes online.

me ha pasado eso en algunos hostings, cuando han hackeado el hosting (por ende, problema de ellos)... tienes publicidad en tu web? tambien pudo aparecer por eso, y no significar nada.