Foro SEMI Hackeado Por Un Supuesto Turco.

[netsirena]

Hola, chic@s. Ya estoy aquí de nuevo (parezco la pupas.. )

Vereis..mi problema es que, después de unos días sin hacerle nada al foro por estar enfermilla, ayer fuí a entrar para seguir añadiendo información (a este paso no abriré el foro nunca ) y cuando fuí a darle a uno de los foros para que cargara la página y poder postear un tema nuevo.. ¡Horror! ¡ Se redireccionó a otro lado apareciendo una 'especie de foro' con plantilla subsilver diciendo que ese tablero no estaba disponible (o algo así) con un mensaje arriba y después se redireccionó automáticamente a hasretbahari.blogcu.com aparenciendo este otro mensaje.-> sitem acıldı arkadaslar buyrun hacked!!!!!! hacklendin by_kuzu

He buscado en la ayuda, como siempre, y de todo lo que he leído.. la verdad es que no me ha quedado clara gran cosa (ya lo siento). Lo que sí he hecho ha sido mirar en index.php, index_body.tpl, en la bdd (phpbb_forums) y en todo lo que se me ha ocurrido (aunque, si os digo la verdad, no tengo n.p.i. de qué es lo que tenía que encontrar) porque algo de eso he leído pero, como os digo, no sé qué tengo que buscar ni donde (fsklsdfjslfkjskldfjslkfjslkdfjslkdfjfslfjs Que rabia tengo, la ostiaaaaaaaaaaaaaaaaaaa. Ejém, perdón pero es que estoy enfermilla y me ha costado hacer esto como para que venga un soplagaitas a jodérmelo :S)

El resto del foro, por lo que he podido ver, va bien. Puedo entrar con mi user y al ACP. (no entiendo ná)

Mis datos son:
URL: www.thefunnysiteclub.tk (como veis, una redirección tk de un space lycos)
Versión: 22
Mods: cash, bank, lottery, rabbitoshi, shops, rpg dugeons, jobs, bar, estadísticas, álbum, bbcode blur, (y alguno más que no me acuerdo xD pero que no daba error ninguno) Ah, sí, tb le metí el otro día lo del cambio a html para la indexación en google y todo ese rollo. Y justo quería hacer lo de la seguridad cuando ha pasado esto pero como leí que las últimas versiones eran más seguras y además nunca me había pasado no me obsesioné con hacerlo tan rápido.
Plantilla: SubBlack3d

Y no sé si se me olvida algo, que no me extrañaría a mí que sí.

Espero que podais ayudarme sin tener que volver a instalarlo todo, etc porque, de verdad, no tengo el cuerpo pa castañuelas como suele decirse.

[JANU1535]

Fíjate con tu FTP.
La fecha de última modificación de los archivo .tpl
Si hay alguno que descuadra con los demás, probablemente tenga ese código malicioso con redirección.

Por otro lado.
Si tienes un backup, podrías volver a subir los archivos.
A ver si así se arregla.

Saludos.

[netsirena]

Gracias por tu respuesta, Janu, pero no hay ninguno con fecha extraña. Los últimos son del miércoles, día que hice lo de indexar en google y que iba bien y el log de las estadísticas con fecha de hoy que tb es normal.

Está claro que en alguna parte tiene que estar pero es que me he bajado la bdd completa incluso y mirado con tranquilidad del posible script añadido a la descripción del foro y es que ni script ni gaitas hay (!)

La idea de restaurar te la agradezco (ya la había pensado) pero es que me corroe por dentro no saber dónde está el error.

Ya sé que ningún foro es invulnerable al 100% (de hecho no lo es ningún sistema por mucho que se diga de linux xD) pero, omme, una cosa es ser vulnerable y otra no saber ni por donde te rondan que, sabiéndolo, una ya podría poner algún que otro medio. Me entiendes, ¿verdad?

En fín, sigo aceptando todas las ideas que se os ocurran. Yo seguiré mirando, no sé el qué, pero seguiré mirando (algo se me escapa seguro)

Gracias, chic@s.

[KasLimon]

Al menos has tenido suerte, cuando hackearon mi web fue peor y aun encima por un fallo mío!
Ya dejo de mi vida y me meto con la tuya, que es a lo que estamos jeje

Ya que el fallo sólo está al ver foros, péga en pastebin el código del archivo viewforum.php y será más fácil encontrar el error si está ahi

Salu2 y suerte!

[netsirena]

KasLimon, descuida hombre, que todos necesitamos bien desahogarnos bien contar de vez en cuando lo que nos ha pasado.

Además es la ostia. Ayer buscando y rebuscando en la red al sujeto este (u otros) pero el caso es que buscando a peña que se dedicara a hacer esto, voy me encuentro con un foro alojado en miarroba en el que se enseña cómo defacear un foro phpBB (entre otras cosas) y la peña hablando de sus 'heroicidades' (!).

Yo, al margen de opiniones ajenas, daré la mía propia y es que me parece: A) Una falta de respeto por el trabajo ajeno, B) Un DELITO, C) De hdps. (el orden de los factores no altera el producto ^^)

Es más, diré algo que, aún sabiendo que puede dañar mi 'imagen' con respecto a temas como éste, creo que me dista bastante de personajes así: La informática por todos es sabido que abarca muchos campos (obviamente por todos los que están metidos un poco en este mundillo, no el que enciende el pc para jugar al Age of Empires y nada más.) y yo desde bien pequeña he andado entre ordenadores, de hecho desde los 6 años.

Es un mundo que siempre me apasionó y del que siempre he querido saber de todo, cosa que matemáticamente es casi imposible.

El caso es que el día que empezaron a salir las primeras tarifas planas (terra) e incluso antes con Infovía y esas gaitas que much@s recordareis, tb empezaron a salir los primeros hackers. Quitaban users, pass (de chats u otros sitios), que si metían troyanos, etc vía ms-dos haciendo puentings, por ejemplo con conversaciones privadas en IRC que envíaba la IP del otro a la ventana de status y yo me piqué tanto que también quise aprender.

A lo que voy con esta parrafada es que aprender no me parece mal. Yo lo hice, aprendí, hice alguna cosa pero nunca, repito, nunca jodí a nadie. De hecho mi curiosidad se quedó ahí. Aprendí como iba y, de alguna forma, me enteré de como contrarestar (e incluso contraatacar en caso de que lo hicieran) cualquier ataque hacia mi pc.

Hoy, más de 10 años después las cosas han cambiado y los chavales ya nacen teniendo pc´s, conexiones, información y material a su alcance. Eso, unido a un desajuste social tremendo, falta de escrúpulos, valores y demás, está dando estos resultados.

Ahora bien..hablaba de España como ejemplo. Lo de los hackeos, como ha sido mi caso, por parte de hackers turcos (como si son camboyanos, me la pela el origen) ya es que no sé ni cómo calificarlo.

Después de buscar encontré que si dichos turcos pretendían 'joder' (perdón por el 'palabro') a España y sus españolitos por temas como Irak, Afganistán y derivados. ¡Anda la leche! Y yo me pregunto: ¿Pero qué culpa tenemos los humanoides de a pie de la política internacional? ¡Como si yo o tú, Kas, que tb fuiste hackeado decidieramos si se mandan tropas contra un gobierno, una secta, milicia o lo que sea !

En fín, me he enrollado sola pero es que esto no hay por donde cogerlo y desvarío con mis pensamientos.

Al grano, como diría un dermatólogo: He pegado el código en Pastebin pero es la primera vez que lo hago y no he pillado muy bien su funcionamiento. Supongo que lo podreis ver bien.

De todas formas, Kas o el que sepa/pueda, me podeis explicar qué clase de hackeo tiene aspecto de ser? Lo digo porque he leído que quitan (cambian) users, passwords, borran bdds, etc. Vamos, que suelen joder a lo 'grande' pero que en mi caso lo veo un ataque un poco flojo, ¿no? (aunque joder, jode igual, claro)

Gracias.

[KasLimon]

De esos foros hay montones, no creo que se merezcan ni siquiera que los leamos... Son personas que posiblemente no tienen vida propia y lo que les interesa es joder a los demás, casi siempre sin ninguna razón en especial, simplemente para tocar los huevos o para demostrar a los demás que saben hacerlo, como dices tu en esos foros que hablan de sus hazañas como héroes con las que esperan conseguir mucho en la vida... En fin...

Bueno a lo que íbamos, no lo hiciste del todo bien Te faltó la url:
http://www.phpbb-es.com/pastebin/pastebin.php?show=1738

Ese archivo y su correspondiente tpl parecen estar limpios, ni una línea fuera de lugar...
Entonces el fallo está en otra parte... probablemente en includes/page_header.php, pónmelo en pastebin a ver si veo algo... Tmb necesito que me digas cómo se llama el mod y su url para descarga:

Ah, sí, tb le metí el otro día lo del cambio a html para la indexación en google y todo ese rollo.[/quoteicy]

He estado mirando tu web y no solo está hackeado lo de ver foros, sino que también lo de ver temas... Eso me ha dado a pensar que se te han metido al page_header por algún tipo de hueco de uno de los mods que tienes instalados...

Salu2

[netsirena]

Pues sí, Kas, estamos de acuerdo en eso.

En fín, sorry por no poner el enlace. Ya me parecía a mí que no lo había hecho bien xDDDD

He subido el código del page_header -> http://www.phpbb-es.com/pastebin/pastebin.php?show=1743

Lo de indexar en google lo saqué de este tema del foro -> http://www.phpbb-es.com/foro/amigos-spa ... t2499.html

Y no sé que más decir o hacer.

Te agradezco la ayuda, de verdad.

Una pregunta de ignorante: ¿teniendo un hosting de pago existe más seguridad? Es que me lo estoy planteando, no sólo por esto claro pero me gustaría saberlo

[KasLimon]

Es un buen trabajo lo que han hecho... Me refiero, las modificaciones están bien ocultas... Aun así tengo otro sitio donde pueden haber tocado o algo parecido...
Ponme aquí en el foro todas las líneas de tu fichero htaccess que comiencen por RewriteRule

En un aloamiento de pago obtienes mejor soporte, mayor velocidad, más fiabilidad, etc... De la seguridad no tengo mucha idea... Pero si vas a intalar un foro lo que siempre recomiendo para seguridad es el mod CrackerTracker (busca en phpbbmods)

Salu2

[netsirena]

Sí, y tanto que están bien hechas.

Dí tú que yo cuando llevo mucho rato mirando código llega un momento que no veo ni patata. Además es que soy diseñadora gráfica Vs. web (ya sabes, hacemos casi de todo, y sin casi xD) y pásate tú la mañana mirando html´s ó actions scripts para flash, lo que sea, para ponerte ahora a mirar los php o tpl de los santísimos xD

Encima estuve mirando hostings de pago y encontré uno que me gustó bastante. Vamos, me gustó tanto que lo contraté y todo xDDDDDDD. Es en Minerva Hostings y el plan es ideal de la muerte, como se suele decir, para lo que yo quería, ^^, así que por eso he estado liada y he tardado en responder.

Las líneas que me pides son éstas ->

RewriteRule [.]*-vf([0-9]*) viewforum.php?%{QUERY_STRING}&f=$1
RewriteRule [.]*-vp([0-9]*) viewtopic.php?%{QUERY_STRING}&p=$1
RewriteRule [.]*-vt([0-9]*) viewtopic.php?%{QUERY_STRING}&t=$1
RewriteRule [.]*-vc([0-9]*) index.php?%{QUERY_STRING}&c=$1
RewriteRule [.]*-ac([0-9]*) album_cat.php?%{QUERY_STRING}&cat_id=$1
RewriteRule [.]*-at([0-9]*) album_thumbnail.php?%{QUERY_STRING}&pic_id=$1
RewriteRule [.]*-apic([0-9]*) album_pic.php?%{QUERY_STRING}&pic_id=$1
RewriteRule [.]*-apm([0-9]*) album_picm.php?%{QUERY_STRING}&pic_id=$1
RewriteRule [.]*-full-asp([0-9]*) album_showpage.php?full=&pic_id=$1
RewriteRule [.]*-asp([0-9]*) album_showpage.php?%{QUERY_STRING}&pic_id=$1
RewriteRule [.]*-aper([0-9]*) album_personal.php?%{QUERY_STRING}&user_id=$1
RewriteRule [.]*-dc([0-9]*) dload.php?%{QUERY_STRING}action=category&cat_id=$1
RewriteRule [.]*-df([0-9]*) dload.php?%{QUERY_STRING}action=file&file_id=$1
RewriteRule [.]*-kbc([0-9]*) kb.php?%{QUERY_STRING}mode=cat&cat=$1
RewriteRule [.]*-kba([0-9]*) kb.php?%{QUERY_STRING}mode=article&k=$1
RewriteRule [.]*-kbsmp kb.php?mode=stats&stats=mostpopular
RewriteRule [.]*-kbstr kb.php?mode=stats&stats=toprated
RewriteRule [.]*-kbsl kb.php?mode=stats&stats=latest
RewriteRule [.]*-pbc([0-9]*) kb.php?%{QUERY_STRING}mode=cat&cat=$1
RewriteRule [.]*-pa([0-9]*) kb.php?%{QUERY_STRING}mode=article&k=$1
RewriteRule [.]*-psmp kb.php?mode=stats&stats=mostpopular
RewriteRule [.]*-pstr kb.php?mode=stats&stats=toprated
RewriteRule [.]*-pbsl kb.php?mode=stats&stats=latest

De todas formas, como el foro estaba 'under construction' he comenzado, y casi finalizado, su instalación en Minerva pero, en cualquier caso, creo que sigue estando bien saber por donde cuyons se han metido y lo mismo ayuda a alguien en el futuro (Dios no lo quiera).

Te agradezco la recomend. sobre el CrackerTracker, nunca está de más saber estas cosas.

Lo que comentas de fiabilidad, soporte, velocidad.. Hombre, eso ya, es de cajón de madera pino pero sería interesante el tema de la seguridad por parte de los propios hostings (aunque a saber de qué manera podrían hacerlo)

Yo, por lo que he visto en mi panel de control de Minerva, no hay nada pero, claro, hay tantas opciones que vaya ud. a saber.

Por lo demás, creo que nada. Bueno, tengo otro problemilla que tb tenía en el foro 'semi' hackeado y que aún he sido incapaz de ver por donde viene. Si eso abro otro tema para no mezclar y a ver si alguien me puede decir qué pasa.

Gracias, como siempre, de verdad.

[KasLimon]

Hombre, algo de seguridad siempre hay. Yo en el hosting de pago que uso (aViunt) me deja proteger ciertos directorios con contraseña, denegar la entrada al sitio a ciertas IPs. También tengo unas llaves GNU y una protección del Hotlink k no se exactamente para que sirven. También te proporcionan logs de errores, registros de acceso, en algún caso copias de seguridad automática...

El servidor que comentas no lo conocía pero tiene muy buena pinta

Bueno, a lo que iba... En el htaccess todo perfecto por lo que en el header también así que el error estará en el viewforum, supongo... Seguiré revisando...

Salu2

[novice programmer]

Tienes el siguente codigo:

Código: Seleccionar todo

<table width="100%" cellspacing="0" cellpadding="10" border="0" align="center">
	<tr>
		<td class="bodyline"><table width="100%" cellspacing="0" cellpadding="0" border="0">
			<tr>
[color=red]				<td><a href="index.php"><img src="templates/subSilver/images/logo_phpBB.gif" border="0" alt="(turkish hackers)bu site by kuzu tarafından hacklenmiştir Forum Index" vspace="1" /></a></td>
				<td align="center" width="100%" valign="middle"><span class="maintitle">(turkish hackers)bu site by kuzu tarafından hacklenmiştir</span><br /><span class="gen"><META HTTP-EQUIV="refresh" CONTENT="0;URL=http://www.blogcu.com/hasretbahari/"><br />&nbsp; </span>[/color]

				<table cellspacing="0" cellpadding="2" border="0">
					<tr>
						<td align="center" valign="top" nowrap="nowrap"><span class="mainmenu">&nbsp;<a href="faq.php" class="mainmenu"><img src="templates/subSilver/images/icon_mini_faq.gif" width="12" height="13" border="0" alt="FAQ" hspace="3" />FAQ</a></span><span class="mainmenu">&nbsp; &nbsp;<a href="search.php" class="mainmenu"><img src="templates/subSilver/images/icon_mini_search.gif" width="12" height="13" border="0" alt="Search" hspace="3" />Search</a>&nbsp; &nbsp;<a href="memberlist.php" class="mainmenu"><img src="templates/subSilver/images/icon_mini_members.gif" width="12" height="13" border="0" alt="Memberlist" hspace="3" />Memberlist</a>&nbsp; &nbsp;<a href="groupcp.php" class="mainmenu"><img src="templates/subSilver/images/icon_mini_groups.gif" width="12" height="13" border="0" alt="Usergroups" hspace="3" />Usergroups</a>&nbsp;
						&nbsp;<a href="profile.php?mode=register" class="mainmenu"><img src="templates/subSilver/images/icon_mini_register.gif" width="12" height="13" border="0" alt="Register" hspace="3" />Register</a></span>&nbsp;
						</td>

					</tr>
					<tr>
						<td height="25" align="center" valign="top" nowrap="nowrap"><span class="mainmenu">&nbsp;<a href="profile.php?mode=editprofile" class="mainmenu"><img src="templates/subSilver/images/icon_mini_profile.gif" width="12" height="13" border="0" alt="Profile" hspace="3" />Profile</a>&nbsp; &nbsp;<a href="privmsg.php?folder=inbox" class="mainmenu"><img src="templates/subSilver/images/icon_mini_message.gif" width="12" height="13" border="0" alt="Login to check your private messages" hspace="3" />Login to check your private messages</a>&nbsp; &nbsp;<a href="login.php" class="mainmenu"><img src="templates/subSilver/images/icon_mini_login.gif" width="12" height="13" border="0" alt="Login" hspace="3" />Login</a>&nbsp;</span></td>
					</tr>
				</table></td>
			</tr>

		</table>

Fijate en lo rojo, es lo que te redirije.

[netsirena]

No, novice programmer, eso ya lo miré y no estaba, por eso dijimos tanto kas como yo que se había metido pero bien.

De todas formas ya contraté un hosting de pago, empecé de cero y metí el CT pero no quise cerrar el tema por si se daba con la solución y a alguien más le sirve

[novice programmer]

Lo que me refiero es que tienes que buscar en los archivos subidos hasta encontrar algo de esto:

META HTTP-EQUIV="refresh"

URL=http://www.blogcu.com/hasretbahari/

"refresh"

http://www.blogcu.com/hasretbahari/

blogcu.com

hasretbahari

Puede que este en la DB/archivos.