Problema ataque inyeccion sql a nuestro foro

[Odin77]

Hola, buenas noches.

Primero me presento. Mi nombre es Luis Gonzalez, Odin en los foros. Me meto en este foro, sinceramente, como ultimo recurso y última esperanza, porque básicamente, nos lo han tirado abajo. Explico el caso (espero que ésto vaya en este subforo, si no, decidme donde y lo vuelvo a postear, porque es importante).

En Diciembre del 2008 creamos un foro: www.factoriademishra.com. La temática del foro, es básicamente una temática freak. Trata sobre un juego de estrategia llamado magic the gathering. La cuestión es que cansados de que normalmente las tiendas fuesen las que tuviesen sus foros, y no pudieses, por ejemplo, linkear a otras webs para no hacerse publicidad unas a otras, decidimos unos cuantos, crear un foro libre de todas esas cosas. Parece que la idea gustó, hemos tenido bastante movimiento, y bastante nivel. La cuestión, es que magic mueve mucho dinero, y ha habido tiendas, sobre todo tiendas online, y webs en general, a las que no les hemos hecho ninguna gracia. Hace ya tiempo nos atacaron la web, pero eso fue culpa nuestra, porque de buena fe le dimos una contraseña que no debimos a alguien, y nos la reventó. Pudimos arreglarlo, obviamente cambiamos absolutamente todas las contraseñas, y solucionado.

Pero ahora, el tema es diferente. Comento la jugada:

Uno de nuestros usuarios, Gonzalo se llama, que es un muchacho al que ademas conozco personalmente, de unos 16 añitos, se mete en el foro. Ve que el nombre de todos los usuarios, en los hilos, han sido sustituidos por el de "Jon". Cierra la web, vuelve a abrirla, y se encuentra con que todos los usuarios tienen el nick bien, peeeeero el no puede acceder con su contraseña. Cuando mira un poco mas despacio, se da cuenta que su usuario ha desaparecido, y que solo su usuario, ha sido sustituido por el de Jon. Gonzalo habla conmigo, me meto en el ACP (panel de administracion), y me encuentro con que el tal Jon, tiene poderes de fundador. Intento quitarselos, pero no puedo, me sale error. Por curiosidad me da por buscar al usuario "gonzalo", y me redirige a Jon. Nada mas salir yo del ACP, la web se cae. Pone "General Error". Bueno, mis conocimientos informaticos no van mucho mas alla, asi que consigo localizar a otro administrador, que entiende un poco más, y lo que hacemos es coger la BBDD, restaurar los usuarios que habia el Martes por la mañana (esto fue el Miércoles), y la volvemos a montar. Pero ambos sabíamos que iba a volver a pasar, porque basicamente no sabemos como lo han podido hacer. Bien, el Jueves pasa lo mismo, solo que el nombre, en lugar de ser "jon", es "Vin". Personalmente me desanimé muchísimo, hasta que nos dió por mirar más atentamente la BBDD, y nos dimos cuenta de algo. No sabemos si tiene sentido, o no, pero comento: Tanto Jon, como Vin, eran el usuario 1 en la BBDD. Hasta donde se, en las BBDD el usuario 1 debe ser el usuario Anonimous, que viene por defecto. Asi que al buscar "anonimous" en el ACP, pues nos redirige al usuario "Vin", como ya temíamos. Hemos intento borrar el usuario Anonimous, pero no se puede, se regenera.

Pero aquñi no queda la cosa. El Viernes por la tarde, decidimos dejar cerrada la web, hasta encontrar una solución. La cuestión es que para cerrarla, pues le pusimos una contraseña, que SOLO, y repito, SOLO, el otro admisnitrador y yo conocemos. Y no, no era facil, porque eran numeros y letras puestos casi al azar. Bien, si intentais acceder ahora a www.factoriademishra.com os dareis cuenta que no os pide la contraseña, si no que pone lo del "error". Es decir, que sea quien sea, de alguna manera se ha pasado por el forro la contraseña.

La cuestión es que al servidor, al hosting vaya, no puede acceder. Lo hemos comprobado, y además, es que no. Es que la contraseña solo la tenemos los dos, y no esta puesta en ningun lado. Asi que solo puede acceder de alguna manera desde el foro, y liar la que lia, a través del ACP (panel de administración)

He hablado con una persona de otro foro que no tiene nada que ver con magic, y me ha dicho que probablemente lo hagan a través de una inyección sql, o algo asi.

Mirad, no tenemos ni idea de quien es (no creo que sea la misma persona que la otra vez. Al menos no directamente), ni hemos hecho nada a nadie para que esté así de cabreado. Pero nos ha costado mucho, muchísimo levantar la web, y no quiero que ésto se vaya a la mierda. No nos lo merecemos, ni nosotros, ni los usuarios que han confiado en nosotros.

Sí, necesitamos ayuda, y ésta es toda la información de que dispongo. No sé nada de informática, y quizás esta aventura me ha quedado grande. En cualquier caso, necesito que alguien me diga como podemos evitar ésto, porque ésto no puede terminar así. No es justo.

Muchísimas gracias por vuestra paciencia, y por leer el tostón

Aquí pongos los datos que pedís. Lo de la plantilla no lo pongo, porque no fui yo,si no el otro admisnitrador, el que creó el foro:

URL: www.factoriademishra.com
Versión phpBB: phpBB3 (3.0.4)
MODs Instalados: Ninguno
Plantilla(s) usada(s):
Servidor: Windows
Actualización desde otra versión: No
Conversión desde otro sistema de foros: No

En lo que concierne a la versión, se que hay una actualizacion, pero no pudimos actualizarlo cuando quisimos. Nos falló. En cualquier caso, creo que ahroa mismo, no es cosa de la actualización. Estamos desorientadísimos.

[HuanManwe]

deberías consultar con el hospedaje, a ver si pueden arreglarlo o ayudaros. Pero mientras...

1.- Actualiza. No pares hasta conseguirlo. Tenemos una guía sobre cómo actualizar en la sección de Guías y Manuales de phpBB3.

2.- Entra en tu base de datos vía phpMyAdmin y mira qué número equivale en la tabla phpbb_users, creo que el campo es phpbb_level o algo así, a poderes de fundador. Normalmente es 2 para fundador, 3 para admins, 1 para usuario registrado,... o al revés. No me acuerdo.
La idea es devolverle a Gonzalo sus poderes, y quitárselos a Jon.
Si el problema es también la contraseña decidle a Gonzalo que se cree un usuario de prueba con la contraseña que usaba con su antiguo usuario. Luego copias el texto para user_password (tabla phpbb_users) en el campo correspondiente a su "antiguo" usuario.

Si el problema es que su nombre de usuario se lo han cambiado por el de Jon entonces edita el capo username y pon el que usaba Gonzalo.

[Odin77]

Hola HuanManwe. Gracias por tu respuesta, pero creo que igual no me he explicado bien.

Gonzalo es un usuario más, como creo que he puesto. Poderes no tiene mas que los de postear. Lo que hizo el Tal jon éste, fue sustituir el nick y el email de gonzalo, por los suyos, y darse poderes de admisnitrador. Pero no sabemos como. Eso fue el Miercoles. Lo que hicimos, fue gracias a un back up que teniamos de la base de datos, fue restaurar los usuarios a los que habia el Martes, y asi, Gonzalo volvio a ser el, y Jon desaparecio. Pero eso no resuelve el problema, porque como ya he puesto, al dia siguiente, nos volvio a pasar, solo que en lugar de con el nick "Jon", lo hizo con el nick "Vin".

La cuestión es que podemos solucionarlo siempre que queramos, porque tenemos la BBDD, y a esa no puede acceder, porque no tiene acceso al hosting.

Lo que está haciendo, lo hace desde el foro directamente, y por lo que me han comentado, lo hace mediante una inyeccion Sql.

Lo que queremos, no es cargarnos al usuario Jon, Vin, o como quiera llamarse en el futuro. Porque no tiene sentido hacerlo, si al dia siguiente vuelve a meterse. Es una batalla perdida por nuestra parte, y no podemos estar todos los dias cayendose la web y restaurando los usuarios, :S. Lo que queremos es saber como se puede evitar esto.

Necesitamos ayuda, porque no lo tenemos nada claro. Por eso recurrimos a vosotros. Teníamos una comunidad bien maja. No podemos perderlo, porque no es justo.

[HuanManwe]

Actualiza a la última versión. No hay otra.

Por cierto... intento entrar a tu web y me pide usuario y contraseña. ¿Es normal?

[memoadian]

creo que no leiste todo lo que puso huan, al parecer si se la hackearon totalmente, todo, no hay modo, la verdad es que son palabras mayores, él que hizo eso sabia lo que hacia, los ha dejado fuera del control del host, y de phpmyadmin no es cierto? por eso es importante, actualizar siempre para aumentar la seguridad, yo la verdad ni idea, pero esperemos que alguien de los pro de aqui pueda ayudarlos, quizas necesites ayuda más especializada.

[Odin77]

A ver, comento:

Lo de la contraseña lo hemos puesto nosotros. Asi la tenemos cerrada hasta que encontremos alguna solucion. Pero vaya, el Viernes hicimos lo mismo, y el sabado la teniamos de nuevo tirada. Es decir, que la persona que sea, de alguna manera se saltó lo de la contraseña. Y no, no tiene esa contraseña, porque esa contraseña, ahora mismo, sólo la tenemos dos personas.

¿De verdad creéis que es alguien que sabe? No puede ser simplemente un soplapollas que se haya metido en algun foro, le hayan explicado como se hace, y ya está? No sé, es que segun me han dicho, las inyecciones sql esas no son tan complicadas de hacer para alguien con un poquito de interés, y con un mínimo de conocimientos. Vamos, que casi, que cualquier bobo con algo de tiempo y ganas de hacer daño, lo puede hacer.

Y también me han comentado que los foros phpbb son bastante vulnerables a estas cosas. La cuestión es que imagino que tiene que haber alguna manera de evitarlo. Es que la tiene que haber.

Una solución que se nos ocurrió, es que como hemos visto que el cabrón éste, por lo que sea, se pone siempre como usuario 1 en la BBDD, poner una "tarea programada" en el host, donde pedir que los permisos del usuario 2, 3 o 5, yo que se, se sobreescriban cada minuto sobre el usuario 1, de tal manera que si se da poderes de fundador, los pierda al minuto. Pero... no sabemos hacerlo, y ni si quiera si se puede hacer,

Pero vaya, tiene que haber algún otro tipo de protección directamente en el foro. No me creo que ésto sea tan vulnerable.

[HuanManwe]

Normalmente estos ataques se hacen com exploits, que son scripts ya diseñados al que solo les dan la URL a atacar y listo. Lo hace todo solito.
Es probable que el atacante sea un imbécil con mucho tiempo libre y poca vergüenza, y os ha tocado a vosotros.

La solución de cambiar el user_ID es un "clásico" entre las medidas de seguridad. Sí, es bastante efectiva porque, como dije, los exploits suelen estar predefinidos para atacar a ese usuario y copiarse sus poderes en el foro. La idea es pasar al usuario fundador a un nuevo ID, cambiando ese dato en todas las demás tablas a las que afecte (phpbb_topics, phpbb_posts, etc...). Es decir, si al usuario de user_ID 1 le poneis 101 entonces, para mantener todos sus mensajes y temas abiertos, debeis cambiar ese dato en las demás tablas donde algún campo sea el user_ID.
En cuanto al user_ID 1 se lo asignais a un usuario de pruebas que creeis al efecto, para que cuando usen un exploit que copie los poderes de ese user_ID se encuentren con que no pueden hacer nada.
Mejor aún si a ese usuario le dais unos permisos especiales de NO a todo: no puede leer mensajes, no puede ver listado de miembros, etc...

phpBB es una aplicación muy difundida y usada, y por eso es blanco de muchos hackers que se quieren hacer un nombre en ese mundillo, atacando a aplicaciones famosas. No es que sea más vulnerable, es que les buscan las cosquillas tanto o más que a cualquiera de las "grandes". Si pruebas otro tipo de foros te encontrarás con la misma situación. Lo mismo pasa con los portales, tipo php-nuke. Hay que actualizar pero eso tampoco te asegura la inmunidad.

De todos modos hay que actualizar en cuanto salen las actualizaciones porque si no dejas pasar un tiempo clave en el que tu foro es fácilmente atacable.

[ahh72]

no se si estoy del todo correcto pero creo que la vulnerabilidad es mas facil en servidores de hosting con windows que con linux? sera una opcion por ver si en caso es asi y podrian mirar el cambio a uno que les ofrezca su hosting con linux.

he investigado un poco este tema y segun entendi en los foros de phpbb pues la vulnerabilidad en los foros en estas ultimas versiones es muy dificil asi que podria decirse que el que lo hizo se lo habra currado muy bien o que tengan por ahi a un experto en el tema.

si logro averiguar algo mas sobre este tema pues lo comento lo antes posible por aqui.

saludos

[papichulo]

La solución de cambiar el user_ID es un "clásico" entre las medidas de seguridad. Sí, es bastante efectiva porque, como dije, los exploits suelen estar predefinidos para atacar a ese usuario y copiarse sus poderes en el foro. La idea es pasar al usuario fundador a un nuevo ID, cambiando ese dato en todas las demás tablas a las que afecte (phpbb_topics, phpbb_posts, etc...). Es decir, si al usuario de user_ID 1 le poneis 101 entonces, para mantener todos sus mensajes y temas abiertos, debeis cambiar ese dato en las demás tablas donde algún campo sea el user_ID.
En cuanto al user_ID 1 se lo asignais a un usuario de pruebas que creeis al efecto, para que cuando usen un exploit que copie los poderes de ese user_ID se encuentren con que no pueden hacer nada.
Mejor aún si a ese usuario le dais unos permisos especiales de NO a todo: no puede leer mensajes, no puede ver listado de miembros, etc...

Hola HuanManwe, aunqeu a mi no me ha pasado aun si que me interesa esa medida que dices, por si las moscas. el tema es que no se como hacer el cambio de las ID en las DDBB. Agradeceria me lo explicases. Pongo la duda aqui porque esta relacionada con el post original y por no publicar un post gratuito;) Si esta mal, podeis borrar este mensaje o separarlo y ponerlo en otro lugar. Gracias

[HuanManwe]

Ya está explicado

No, en serio, es que no estoy seguro de qué tablas tienen un campo user_ID o poster_ID, supongo que solo phpbb_posts y phpbb_topics. Ambas tienen un campo que está relacionado con el user_ID en phpbb_users.

Eso se podría hacer mediante consulta SQL, algo así (no lo digo con seguridad):

Código: Seleccionar todo

update phpbb_users set user_ID=101 where user_ID=1;

Y lo mismo con las otras tablas y sus campos correspondientes.

Otra opción es crear un nuevo usuario y pasarle todos los privilegios y mensajes del usuario con id=1, y luego poner al usuario con id=1 con muy pocos permisos y privilegios, para que no te lo puedan chafar.

[papichulo]

Grasias Huan Manwe por tu respuesta, intentare haser algo de eso en local (para probar) y si resulta ya pondre como lo conseguim, jejeje Saludos