Aparición de troyano en foro

[kartingtalavera]

Hace unos días, el fin de semana 11-12 de febrero, dejamos de tener acceso a nuestro hosting. NADA funcionaba.

Para el lunes, y tras contactar con abansys.com, se empezó a poder funcionar, lento, con cortes, pero ya funcionaba. Aunque posteriormente, vimos que todos nuestros correos con dominio kartingtalavera.es también habían dejado de funcionar.

En un par de días, todo quedó de nuevo operativo.

Pero héte aquí, que un par de usuarios nos avisan de que sus antivirus detectan la presencia de un troyano cuando acceden al foro. La inmensa mayoría, ni se enteran o no avisan. Nosotros, que utilizamos ubuntu, no notamos nada raro, salvo que quizás, todo va más lento. Probamos en windows, y no pasa aparentemente nada.

El caso es que esta mañana, en el ordenador de un compañero, hemos entrado en el foro... y hemos visto que Karspersky avisa de la presencia de un troyano, Trojan-Downloader.JS.Twetti.t y no deja abrir la página.

He probado a descargar TODOS los archivos del alojamiento, y pasar dos antivirus, sin resultado aparente, por lo que preguntando por ahí, me dicen que puede haber una inyección de SQL.

Lo que sí he visto es que, aparentemente, nadie ajeno ha entrado como administrador en el foro, pero que en los logs del alojamiento, tengo varias IPs de Letonia, Polonia y China que ejecutan comandos POST... lo cual me extraña bastante.

¿sabéis alguno que he de comprobar/averiguar? Es para ir haciendo gestiones a ver que es lo que ha pasado, y sobre todo, a evitarlo en el futuro.

De momento, he cambiado los parámetros (user y pass) de acceso a la base de datos, pero supongo que habrá que seguir hilando fino.

Y también he desactivado el foro, para prevenir contagios.

[Alorse]

Si en el servidor solamente tienes el phpBB, no creo que sea inyección SQL, ya que phpBB esta diseñado para evitar estos ataques...
Cuando el antivirus salta diciendo que hay un troyano, por lo general también muestra la ruta especifica de este, entonces se es fácil encontrarlo y eliminarlo, pero creo que es más cuestión del servidor que tuya el solucionar ese problema.
Es mejor que contactes nuevamente con ellos y les des el nombre del virus, como dices al navegar desde un sistema operativo linux, no muestra ningún fallo, así que yo tampoco puedo detectar el error.

[kartingtalavera]

Hola de nuevo. Vamos por partes.

Lo cierto es que en nuestro alojamiento tenemos una web de joomla, otra que la va a sustituir (comparten la base de datos) y el foro.

Mucha gente entra en la web, que tiene un enlace directo al foro, y casualmente, es lo que han hecho las dos personas que primero nos han advertido. Es lo que podéis comprobar en la siguiente captura:



La cosa es que a quien le detecta el troyano, le bloquea la entrada al foro, no a la página web principal, y me he descargado la totalidad de lo alojado, y pasado el antivirus, por lo que sospechamos de la base de datos, como nos ha indicado el hosting.

También he estado mirando a ver si alguien había suplantado la identidad del administrador del foro, pero aparentemente, sólo salen mis IPs... así que, tiene pinta de ataque desde fuera del foro.

Otra cosa que me ha llamado la atención es que la base de datos ha aumentado mucho de tamaño, andaba sobre 65 megas, y creo que ahora está bastante más inflada, pero me da miedo empezar a trastear con el phpmyadmin y cargarme algo.

A ver si alguien tiene alguna pista.

[kartingtalavera]

Ah, se me olvidaba.

Anoche lo primero (y único) que hice fue cambiar la contraseña de entrada al hosting, panel de control y tal, para evitar que se siga entrando de manera anómala si ésta fuera la razón.

Y estoy mirando la estructura de la base de datos, y me llama la atención el descomunal tamaño de la tabla phpbb_styles_template_data con más de 250MB de datos... ¿no es llamativo?

[Alorse]

Bueno... la causa del error puede estar en la tabla que mencionas....
Dices que has descargado todos los archivos del servidor, los has scaneado y no encuentras virus alguno, osea que eso descarga que los archivos estén infectados; resulta que la tabla styles_template_data guarda la información de las plantillas que editamos desde el ACP (cosa nada recomendable) si vas a hacer ediciones en el estilo del foro, es mejor que lo hagas directamente desde los archivos y no desde el ACP, incluso puede que el virus se halla alojado en la base de datos al tener esa edición de plantillas activa.
Lo que te recomiendo es que:

1. Actualices todos los estilos, plantillas, temas y galería de imágenes, desde la pestaña estilos del ACP.
2. Luego limpia el caché desde el ACP y desde el FTP del foro.
3. Realiza una copia de seguridad de la base de datos.
4. Ve al phpMyAdmin y limpia/vacía la tabla styles_template_data
5. Ahora vuelve a limpiar el caché.

Todo en ese estricto orden... puede que ayude con el virus y obviamente con el tamaño de dicha tabla.

[kartingtalavera]

Ok Alorse, muchas gracias por las explicaciones y los pasos a seguir.

He hecho todo lo que me decías.

Obviamente, se ha reducido el tamaño de la base de datos a una séptima parte, lo cual ya es algo muy positivo. También se ha agilizado muchísimo la operatividad del foro.

Respecto al descomunal tamaño de la tabla en cuestión... vale que he hecho modificaciones en las plantillas, pero no de ese calibre, como para generar tal cantidad de datos.

Lo que no sé es si se ha eliminado el troyano, hasta que me lo comenten los que lo han podido detectar.

¿Ahora que más debo hacer? Me refiero a medidas de seguridad clásicas que no haya tenido en cuenta. Esto de los virus alojados en bases de datos... es demasiado nuevo y grande para mí

[Alorse]

¿Ahora que más debo hacer? Me refiero a medidas de seguridad clásicas que no haya tenido en cuenta. Esto de los virus alojados en bases de datos... es demasiado nuevo y grande para mí

Sinceramente... es primera vez que veo eso sucede (si es que eso fue lo que sucedió)

[kartingtalavera]

Probando con diferentes antivirus... he encontrado ocho archivos infectados...

¿será posible que no todos los antivirus lo detecten?

En fin, que creo que subiré y reemplazaré los archivos afectados, y empezaré a preguntarme cómo ha sido posible que ocurra, si sólo utilizo ubuntu para trastear con el ftp y demás...

sigue en pie la pregunta sobre qué hacer a partir de ahora (permisos, claves, etc) para que no se repita la historia.

[kartingtalavera]

Por cierto, mirando los archivos infectados, ahora que los ha detectado NOD32... veo que tienen fecha 30/01/2012.

Y veo unos archivos y carpetas que no me suenan.

Por ejemplo, unos archivos google_verify.php que no reconozco.

Y una carpeta /files que tampoco me suena,

¿que os parece? ¿lo sustituyo todo sin más? ¿me cargaré los MODS que tengo instalados?

[Alorse]

y empezaré a preguntarme cómo ha sido posible que ocurra, si sólo utilizo ubuntu para trastear con el ftp y demás...

Que utilices ese sistema operativo, no significa que no tengas virus, te recuerdo que virus puedes tener, solo que no afectan tu sistema por estar basado en linux, pero cuando subes archivos vía FTP claro que pueden subir infectados, al servidor tampoco le hace efecto estos virus, porque también esta basado en linux, pero cuando un usuario con windows entra entonces los virus se activan... en fin puede haber muchas causas.

sigue en pie la pregunta sobre qué hacer a partir de ahora (permisos, claves, etc) para que no se repita la historia.

Esto va por parte del servidor y ya nos salimos un poco del tema de phpBB, de igual manera en el servidor no deben hacer archivos con permisos de escritura y las carpetas con dicho permiso, solo deben ser files/ store/ e images/avatar/upload que debe tener permisos 777, de resto ninguna otra.

Y una carpeta /files que tampoco me suena,

es parte del sistema de phpBB, es donde se almacena los archivos adjuntos, el otro archivo que mencionas, puede ser parte de un MOD o algo, no sé.

¿que os parece? ¿lo sustituyo todo sin más? ¿me cargaré los MODS que tengo instalados?

Si reemplazas los archivos infectados, lo más seguro es que si estos tenían cambios de los MODs, seguramente si dañaras el funcionamiento de los MODs.
Debes tener cuidado.


No creo que debas cambiar las claves, mejor mira que tienen los archivos y porque están infectados... algún código malicioso? si es así, el problema es del servidor y no de tus claves.
Si el problema continua, es mejor que hagas una limpieza de los archivos infectados y cambies de hosting, ya que la inseguridad es de ellos, no tuya.

[kartingtalavera]

Casualmente, tengo una copia de seguridad de la totalidad de los archivos de fecha 27 de enero, anterior a la posible infección, del día 30. Así que he borrado TODO y lo estoy subiendo desde la copia de seguridad.

Respecto a los permisos, debido a un montón de problemas con MODS, subidas, la web en joomla, y tal, suelo tener los archivos con 777... lo cual, a pesar de que sé que es un error, me facilita el mantenimiento.

¿cómo los debo dejar? ¿755?

En unos minutos estarán todos los archivos arriba, y veré lo que pasa.

Respecto al hosting, cuando sepa algo más, veremos si ha sido un gol que me han metido a mí o a ellos. Y actuaré en consecuencia.

Gracias de nuevo.

[Alorse]

¿cómo los debo dejar? ¿755?

No se como serán los permisos para los archivos de otras plataformas, pero los de phpBB deben ser 644 para archivo y 755 para carpetas.

[kartingtalavera]

¿cómo los debo dejar? ¿755?

No se como serán los permisos para los archivos de otras plataformas, pero los de phpBB deben ser 644 para archivo y 755 para carpetas.

Así parecen estar todos... así que los dejo estar.

Gracias de nuevo!